Beoordeling van een service auditor's rapport in het kader ... - Vurore

Beoordeling van een service auditor’s
rapport
in het kader van de jaarrekeningcontrole
en de rol van de IT auditor
Auteurs:
Niels Smit
Enterprise Risk Services
Deloitte Accountants B.V.
Mobile: +31 (0) 6 12 58 16 93
Email: nsmit@deloitte.nl
Deloitte.
Laan van Kronenburg 2
P.O. Box 175, 1180 AD Amstelveen
The Netherlands
Ronald van der Wal Enterprise Risk Services
Deloitte Accountants B.V.
i
Mobile: +31 (0) 6 20 25 21 24
Email: rovanderwal@deloitte.nl
Deloitte.
Laan van Kronenburg 2
P.O. Box 175, 1180 AD Amstelveen
The Netherlands

.
Voorwoord
Toen we ruim vier jaar geleden begonnen aan de post-doctorale IT-audit opleiding hadden we
niet verwacht in 2011 nog bezig te zijn met onze scriptie. Het theoretische deel was niet het
probleem; dat hebben we nominaal kunnen afronden. Het afronden van de scriptie is een ander
verhaal gebleken. Deels werd dit veroorzaakt door de niet geringe werkdruk die een Big Four
organisatie kent. We gebruiken het woord deels hier bewust; andere studenten is het immers
toch gelukt om nominaal af te studeren terwijl ze werkzaam zijn bij een Big Four organisatie.
Echter wij liepen anderhalf jaar lang steeds in dezelfde val: “ja” zeggen tegen een nieuwe klus of
vraag die bij ons terecht kwam. Inmiddels hebben we geleerd dat dit wellicht goed is geweest
voor onze carrière, maar niet voor onze studievoortgang.
Toen we een paar maanden geleden dan eindelijk met elkaar afspraken om onze scriptie te gaan
afronden, zijn we ook echt aan de slag gegaan. Bijna vanzelfsprekend ( in ons geval dan) haalden
we onze interne deadlines lang niet altijd, maar we hebben wel geleerd echt tijd te maken voor
de scriptie. Hier en daar een uurtje bleek niet te werken, in onze ervaring moet je echt structureel
tijd maken om er serieus mee aan de slag te kunnen gaan. Mede ook dankzij de begeleiding en
flexibiliteit van Dr. Abbas Shahim RE ligt het resultaat van dit alles nu voor u.
ii

Management samenvatting
Aanleiding en onderzoeksvraag
Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een
organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden (gebruikers
organisatie) als bij de auditors van deze organisaties (gebruikers auditor) ontstaat daarmee de
behoefte om zekerheid te verkrijgen over de beheersing van deze uitbestede processen,
aangezien de uitbestede processen vaak van materieel belang zijn voor de jaarrekening van de
gebruikers organisatie. Een service auditor’s rapport is een middel om deze zekerheid te
verkrijgen. Er bestaan verschillende typen service auditor’s rapporten, waarvan de bekendste de
Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de SAS70 standaard
vervangen door de internationale standaard ISAE 3402.
In de praktijk merken wij dat de beoordeling van een service auditor’s rapport in het kader van de
jaarrekening controle vaak divers wordt aangepakt door de gebruikersauditor. Met deze scriptie
geven wij een antwoord op de vraag hoe een service auditor’s rapport dient te worden
beoordeeld in het kader van een jaarrekening controle. Mede omdat een service auditor’s
rapport vrijwel altijd een grote hoeveelheid IT beheersmaatregelen bevat, en aangezien IT
auditors vaak betrokken zijn bij service auditor rapport trajecten, besteden wij expliciete
aandacht aan de rol van de IT auditor bij de beoordeling.
Onderzoeksaanpak
Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en
praktijkgericht antwoord te krijgen op de bovenstaande vraagstelling. Aan de hand van een
literatuurstudie hebben wij ons verdiept in de standaarden van service auditor’s rapportages en
de richtlijnen die aanwezig zijn voor accountants in het kader van de jaarrekeningcontrole. Het
praktijk onderzoek is in enquêtevorm uitgevoerd. Omdat er een zekere mate van vaktechnische
kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder een
geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA’s) en
Register EDP-auditors (RE’s) zijn allen regelmatig betrokken bij het beoordelen van een service
auditor’s rapport in het kader van een jaarrekeningcontrole. Vervolgens zijn de resultaten van de
enquête geanalyseerd aan de hand van de in hoofdstuk 3 geïdentificeerde standaard NV COS 402
en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de aanpak van de RA’s
en RE’s. Uiteindelijk hebben wij concrete aanbevelingen opgesteld om de beoordeling van een
service auditor’s rapport te verbeteren.
Resultaten
Uit onze theoretische inventarisatie blijkt dat op dit moment de internationale ISAE 3402
standaard de meest relevante standaard is in de Nederlandse praktijk. Daarnaast is uit ons
onderzoek gebleken dat er met de NV COS 402 duidelijke richtlijnen beschikbaar zijn voor de
gebruikers auditor ten aanzien van het beoordelen van een service auditor’s rapport. Deze
richtlijn is in lijn gebracht met de ISAE 3402 standaard. Ten aanzien van de rol van de IT auditor
blijkt echter dat er geen duidelijke richtlijnen zijn; het wordt feitelijk aan het professional
judgment van de gebruikersauditor overgelaten om te bepalen of een IT auditor dient te worden
ingeschakeld.
Uit ons praktijkonderzoek is naar voren gekomen dat de beoordeling van een service auditor’s
rapport in grote lijnen conform de NV COS 402 standaard wordt uitgevoerd, maar dat de
standaard lang niet bij iedereen bekend is. Wel constateren we dat de beoordeling door de audit
professionals met verschillende diepgang wordt uitgevoerd, en dat er daarmee wel een aantal
verbeteringen kunnen worden doorgevoerd ten aanzien van de wijze van beoordelen.
Ten aanzien van bovenstaande valt bijvoorbeeld op dat de IT auditors meer aandacht hebben
voor vaktechnische aspecten rondom de gebruikte standaard. Daarnaast constateren we dat de
aandacht voor sub-service organisaties en user control considerations vrij beperkt is. Een ander
opvallend punt is dat er slechts summier aandacht wordt besteed aan het vaststellen van de
deskundigheid van de service auditor.
De rol die de IT auditor heeft bij het beoordelen van een service auditor rapport is in de meeste
gevallen conform onze verwachtingen. De IT auditor wordt vaak geraadpleegd voor het
iii

eoordelen van de reikwijdte van de IT beheersmaatregelen en IT bevindingen. Aan de andere
kant geven (deels dezelfde) respondenten aan dat dat de beslissing om al dan niet een IT auditor
te raadplegen vaker lijkt af te hangen van de complexiteit van de uitbestede processen als van de
mate van automatisering.
Daarnaast is opvallend dat meerdere accountants hebben aangegeven dat de IT auditor ook een
leidende rol heeft bij het beoordelen van vaktechnische aspecten met betrekking tot de gebruikte
standaard. Dit komt dan weer overeen met het eerder genoemde punt ten aanzien van de
aandacht van de IT auditor voor deze aspecten wanneer de IT auditor een beoordeling uitvoert.
Conclusie
Zoals eerder al aangegeven concluderen we dat er voldoende richtlijnen zijn voor de gebruikers
auditor om de beoordeling van een service auditor’s rapport uit te voeren. Toch zijn de richtlijnen
lang niet bij iedereen bekend. In de praktijk worden de aspecten die in de richtlijn worden
genoemd ook vrijwel allemaal meegenomen in de beoordeling, maar hebben wij wel een aantal
bevindingen geïdentificeerd ten aanzien van de diepgang van de beoordeling. Ten aanzien van de
rol van de IT auditor constateren we dat de IT auditor, als deze wordt betrokken bij de
beoordeling, de beoordeling met meer detail uitvoert. De afweging van de accountant om de IT
auditor in te schakelen kan nog wel worden verbeterd.
iv

Inhoudsopgave
1. Inleiding 1
1.1 Introductie 1
1.2 Aanleiding 1
1.3 Doelstelling 1
1.4 Vraagstelling 1
1.5 Onderzoek aanpak 2
1.6 Reikwijdte van het onderzoek 2
1.7 Opbouw van de scriptie 2
2. Het Service Auditor’s Rapport 5
2.1 Inleiding 5
2.2 Basisbegrippen van het service auditor’s rapport 5
2.3 Historie van het service auditor’s rapport 6
2.4 ISAE 3402 7
2.5 Nationale service auditor rapport standaarden 10
2.6 Slotopmerkingen 11
3 Richtlijnen voor het beoordelen van een service auditor’s rapport in het kader van de
jaarrekeningcontrole. 13
3.1 Inleiding 13
3.2 De jaarrekeningcontrole 13
3.3 Richtlijnen voor de jaarrekeningcontrole 13
3.4 Richtlijnen voor het beoordelen van een service auditor’s rapport 14
3.6 Slotopmerkingen 16
4 Beoordeling van een service auditor’s rapport in de praktijk 18
4.1 Inleiding 18
4.2 Opzet van de enquête 18
4.3 Resultaten 18
4.4 Analyse 22
4.5 Slotopmerkingen 24
5 Conclusies en aanbevelingen 26
5.1 Inleiding 26
5.2 Bevindingen en conclusie 26
5.3 Aanbevelingen 28
5.4 Beperkingen 28
5.5 Zelfreflectie 29
5.6 Suggesties voor nader onderzoek 29
Literatuur 30
vi

1. Inleiding
1.1 Introductie
In dit hoofdstuk beschrijven wij de aanleiding van ons onderzoek. Vervolgens behandelen wij het
doel wat wij willen bereiken en de centrale vraagstelling die de basis vormt van het onderzoek.
Gebruikmakend van een drietal deelvragen wordt de centrale vraagstelling opgesplitst om op
gestructureerde wijze de doelstelling te bereiken. In paragraaf 1.5 behandelen wij de opzet van
het praktijkonderzoek, waarna in paragraaf 1.6 de opbouw van de scriptie beschreven wordt.
Uiteindelijk sluiten wij dit hoofdstuk af door de reikwijdte van het onderzoek te behandelen.
1.2 Aanleiding
Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een
organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden als bij de auditors
van deze organisaties ontstaat daarmee de behoefte om zekerheid te verkrijgen over de
beheersing van deze uitbestede processen. [Keij09] In zijn artikel meldt Roos dat een service
auditor’s rapport een middel is om transparantie te verkrijgen over deze uitbestede processen,
waarna accountants zekerheid kunnen verschaffen over de uitingen die service organisaties in het
rapport opnemen. [Roos08] Er bestaan verschillende typen service auditor’s rapporten, waarvan
de bekendste de Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de
SAS70 standaard vervangen door de internationale standaard ISAE 3402. [Verw09]
Deze standaard is bedoeld om een rapportage te bieden die gebruikt kan worden door
gebruikersorganisaties en haar auditors over de beheersmaatregelen van een service organisatie
die aannemelijk relevant zijn voor de interne controle gerelateerd aan financiële verslaglegging
van de gebruikers organisatie. [IFAC09.01] De scope van een service auditor’s rapport kan echter
vrij worden bepaald zolang het binnen de voorwaarden van de standaard blijft. Dit betekent dat
de auditor van de gebruikersorganisatie er niet vanuit kan gaan dat de scope waarover
gerapporteerd wordt middels het service auditor’s rapport ook voldoet aan de eisen vanuit de
gebruikersorganisatie. Naast dit punt dienen ook andere aspecten in deze beoordeling van een
service auditor’s rapport door de gebruikers auditor te worden meegenomen. Een belangrijk punt
is bijvoorbeeld dat indien een service auditor’s rapport een behoorlijk aantal IT
beheersmaatregelen bevat, de auditor van de gebruikersorganisatie bij de beoordeling van het
rapport de hulp kan inroepen van een specialist. Uit onze ervaring blijkt dat in het kader van de
jaarrekeningcontrole het beoordelen van een service auditor’s rapport in de praktijk divers wordt
aangepakt.
1.3 Doelstelling
Wij willen met deze scriptie een bijdrage leveren door te inventariseren hoe de beoordeling van
een service auditor’s rapport in het kader van de jaarrekeningcontrole in de praktijk wordt
aangepakt, en indien nodig concrete aanbevelingen te identificeren met betrekking tot het
beoordelen van een service auditor’s rapport, met speciale aandacht voor de rol van de IT auditor
hierbij.
1.4 Vraagstelling
Om een deze doelstelling te behandelen, hanteren wij de volgende centrale onderzoeksvraag die
de basis van het onderzoek:
Hoe dient een service auditors rapport te worden beoordeeld in het kader van een
jaarrekening controle en welke rol speelt de IT auditor hierbij.
Om een gestructureerd antwoord te kunnen geven op bovenstaande centrale onderzoeksvraag
hebben wij de volgende deelvragen geformuleerd:
1. Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking
tot een beoordeling van een service auditor’s rapport in het kader van de
jaarrekeningcontrole?
1

2. Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors
rapport en wordt hier aandacht besteed aan de rol van de IT auditor?
3. Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit
conform de richtlijnen?
1.5 Onderzoek aanpak
Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en
praktijkgericht antwoord te krijgen op de centrale onderzoeksvraag. Aan de hand van een
literatuurstudie hebben wij ons verdiept in de standaarden van service auditor’s rapportages en
de standaarden en richtlijnen die aanwezig zijn voor accountants met betrekking tot het
beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole.
Vervolgens hebben wij besloten het praktijk onderzoek in enquêtevorm uit te voeren. Om te
voorkomen dat wij door het definiëren van gesloten vragen ‘gewenste’ antwoorden zouden
uitlokken, hebben wij bewust voor een open hoofdvraag gekozen. Omdat er een zekere mate van
vaktechnische kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder
een geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA’s) en
Register IT auditors (RE’s) zijn allen regelmatig betrokken bij het beoordelen van een service
auditor’s rapport in het kader van een jaarrekeningcontrole.
De resultaten van de enquête zijn geanalyseerd aan de hand van de geïdentificeerde standaarden
(zie hoofdstuk 2 en 3) en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de
aanpak van de RA’s en RE’s. Uiteindelijk hebben we concrete aanbevelingen opgesteld om de
beoordeling van een service auditor’s rapport te verbeteren.
1.6 Reikwijdte van het onderzoek
De reikwijdte van ons onderzoek is het beoordelen van een service auditor’s rapport in het kader
van de jaarrekening controle en de rol van de IT auditor hierbij. Dit betekent dat wij ingaan op de
verantwoordelijkheden van de gebruikers auditor, en nadrukkelijk niet op de
verantwoordelijkheden van de service auditor.
1.7 Opbouw van de scriptie
De scriptie is opgebouwd uit drie delen:
• Beschrijving
• Analyse
• Beschouwing en conclusie
Beschrijving
De eerste drie hoofdstukken vormen het beschrijvende deel van het onderzoek. In hoofdstuk 2
zal antwoord gegeven worden op deelvraag 1 door dieper in te gaan op de belangrijke kenmerken
van een service auditor’s rapport. Dit aspect behandelen wij aan de hand van de nieuwe
internationale ISAE 3402 standaard, maar ook met aandacht voor de verschillen tussen deze
nieuwe standaard en haar voorganger, de Amerikaanse SAS70 standaard.
Hoofdstuk 3 zal antwoorde geven op deelvraag 2 door de theorie rondom de jaarrekening
controle zelf en de beschikbare richtlijnen ten aanzien van het beoordelen van een service
auditor’s rapport in het kader van de jaarrekeningcontrole te behandelen. Daarbij zoeken wij
specifiek ook naar richtlijnen ten aanzien van de rol van de IT auditor bij dit proces.
Analyse
Het tweede deel van dit onderzoek, hoofdstuk 4, betreft het onderzoek van de huidige manier
van beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle en
geeft hiermee antwoord op deelvraag 3. Het onderzoek wordt uitgevoerd aan de hand van een
enquête, waarna de resultaten worden geanalyseerd aan de hand van de NV COS 402 standaard
uit de theorie. Aangezien wij vanuit onze praktijkervaring hebben gemerkt dat zowel accountants
als IT auditors betrokken zijn bij het beoordelen van service auditor’s rapporten hebben wij ook
de verschillen in aanpak tussen beide beroepsgroepen proberen te identificeren.
2

Beschouwing en conclusie
Tenslotte volgt in hoofdstuk 5 een beschouwend gedeelte waar wij op basis van de reeds
verzamelde informatie, de inventarisatie en ons professional judgment komen tot een conclusie
ten aanzien van de centrale onderzoeksvraag. In dit deel van de scriptie hebben wij ook een
aantal concrete aanbevelingen opgenomen om het beoordelings proces te optimaliseren, waarbij
wij specifiek aandacht besteden aan de rol van de IT auditor bij dit proces.
4

2. Het Service Auditor’s Rapport
2.1 Inleiding
In vrijwel alle sectoren besteden organisaties vandaag de dag diensten uit aan derde partijen.
Daarbij gaat het om een veelheid aan diensten, variërend van IT en salarisverwerking tot en met
processen op het gebied van administratie of vermogensbeheer. Als gevolg van uitbesteding van
processen is er steeds meer behoefte aan zekerheid hierover. [Keij09] Een middel om meer
zekerheid ofwel assurance te verkrijgen over uitbestede processen is het service auditors rapport.
Een service auditors rapport is de verzamelnaam voor alle rapportage standaarden waarmee
zekerheid kan worden verkregen over uitbestede processen [Beek10]. In de huidige praktijk komt
de Amerikaanse SAS70 standaard het meeste voor. Inmiddels is er echter ook een internationale
standaard beschikbaar, de ISAE 3402. De Amerikaanse SAS70 standaard is kortgeleden ook in lijn
gebracht met de internationale standaard, wat geresulteerd heeft in de SSAE-16 standaard.
Wij beogen met dit hoofdstuk niet een compleet overzicht te geven van alle beschikbare service
auditor rapport standaarden en de verschillen tussen deze standaarden. Over dit onderwerp zou
een complete scriptie geschreven kunnen worden. Wel zullen we een beeld schetsen van wat een
service auditors rapport is en welke aspecten belangrijk zijn met het oog op de beoordeling
ervan.
Aangezien wij verwachten, mede op basis van gesprekken met onze klanten, dat de ISAE 3402
standaard in de Nederlandse praktijk het meeste zal voorkomen zullen wij ons in dit hoofdstuk
focussen op de ISAE 3402 standaard. Echter, aangezien de SAS70 standaard op dit moment nog
het meeste voorkomt, zullen we ook de belangrijkste verschillen tussen de ISAE 3402 en de SAS70
standaard behandelen ten aanzien van de aspecten die van belang zijn bij de beoordeling van een
service auditor’s rapport. Daarnaast staan we kort stil bij enkele andere voorkomende
standaarden.
Dit hoofdstuk is als volgt opgebouwd: In paragraaf 2.2 behandelen we de basisbegrippen van
service auditors rapport. In paragraaf 2.3 staan we even kort stil bij de historie van een service
auditors report. Vervolgens gaan we in paragraaf 2.4 in op de nieuwe ISAE 3402 standaard en de
kenmerken die van belang zijn bij de beoordeling ervan. In paragraaf 2.5 staan we stil bij
relevante nationale standaarden. Tenslotte behandelen we in paragraaf 2.6 slotopmerkingen.
2.2 Basisbegrippen van het service auditor’s rapport
In deze paragraaf geven we een overzicht van de basisbegrippen ten aanzien van een service
auditors rapport. Onderstaand figuur geeft deze basisbegrippen weer.
5

Figuur 1: relaties ten aanzien van een Service auditor’s rapport
De volgende partijen zijn hierbij relevant:
• de gebruikers organisatie: de organisatie die een dienst of proces heeft uitbesteed aan
de service organisatie.
• de service organisatie: de organisatie die de dienst van de gebruikers organisatie
uitvoert op basis van afspraken met de gebruikersorganisatie
• gebruikers auditor: De auditor van de gebruikers organisatie
• service auditor: De auditor die op verzoek van de service organisatie rapporteert over
de interne beheersing met betrekking tot de door de service organisatie uitgevoerde
werkzaamheden.
Zoals in figuur 1 aangegeven is er een relatie tussen de gebruikers organisatie en de service
organisatie. De gebruikers organisatie heeft een dienst uitbesteed en heeft hier afspraken over
gemaakt met de service organisatie. Vaak zijn deze afspraken vastgelegd in onder andere een
Service Level Agreement.
Indien de uitbestede dienst van materieel belang is en daarmee invloed heeft op de jaarrekening
van de gebruikers organisatie, zijn de vastgelegde afspraken echter niet voldoende voor de
gebruikers auditor. Volgens de NV COS 402 standaard, die we in hoofdstuk 3 verder zullen
behandelen, dient de gebruikers auditor zich een beeld te vormen van de interne beheersing van
de service organisatie, en dient de auditor zekerheid te verkrijgen over deze interne beheersing
van der service organisatie. Zoals eerder aangegeven is het service auditors rapport daar een
middel voor.
2.3 Historie van het service auditor’s rapport
De historie van het service auditor’s rapport kan het beste worden omschreven aan de hand van
de geschiedenis van de SAS70 standaard. De SAS70 of voluit geschreven ‘Statement on Auditing
Standards No. 70: Service Organizations’ was een audit standaard die in april 1992 is uitgegeven
door de Auditing Standards Board of the American Institute of Certified Public Accountants
(AICPA), onder de officiële titel “Reports on the Processing of Transactions by Service
Organizations”. 1 In 2005 bracht de AICPA een geactualiseerde audit guide uit voor SAS70,
genaamd ‘Service Organizations: Applying SAS No. 70, as Amended’ en maakte tot op heden deel
uit van ‘AU Section 324 Service Organizations’, maar in de praktijk wordt nog steeds de term
SAS70 gebruikt. [AICPA05]
In Nederland is het eerste SAS70 rapport uitgebracht in 2000 en heeft het daarna een grote vlucht
genomen, mede door de steeds strengere eisen die er werden gesteld aan een verantwoording
van een goed ondernemingsbestuur. Dit heeft geleid tot regelgeving, zoals de
uitbestedingsrichtlijnen voor verzekeraars en pensioenfondsen van De Nederlandse Bank en het
vastleggen van sectie 404 uit de Amerikaanse Sarbanes-Oxleywetgeving in 2002 [Verw08]. Uit een
6

onderzoek van Deloitte voor het Money Management Institute blijkt dat SAS70 de jaren daarna
meer en meer bekend is geworden. In 2008 was meer dan 90% van de respondenten al met
SAS70 in aanraking gekomen en meer dan 80% heeft zelfs inhoudelijke kennis over het rapport en
de standaard zelf ontwikkeld over de jaren. [MMI08].
2.4 ISAE 3402
Zoals in de inleiding aangegeven wordt de ISAE 3402 standaard gebruikt om het service auditors
rapport verder toe te lichten. We beginnen met een beschrijving van hoe de standaard tot stand
is gekomen. Daarna zullen we ingaan op de belangrijkste aspecten van de standaard met het oog
op de beoordeling ervan.
2.4.1 Van exposure draft naar standaard
De International Standard on Assurance Engagements (ISAE) 3402 is een nieuwe standaard voor
assurance opdrachten bij uitbesteding. De ISAE 3402 is ontwikkeld door de International Auditing
and Assurance Standards Board (IAASB), een comité wat onderdeel is van de International
Federation of Accountants (IFAC). De IAASB is verantwoordelijk voor het ontwikkelen van onder
andere audit standaarden. De IAASB volgt hiervoor een gestructureerd proces en werkt nauw
samen met haar consultatie advies groep. De ‘exposure draft’ voor de ISAE 3402 is uitgebracht in
december 2007 en werd er om publiekelijk commentaar gevraagd aan verschillende
internationaal gewaardeerde organisaties. Ontvangen reacties zijn door de IAASB beoordeeld en
resulteerde uiteindelijk in de definitieve versie van de ISAE 3402 standaard die uitgebracht is op
18 december 2009. De ISAE 3402 gaat in voor opdrachten met periodes eindigend op of na 15 juni
2011. 2
1) Zie http://sas70.com 2.4.2 voor Kenmerken meer informatie
ISAE 3402 standaard
In deze paragraaf gaan we in op de kenmerken van de ISAE 3402 standaard. Zoals eerder
aangegeven beogen we geen volledig overzicht te geven van de standaard, maar halen we de
belangrijkste aspecten aan in het licht van onze onderzoeksvraag: hoe beoordeel je een service
auditor’s rapport in het kader van de jaarrekening controle. Daarnaast geven we voor de
verschillende aspecten aan hoe ze zich verhouden tot de SAS70 standaard. Voor een compleet
overzicht van de kenmerken van de ISAE 3402 standaard verwijzen wij naar de standaard zelf
[IFAC09.01]. Voor een compleet overzicht van de verschillen met de SAS70 standaard verwijzen
wij naar Ewals [Ewals10] of van Beek [Beek10]
Reikwijdte van de ISAE 3402 standaard
Processen met impact op de financiële verslaglegging
In de definitieve versie van de ISAE 3402 standaard wordt uiteindelijk aangegeven dat de scope
van de processen waarover de service auditor rapporteert, conform de SAS70 standaard, enkel
mag bestaan uit processen met een impact op de financiële verslaggeving van
gebruikersorganisaties [Beek10]. Dit is een opvallend punt aangezien er bij de exposure draft nog
sprake was van een verbreding van de scope met processen zonder impact op de financiële
verslaggeving.
Toch meldt Ewals in zijn recente artikel: “Wel is door de IAASB de deur opengezet voor een
grotere reikwijdte door in de ISAE-teksten op te nemen, waarin is aangegeven dat
beheersmaatregelen rondom operations van de serviceorganisatie en compliance met wet- en
regelgeving ook relevant kunnen zijn voor de financial reporting van de user organisatie.”
[Ewals10]
In de ISAE 3402 standaard lezen wij “This International Standard on Assurance Engagements
(ISAE) deals with assurance engagements undertaken by a professional accountant in public
practice to provide a report for use by user entities and their auditors on the controls at a service
organization that provides a service to user entities that is likely to be relevant to user entities’
internal control as it relates to financial reporting”. [IFAC09.01] Naar onze mening is het gebruik
van de woorden ‘likely to be relevant’ hier verwarrend aangezien op deze manier onduidelijkheid
kan ontstaan over de geoorloofde scope. De verschillende meningen onder de experts bevestigen
dit beeld. Het is in ieder geval duidelijk dat de standaard overige processen niet per definitie
uitsluit.
7

In de praktijk verwachten wij overigens, mede op basis van feedback van onze klanten, dat
service organisaties de introductie van de ISAE 3402 standaard zullen gebruiken om de reikwijdte
van hun huidige SAS70 rapportage te beperken tot processen die daadwerkelijk impact hebben
op de financiële verslaggeving, ook al was het formeel onder de SAS70 standaard ook niet
geoorloofd om andersoortige processen op te nemen.
Richtlijnen ten aanzien van reikwijdte en diepgang
Een ander punt ten aanzien van de reikwijdte van de ISAE 3402 standaard is dat de standaard zelf
geen richtlijnen (guidance) bevat ten aanzien van de welke processen dan impact hebben op de
financiële verslaggeving, of met welke diepgang deze processen dienen te worden meegenomen
in het interne beheersingsraamwerk van de service organisatie. Het is daarmee feitelijk aan de
service organisatie, al dan niet in overleg met de service auditor, gebruikers organisatie en
wellicht ook de gebruikers auditor, om te bepalen welke processen in scope zouden moeten zijn
en met welke diepgang de beheersmaatregelen worden gedefinieerd. Voor de gebruikers auditor
blijft het daarmee van uitermate groot belang om de reikwijdte en diepgang van een service
auditor’s rapport te beoordelen, en niet aan te nemen dat de reikwijdte voldoende is.
Typen rapporten
In de ISAE3402 standaard en feitelijk conform de SAS70 standaard, zijn er twee typen rapporten
te onderscheiden, namelijk:
• Type I rapport – in dit rapport geeft de service auditor in haar mededeling een redelijke
mate van zekerheid over de opzet en het bestaan van de interne beheersing van de service
organisatie op een bepaalde datum. De mededeling die de service auditor afgeeft omvat
dat de beschrijving van het ‘systeem’ van de service organisatie een getrouw beeld geeft en
dat de interne interne beheersingsmaatregelen die betrekking hebben op de interne
beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem
vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet [IFAC09.01].
• Type II rapport – In dit rapport geeft de service auditor in haar mededeling naast de opzet
en bestaan ook een redelijke mate van zekerheid over dat de interne beheersmaatregelen
2) Zie http://www.ifac.org voor meer informatie
hebben gewerkt over een bepaalde periode. [IFAC09.01]
In de praktijk wordt het type I rapport gebruikt als ‘opstap’ naar een type II rapport. Een type I
rapport is in het kader van de jaarrekeningcontrole van weinig waarde aangezien de
gebruikersauditor zich alleen een beeld kan vormen van de interne beheersing bij de service
organisatie, maar niet over de werking van deze interne beheersing. Het zal dan vaak nodig zijn
om zelf werkzaamheden uit te voeren om de effectieve werking van geïmplementeerde
beheersmaatregelen vast te stellen.
Management verklaring
Onder de SAS 70 standaard gaf de service auditor in haar mededeling een opinie af over de opzet,
het bestaan en, indien het een Type II rapport betrof, de werking van de interne
beheersmaatregelen van de service organisatie. Bij de ISAE 3402 standaard is, naast deze opinie
die afgegeven wordt door de service auditor, ook het management van de service organisatie
verplicht een getekende verklaring af te geven. Middels deze verklaring dient de service
organisatie te verklaren dat, in alle van materieel belang zijnde opzichten, en op basis van
geschikte criteria:
a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is
opgezet en geïmplementeerd op de gespecificeerde datum;
b. de interne beheersingsmaatregelen die verband houden met interne
beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem
op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet;
c. de interne beheersingsmaatregelen die verband houden met de interne
beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem
staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten (NB: alleen van
toepassing bij een type II rapport.) [IFAC09.01]
Uit de toelichting in de ISAE 3402 standaard wordt aangegeven: “Het feit dat de accountant van
de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is
geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor
haar bewering te verschaffen.” Dit betekent dat de ISAE 3402 standaard vereist dat de service
8

organisatie zelf procedures hanteert om de opzet, bestaan en werking van haar interne
beheersmaatregelen te toetsen om zo een redelijke basis te hebben voor haar management
verklaring. De standaard geeft niet expliciet aan wat nu precies deze redelijke basis is. Dit zal dus
over worden gelaten aan het professional judgment van de service auditor. Wij verwachten dat
de Big Four kantoren interne richtlijnen zullen gaan opstellen met betrekking tot dit punt.
Een bijkomend vraagstuk met betrekking tot de managementverklaring is vervolgens de discussie
rondom de tekenbevoegdheid van de managementverklaring. Het is vanuit de standaard namelijk
onduidelijk welke personen binnen het management van de service organisatie nu wel of niet de
verklaring mogen ondertekenen. In de standaard valt te lezen: “Where this ISAE requires the
service auditor to inquire of, request representations from, communicate with, or otherwise
interact with the service organization, the service auditor shall determine the appropriate
person(s) within the service organization’s management or governance structure with whom to
interact. This shall include consideration of which person(s) have the appropriate responsibilities
for and knowledge of the matters concerned.”[IFAC09.01] Ook hier verwachten wij dat de
verschillende kantoren daar eigen richtlijnen zullen ontwikkelen.
In het kader van ons onderzoek kunnen wij gebruikers auditors die een ISAE 3402 rapport
beoordelen adviseren om de service organisatie of service auditor te vragen hoe er met
bovenstaande punten wordt omgegaan, te meer aangezien de standaard niet vereist dat de
service auditor rapporteert over de omgang ten aanzien van bovenstaande punten.
Mededeling van de service auditor
Een opvallend punt is dat, ondanks het feit dat het management zelf verklaart dat de interne
beheersing effectief heeft gewerkt, de service auditor haar mededeling nog steeds dient te
formuleren als een ‘direct reporting’ conclusie.[IFAC09.01] Dit betekent dat de service auditor in
haar mededeling niet verwijst of steunt op de management verklaring of de werkzaamheden die
het management heeft uitgevoerd, maar aangeeft tot het oordeel te zijn gekomen op basis van
eigen werkzaamheden. Daarmee verschilt de mededeling onder de ISAE 3402 standaard niet van
de mededeling onder de SAS70 standaard.
Sub-service organisaties
Het komt in de praktijk regelmatig voor dat de service organisatie op haar beurt een deel van
haar processen heeft uitbesteed aan een andere service organisatie. Zo’n service organisatie
wordt een sub-service organisatie genoemd. Een volledige definitie van een sub-service
organisatie wordt door ISAE 3402 als volgt beschreven: een service organisatie gebruikt door een
andere service organisatie om een deel van haar diensten uit te voeren ten behoeve van de
gebruikersorganisatie die relevant kunnen zijn tot de interne controle van de
gebruikersorganisatie waar het relateert aan de financiële verslaggeving. [IFAC09.01]
De ISAE 3402 standaard voorziet, ook weer conform de SAS70 standaard, in twee methoden ten
aanzien van de omgang met sub-service organisaties:
• Inclusive methode
Bij deze methode neemt de service organisatie de sub-service organisatie mee in de reikwijdte
van het ISAE 3402 rapport en wordt de beheersomgeving en daarmee de relevante
beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie onderdeel van de
scope van het service auditors rapport. The service auditor test de beheersmaatregelen bij de
sub-service organisatie en rapporteert in het service auditors rapport over de resultaten. Hiermee
geeft de service auditor ook een redelijke mate zekerheid over de interne beheersomgeving van
de sub-service organisatie.
• Carve out methode
Bij deze methode wordt de sub-service organisatie buiten de reikwijdte van het service auditors
rapport gehouden en neemt de service organisatie alleen de diensten die zij zelf uitvoert op in het
service auditor’s rapport. De beheersomgeving, relevante beheersdoelstellingen en
beheersmaatregelen van de sub-service organisatie worden niet meegenomen als object van
onderzoek voor de audit, waardoor er door de service auditor ook geen zekerheid wordt gegeven
over de interne controle van de sub-service organisatie. In deze gevallen zal de sub-service
organisatie vaak zelf een service auditors rapport afgeven.
9

Een belangrijk verschil met de SAS70 standaard is dat er in het geval van de inclusive methode,
het volgens de ISAE 3402 standaard ook verplicht is om een management verklaring van de subservice
organisatie op te nemen. In de standaard staat te lezen: “De opname methode (inclusive
methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie
met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de
subserviceorganisatie hierin voorziet.” [IFAC09.01].
Wij verwachten dat de inclusive methode gezien bovenstaande minder vaak zal voorkomen. In
deze gevallen zal de sub-service organisatie waarschijnlijk zelf een service auditor’s rapport
uitbrengen. Dat betekent dat in het kader van de beoordeling van een service auditor’s rapport
het dan ook vaker zal voorkomen dat de gebruikers auditor de rapportages van de sub-service
organisaties dient te beoordelen. In hoofdstuk 4 gaan we verder op dit punt in.
Aanvullende interne beheersmaatregelen van de gebruikende entiteit
Conform de SAS70 standaard is de service organisatie ook bij de ISAE 3402 standaard verplicht
om eventuele aanvullende interne beheersmaatregelen waarvan de service organisatie aanneemt
dat deze geïmplementeerd zijn bij de gebruikers organisatie op te nemen in het rapport
[IFAC09.01]. Hierbij gaat het om beheersmaatregelen die noodzakelijk zijn om de interne
beheersdoelstellingen waarover de service auditor rapporteert, te behalen.
Een voorbeeld hiervan is bijvoorbeeld een salarisverwerker die in de aanvullende interne
beheersmaatregelen aangeeft dat de salarismutaties die de gebruikersorganisatie aan de service
organisatie doorgeeft juist en volledig dienen te zijn.
Werkzaamheden uitgevoerd door Internal Audit
Vanuit de ISAE 3402 standaard is de service auditor verplicht om een beschrijving op te nemen
van eventuele testwerkzaamheden die zijn uitgevoerd door de Internal Auditor en een
beschrijving van de invloed van deze werkzaamheden op de opinie van de service auditor
[IFAC09.01]. Onder de SAS70 standaard werden activiteiten uitgevoerd door Internal Audit onder
verantwoordelijkheid van de service auditor uitgevoerd en hoefden deze niet vermeld te worden
in de rapportage.
2.5 Nationale service auditor rapport standaarden
Zoals eerder aangegeven is de ISAE 3402 de eerste internationale standaard ten aanzien van
assurance over uitbestede processen. Naast de Amerikaanse SAS70 standaard zijn in andere
landen in de loop der jaren verschillende standaarden ontstaan. In figuur 2 geeft Gaskin een
overzicht van aantal standaarden waar de ISAE 3402 invloed op zal hebben. Zij geeft hierbij aan
dat nationale organisaties die standaarden ontwikkelen er op aangedrongen worden om ofwel de
ISAE 3402 direct toe te passen ofwel hun huidige standaard er nauw op de ISAE 3402 aan te
sluiten. [Gas09]
Figuur 2: relatie ISAE 3402 met bestaande standaarden
10

Het advies van Gaskin is door de Auditing Standards Board van de AICPA al overgenomen. In April
2010 heeft de AICPA de opvolger van de SAS 70 standaard gepubliceerd, de Statement on
Standards for Attestation Engagements (SSAE) 16. SSAE 16 zal de SAS 70 standaard vervangen als
de standaard van rapportering over service organisaties voor periodes eindigend op of na 15 juni
2011. 3
De SSAE 16 standaard is hiermee feitelijk de Amerikaanse ‘vertaling’ van de internationale ISAE
3402 standaard. Ten opzichte van de ISAE 3402 standaard is er wel een aantal verschillen, maar
de kenmerken die van de ISAE 3402 die wij in de vorige paragraaf hebben behandeld zijn ook
voor de SSAE 16 standaard van toepassing. In het kader van onze onderzoeksvraag voert het dan
ook te ver om verder stil te staan bij deze verschillen. Wij verwijzen de lezer graag naar de
website gewijd aan de standaard voor meer informatie 3 .
Inmiddels is ook de Nederlandse vertaling van de ISAE 3402 standaard beschikbaar vanuit NOREA.
Alhoewel er meer verschillen zijn, is het opvallend dat waar de IFAC aangeeft bij de scope van de
standaard: “This International Standard on Assurance Engagements (ISAE) deals with assurance
engagements undertaken by a professional accountant in public practice…“ [IFAC09.01], NOREA
ervoor kiest om de term ‘professional accountant in public practice’ te vertalen met
‘beroepsbeoefenaar’ [NOREA11]. NOREA geeft dan ook aan in een voetnoot dat de term
beroepsbeoefenaar “de IT-auditor, zoals gedefinieerd in het Reglement Gedragscode” betreft.
Dat betekent dat een ISAE 3402 rapport in Nederland ook zou kunnen worden afgegeven door
een ‘interne’ IT auditor en niet per definitie een IT auditor binnen een professional services
kantoor.
De overige standaarden die door Gaskin worden genoemd komen in de Nederlandse praktijk niet
of nauwelijks voor. We gaan dan ook niet verder op deze standaarden in. Een standaard die we in
Nederland wel regelmatig tegenkomen is de De Third Party Mededeling of “Derde Partij
Mededeling”. Dit is een in Nederland gebruikt service auditors rapport zonder vormvoorschriften
voor de wijze van rapporteren. [Vries08] Deze vorm van een service auditor rapport is ontstaan
door een vraag naar standaardisatie in IT onderzoeken naar de kwaliteit in beheersing door ITdienstverleners.
[Jonk07]. Inmiddels wordt de TPM vrijwel altijd onder de assurance standaard
NV COS 3000 “Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van
historische financiële informatie” afgegeven. Hoewel de NV COS 3000 standaard niet specifiek
3) Zie http://www.ssae-16.com gericht is voor op de meer betrouwbaarheid informatie
en integriteit van de financiële verslaggeving, komt het in de
praktijk regelmatig voor dat er in het kader van een jaarrekening gebruik wordt gemaakt van een
rapport onder NV COS 3000. Veel van de kenmerken van de ISAE 3402 standaard gelden niet voor
de een service auditors rapportage uitgebracht onder NV COS 3000. Zoals we in hoofdstuk 3
zullen laten zien wordt er in de richtlijnen ten aanzien van het gebruikmaken van een service
auditor’s rapport echter geen onderscheid gemaakt naar de standaard waaronder het service
auditor’s rapport is uitgebracht. Dat betekent dat indien de gebruikers auditor gebruik zou willen
maken van rapport onder NV COS 3000, hij of zij extra aandacht zal moeten besteden om te
bepalen of het rapport wel geschikt is voor het gebruik in het kader van de jaarrekeningcontrole.
2.6 Slotopmerkingen
We hebben met dit hoofdstuk de benodigde achtergrond ten aanzien van het service auditor’s
rapport verschaft om later in deze scriptie te kunnen aangeven hoe een service auditor’s rapport
dient te worden beoordeeld. Aan de hand van de nieuwe internationale standaard ISAE 3402
hebben we de belangrijke aspecten van een service auditor’s rapport toegelicht in het kader van
het beoordelen van een service auditor’s rapport. Daarnaast hebben we de reikwijdte van een
service auditor’s rapport behandeld, en we hebben aangegeven welke verschillen er op deze
punten bestaan met de op dit moment veel voorkomende SAS70 standaard. Tenslotte hebben we
kort stilgestaan bij enkele relevante nationale standaarden.
Uit dit hoofdstuk blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan
er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder
impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de
processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang
van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment.
11

Voor de gebruikers auditor betekent bovenstaande dat er expliciete aandacht dient te worden
besteed aan met name de reikwijdte en diepgang van een service auditor’s rapport. De
gebruikers auditor zal zich moeten verdiepen in de afwegingen die (al dan niet expliciet) zijn
gemaakt door zowel de service auditor als de service organisatie.
12

3 Richtlijnen voor het beoordelen van een service auditor’s
rapport in het kader van de jaarrekeningcontrole.
3.1 Inleiding
In dit hoofdstuk gaan wij na welke richtlijnen er beschikbaar voor het beoordelen van een service
auditors rapport in het kader van de jaarrekening controle en of in deze richtlijnen aandacht
wordt besteed aan de rol van de IT auditor. In paragraaf 3.2 schetsen wij eerst een korte
achtergrond van de jaarrekening controle zelf voordat wij in paragraaf 3.3 de richtlijnen
behandelen die de accountant helpen de jaarrekening controle uit te voeren. Vervolgens zullen
wij in paragraaf 3.4 ingaan op richtlijnen die zijn opgesteld ten aanzien van het beoordelen van
een service auditor’s rapport in het kader van de jaarrekening controle. Ten slotte zal paragraaf
3.5 achterhalen in welke mate de richtlijnen aandacht besteden aan de rol van een IT auditor
tijdens het beoordelen van een service auditor’s rapport.
3.2 De jaarrekeningcontrole
Sinds de vernieuwing van de Wet op de jaarrekening van ondernemingen (WJO, hoofdstuk 12)
zijn vanaf 1971 niet alleen voor Naamloze Vennootschappen, maar voor alle rechtspersonen de
voorschriften omtrent de inhoud van het jaarverslag verscherpt [Dorr08]. In het kader van
externe verslaggeving zijn alle rechtspersonen verplicht een jaarverslag uit te brengen. De
externe verslaggeving is gericht op het informeren van belanghebbenden over de ontwikkelingen
binnen een onderneming. Het jaarverslag bestaat uit financiële informatie en uit informatie die
gericht is op het geven van een goede beeldvorming van de onderneming.
De jaarrekening is een onderdeel van het jaarverslag en bestaat uit de balans, winst- en
verliesrekening, toelichtingen en de accountantsverklaring. Er zijn verschillende definities van de
jaarrekening en om deze reden starten wij bij de beschrijving uit de Van Dale: “staat van
ontvangsten en uitgaven over een heel boekjaar”. Dit is een zeer bondige definitie en laat naar
onze mening onvoldoende het doel zien van de jaarrekening. Wij kunnen ons meer vinden in de
definitie uit Titel 9 van het Burgerlijk Wetboek 2:
3.3 Richtlijnen voor de jaarrekeningcontrole
Internationaal is IFAC de organisatie die zich bezig houdt om een accountantsberoep te
ontwikkelen en te bevorderen dat in staat is op uniforme wijze diensten te verlenen van hoge
kwaliteit ten behoeve van het algemeen belang. Binnen Nederland is het Koninklijk NIVRA als lid
van IFAC verplicht het werk van IFAC te ondersteunen door haar leden te informeren over alle
uitspraken van IFAC en met name de implementatie van de Standaarden van IFAC in de
Nederlandse wet- en regelgeving te bewerkstelligen, voor zover dat onder de plaatselijke wet- en
regelgeving mogelijk is. 4 Dit heeft als resultaat dat de ISA (International Standards on Auditing)
richtlijnen uitgebracht door IFAC worden opgenomen door het NIVRA in de nationale Nadere
Voorschriften Controle- en Overige Standaarden (NV COS) welke zijn opgenomen in de
Handleiding Regelgeving Accountancy.
Ten behoeve van de auditor van een organisatie heeft het NIVRA een Stramien opgesteld wat een
referentiekader geeft voor accountants in de accountantspraktijk die een assurance-opdracht
uitvoeren, anderen die betrokken zijn bij assurance-opdrachten, waaronder de beoogde
gebruikers van een assurance-rapport en de verantwoordelijke partij en de beroepsorganisaties
(NIVRA/NOvAA) bij de ontwikkeling van Controlestandaarden, Standaarden voor
Beoordelingsopdrachten en Standaarden voor Assurance-opdrachten. Dit Stramien bepaalt en
omschrijft de elementen en doelstellingen van een assurance-opdracht en geeft aan op welke
4) Zie http://www.nivra.nl voor meer informatie
“De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als aanvaardbaar
worden beschouwd een zodanig inzicht dat een verantwoord oordeel kan worden gevormd
omtrent het vermogen en het resultaat, alsmede voor zover de aard van de jaarrekening dat
toelaat, omtrent de solvabiliteit en de liquiditeit van een rechtspersoon”
13

opdrachten de Controlestandaarden, de Standaarden voor Beoordelingsopdrachten en de
Standaarden voor Assurance-opdrachten van toepassing zijn. 4 Dit Stramien beschrijft geen
procedurele eisen voor de uitvoering van assurance-opdrachten, maar zijn richtlijnen opgenomen
zoals algemene uitgangspunten en noodzakelijke werkzaamheden.
Wij zullen kort dit Stramien behandelen om zo tot de richtlijnen te komen die wij verder willen
toelichten in het kader van ons onderzoek. Het Stramien is opgebouwd uit de volgende delen:
· 100 - 999 Opdrachten tot controle van historische financiële informatie
· 2000 - 2699 Opdrachten tot beoordelen van historische financiële opdrachten
· 3000 - 3699 Assurance opdrachten anders dan opdrachten tot controle of beoordelen van
historische financiële informatie
· 4000 - 4699 Aan assurance verwante opdrachten
· 5000 - 5699 Overige opdrachten
Uit bovenstaande opbouw van het Stramien is te zien dat in de NV COS onderscheid wordt
gemaakt naar historische financiële informatie, zoals een jaarrekening, en andersoortige
informatie. Wij zijn van mening dat dit onderscheid van belang is voor de toepassing van de juiste
standaarden van de NV COS op het gebied van assurance-opdrachten. Vanuit de reikwijdte van
ons onderzoek beperken wij ons om deze reden tot de NV COS 100 - 999 “opdrachten tot controle
van historische financiële informatie”.
3.4 Richtlijnen voor het beoordelen van een service auditor’s rapport
In de voorgaande paragraaf hebben wij kort het NIVRA stramien behandeld en een beperking
aangebracht tot opdrachten tot controle van historische financiële informatie. In deze paragraaf
gaan wij verder in op de vraag welke NV COS richtlijnen van toepassing zijn op het beoordelen
van een service auditor’s rapport in het kader van de jaarrekening controle. Hierbij is het
belangrijk aan te geven dat wij niet op zoek zijn naar richtlijnen bedoeld voor de service auditor
(deze zijn beschikbaar als onderdeel van de verschillende standaarden), maar naar de richtlijnen
bedoeld voor de gebruikers auditor. In de Handleiding Regelgeving Accountancy (HRA) van 2010
zijn de standaarden die betrekking hebben op ons onderzoek niet volgens de laatste IFAC
standaarden. [NIVRA10] IFAC heeft namelijk tegelijk met het ISAE 3402 traject de standaard ISA
402 in lijn gebracht. [IFAC09.02]. Om deze reden gebruiken wij de Inhoud Handleiding
Regelgeving Accountancy Deel 1a - januari 2011 waar de nieuwe NV COS standaarden vermeldt
staan zoals vastgesteld door het bestuur per 15 januari 2011. 4
Het NIVRA heeft ten behoeve van het beoordelen van een service auditor’s rapport de standaard
NV COS 402 “Controleoverwegingen wanneer een entiteit gebruik maakt van een
serviceorganisatie” opgesteld. De NV COS 402 behandelt de verantwoordelijkheid van de
gebruikers auditor ten aanzien van het verkrijgen van voldoende controle informatie wanneer
een gebruikersorganisatie gebruik maakt van één of meer service organisaties. De diensten die
door een service organisatie worden verleend moeten hierbij relevant zijn voor de financiële
jaarrekening van de gebruikersorganisatie. [NIVRA11.03]
Hieronder zijn de belangrijkste delen van de NV COS 402 standaard opgenomen.
• Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de
serviceorganisatie te ondersteunen
· Vergewissen dat de accountant van de serviceorganisatie deskundig is en
onafhankelijk van de serviceorganisatie;
· Vergewissen dat de standaarden waaronder het type 1 of type 2 rapport is
uitgebracht, adequaat zijn.
14

• Wanneer de accountant van de gebruiker van plan is om een type 1 of type 2 rapport te
gebruiken als controle-informatie teneinde het inzicht van de accountant in de opzet en het
bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen,
4) Zie http://www.nivra.nl voor
dient
meer
de accountant:
informatie
· Te evalueren of de beschrijving, de opzet en de werking van de interne
beheersingsmaatregelen bij de serviceorganisatie van een datum of voor een periode
is die passend is voor de doeleinden van de accountant van de gebruiker;
· Te evalueren of de informatie die door het rapport wordt verschaft voldoende en
geschikt is voor het inzicht in de voor de controle relevante interne beheersing van de
gebruikende entiteit
· Te bepalen of aanvullende interne beheersingsmaatregelen van de gebruikende
entiteit die door de serviceorganisatie zijn onderkend relevant zijn voor de
gebruikende entiteit en, zo ja, inzicht te verwerven of de gebruikende entiteit
dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo
ja, de werking daarvan te toetsen;
• Indien de accountant van de gebruiker van plan is een type 2 rapport te gebruiken als
controle-informatie dat de interne beheersingsmaatregelen bij de serviceorganisatie
effectief werken, dient de accountant van de gebruiker te bepalen of de rapportage van de
accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft
betreffende de effectiviteit van de interne beheersingsmaatregelen teneinde de risicoinschattingen
van de accountant van de gebruiker te ondersteunen door:
· Te evalueren of de beschrijving, de opzet en de werking van de interne
beheersingsmaatregelen bij de serviceorganisatie van een datum of voor een periode
is die passend is voor de doeleinden van de accountant van de gebruiker;
· Te bepalen of aanvullende interne beheersingsmaatregelen van de gebruikende
entiteit die door de serviceorganisatie zijn onderkend relevant zijn voor de
gebruikende entiteit en, zo ja, inzicht te verwerven of de gebruikende entiteit
dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo
ja, de werking daarvan te toetsen;
· Het adequaat zijn van de tijdsperiode die door de toetsingen van de interne
beheersingsmaatregelen wordt omvat en de verstreken tijd sinds het uitvoeren van de
toetsingen te evalueren;
· Te evalueren of de door de accountant van de serviceorganisatie uitgevoerde
toetsingen van de interne beheersingsmaatregelen en van de resultaten daarvan,
zoals die in het rapport van de accountant van de serviceorganisatie zijn beschreven,
relevant zijn voor de beweringen in de financiële overzichten van de gebruikende
entiteit en of zij voldoende en geschikte controle-informatie verstrekken teneinde de
risico-inschatting van de accountant van de gebruiker te ondersteunen.
• Type 1 en type 2 rapporten die de diensten van een sub-serviceorganisatie uitsluiten
· Indien de accountant van de gebruiker van plan is om gebruik te maken van een type 1
of type 2 rapport die de diensten van een sub-serviceorganisatie uitsluit en die
diensten relevant zijn voor de controle van de financiële overzichten van de
gebruikende entiteit, dient de accountant de vereisten van deze Standaard toe te
passen met betrekking tot de door de sub-serviceorganisatie verleende diensten.
Uit de standaarden van het NV COS blijkt dat bovenstaande richtlijnen betrekking hebben op het
beoordelen van een service auditor’s rapport. Deze richtlijnen zijn van dergelijk niveau dat zij nog
interpreteer baar zijn voor de gebruikers auditor. Wij zullen in het volgende hoofdstuk ons
praktijkonderzoek op deze richtlijnen baseren om vast te stellen of de standaard volledig genoeg
is en of er in de praktijk anders mee omgegaan wordt.
3.5 De rol van de IT auditor
In de vorige paragraaf hebben wij de standaard behandeld die van toepassing is op het
beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. In deze
paragraaf gaan wij verder in op welke wijze de standaarden aandacht besteden ten aanzien van
15

de rol van de IT auditor bij het beoordelen van een service auditor’s rapport. Om dit punt
duidelijk te behandelen, beginnen wij met een stukje historie.
Tot en met 2004 bestond NV COS 401 richtlijn “Auditing in a Computer Information Systems
Environment”. In deze standaard was vastgelegd dat de auditor voldoende kennis behoorde te
hebben over de informatie omgeving om zijn werkzaamheden uit te voeren. [NIVRA05] Vanaf 15
december 2004 is deze richtlijn echter ondergebracht in de NV COS 315 “Het onderkennen en
inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven
van inzicht in de entiteit en haar omgeving” en NV COS 330 “De wijzen van inspelen door de
accountant op ingeschatte risico's”. Deze standaarden beschrijven richtlijnen hoe de auditor
inzicht kan verwerven in de organisatie, haar interne beheersing die relevant is voor de controle,
de risico’s die daarbij aanwezig zijn, en de wijze hoe om te gaan met deze risico’s. [NIVRA11.02] In
de standaard NV COS 315 wordt bij het risico-inschattingsproces het informatiesysteem als
component van de interne beheersing opgenomen. Hierdoor worden er richtlijnen beschreven
welke werkzaamheden een auditor dient te verrichten om inzicht te verwerven in het voor
financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarop betrekking
hebbende bedrijfsprocessen. [NIVRA11.01]
De vraag wie deze activiteiten dan moet uitvoeren wordt behandeld in NV COS 620
“Gebruikmaken van de werkzaamheden van deskundigen”. Deze richtlijn helpt de accountant om
te bepalen wanneer en hoe de accountant gebruik moet maken van deskundigen in het kader van
een jaarrekening controle, en daarmee ook deskundigen op het gebied van IT beheersing.
[NIVRA11.04] Er wordt in de richtlijn geen specifieke aandacht besteed aan de vraag wanneer er
een IT auditor betrokken dient te worden. Zelfs in de voorbeelden die in de richtlijn gegeven
worden met betrekking tot wanneer een deskundige zou kunnen worden ingeschakeld wordt
geen voorbeeld gegeven van een deskundige op het gebied van IT beheersing. Wij maken hier uit
op dat het daarmee aan het professional judgment van de accountant overgelaten om al dan niet
een IT auditor in te schakelen. Dat dit in overeenstemming is met wat de IFAC bedoeld heeft met
deze richtlijnen blijkt uit de inleiding van het Handboek van IFAC 2010 waar het volgende staat:
“The nature of the international standards requires the professional accountant to exercise
professional judgment in applying them.”
Professional judgment (vakkundige oordeelsvorming) wordt vervolgens gedefinieerd als het
toepassen van relevante training / scholing, kennis en ervaring in de context van professionele
standaarden op het gebied van verslaggeving en gedrags- en beroepsregels voor de accountants.
[IFAC10]
Ten aanzien van de specifieke vraag of er in de richtlijnen ten aanzien van het beoordelen van een
service auditor’s rapport in het kader van de jaarrekening controle een rol is weggelegd voor de IT
auditor kunnen wij kort zijn: in de NV COS standaarden wordt daar geen melding van gemaakt en
is dit wederom een kwestie van professional judgment van de gebruikers auditor om te bepalen
of de inzet van een IT auditor noodzakelijk is.
3.6 Slotopmerkingen
In dit hoofdstuk hebben wij kort het doel en theorie achter de jaarrekening controle behandeld,
alsmede de standaarden die de accountant helpen om de controle uit te voeren. Specifiek hebben
wij stilgestaan bij de richtlijnen die beschikbaar zijn ten aanzien van het beoordelen van een
service auditor’s rapport in het kader van de jaarrekening controle, en bij de richtlijnen ten
aanzien van de inzet van een IT auditor bij de jaarrekening controle ten behoeve van het
beoordelen van een service auditor’s rapport.
We merken op dat er met de NV COS 402 standaard richtlijnen bestaan ten aanzien van het
beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. De
richtlijn gaat echter niet veel verder dan het benoemen dan de te beoordelen aspecten. De
diepgang of wijze van beoordelen blijft wederom aan de gebruikers auditor.
De rol van de IT auditor voor het beoordelen van een service auditor’s rapport in het kader van de
jaarrekening is door het ontbreken van een concrete richtlijn volledig een kwestie van
professional judgment aan de kant van de gebruikers auditor.
16

Naar onze mening is dit een gemiste kans. Alhoewel wij het in principe niet verkeerd vinden om
zaken over te laten aan professional judgment, vragen wij ons af of de gebruikers auditor in alle
gevallen de benodigde kennis van de service auditor rapport standaarden in huis heeft om een
goede afweging te maken, zowel op het gebied van de gebruikte service auditor rapport
standaard als de afweging rondom het inschakelen van een IT auditor.
17

4 Beoordeling van een service auditor’s rapport in de praktijk
4.1 Inleiding
In dit hoofdstuk gaan wij in op de manier waarop een service auditor’s rapport in de praktijk
wordt beoordeeld in het kader van een jaarrekeningcontrole en onze analyse op de situatie in de
praktijk. Om dit te kunnen bepalen hebben wij een onderzoek uitgevoerd in de vorm van een
enquête onder een geselecteerd aantal accountants (RA’s) en IT auditors (RE’s) die betrokken zijn
bij jaarrekeningcontroles. Wij hebben dit bij zowel accountants als IT auditors hebben uitgezet
omdat uit onze ervaring blijkt dat de IT auditor vaak een belangrijke rol speelt bij het afgeven en
bij het beoordelen van een service auditor’s rapportage. Paragraaf 4.2 zal eerst de opzet van het
onderzoek behandelen, waarna wij vervolgens de feiten uit de enquête zullen opsommen in
paragraaf 4.3. Deze feiten zullen wij vervolgens tegen de theorie aanhouden en analyseren aan
de hand van onze praktijk ervaring in paragraaf 4.4. Ten slotte zullen wij dit hoofdstuk afsluiten
met slotopmerkingen waar de resultaten van het onderzoek en onze analyse wordt samengevat.
4.2 Opzet van de enquête
Het doel van dit onderzoek is om een antwoord te krijgen op een praktijksituatie. Omdat er een
zekere mate van vaktechnische kennis nodig is omtrent dit onderwerp hebben wij ervoor gekozen
een onderzoek uit te voeren naar meningen van een selecte populatie. Zoals kort aangegeven in
de inleiding hebben wij voor gekozen voor een onderzoek in enquête vorm waar wij gebruik
hebben gemaakt van een vragenlijst. Wij hebben de enquête uitgezet bij een populatie van 15
Register Accountants (RA’s) en IT auditor’s (RE’s) die ofwel specialisten zijn op het vakgebied van
service auditor rapporten, ofwel betrokken zijn bij een groot aantal jaarrekeningcontroles. De
enquête bevat de volgende hoofdvraag:
“Hoe beoordeel jij een service auditor’s rapport in het kader van de jaarrekeningcontrole?”
Om te voorkomen dat wij door het definiëren van specifieke vragen ‘gewenste’ antwoorden
zouden uitlokken, hebben wij hebben bewust voor een open hoofdvraag gekozen. De reikwijdte
en inhoud van de antwoorden hebben wij getracht te sturen door de accountants en IT auditors
de volgende aandachtspunten meegegeven:
• Welke activiteiten voer je uit?
• Wie voert deze activiteiten uit?
• Een service auditor’s rapport bevat in principe altijd business controls en IT controls.
Maak in je activiteiten zo nodig onderscheid tussen deze typen controls.
• Neem ook activiteiten op die niet altijd noodzakelijk zijn, maar die je wel zou uitvoeren
mocht het een nieuwe klant zijn.
• Welke richtlijnen gebruik je bij het beoordelen van een service auditors rapport?
4.3 Resultaten
In totaal hebben 10 van de 15 personen gereageerd op onze enquête. De verdeling RA/RE is gelijk
geworden en nog steeds zijn de specialisten en alle Big Four kantoren vertegenwoordigd in de
populatie van de respondenten. Om de resultaten te analyseren hebben wij in het kader van onze
onderzoeksvraag de paragraaf opgedeeld in de volgende delen:
• Resultaten met betrekking tot gehanteerde standaarden
• Resultaten gekoppeld aan de standaard NV COS 402
• Resultaten met betrekking tot de rol van de IT-auditor
• Omgang met de resultaten van de beoordeling door de audit professional
In deze sub-paragrafen zullen wij aandacht besteden aan de mate waarin respondenten de
aspecten behandelen en de eventuele verschillen tussen de RA’s en RE’s en de. Twee
respondenten voeren beide titels, maar omdat zij op dit moment beiden werkzaam zijn als IT
auditor hebben wij hun antwoorden onder de RE’s meegenomen bij het uitwerken van de
resultaten.
18

4.3.1 Resultaten met betrekking tot gehanteerde standaarden
6 van de 10 respondenten heeft in de enquête aangegeven bekend te zijn met de NV COS 402
standaard. Opvallend is dat de RE’s relatief vaker op de hoogte zijn van de richtlijn (4 RE’s vs 2
RA’s). Een aantal van deze respondenten gaf aan veel in de praktijk te hebben geleerd ten
aanzien van het beoordelen van een service auditor’s rapportage, en niet vaak daadwerkelijk de
standaard te raadplegen. Het achterliggende verhaal is dan vaak dat men een aantal jaar geleden
bij het zien van een service auditor’s rapportage dacht dat het wel goed zat, en dat men
inmiddels heeft geleerd dat het kan voorkomen dat met name de reikwijdte van een service
auditor’s rapportage niet voldoende is in het kader van een jaarrekeningcontrole. Een enkeling
gaf aan ook daadwerkelijk de richtlijn als leidraad te gebruiken om de beoordeling van een
service auditor’s rapport vast te leggen in het audit dossier. Ook werd meerdere malen
aangegeven dat er interne richtlijnen zijn vanuit het kantoor. Waarschijnlijk zijn deze richtlijnen
ook gebaseerd op de NV COS 402.
4.3.2 Resultaten gekoppeld aan de standaard NV COS 402
Om de resultaten verder onder te verdelen hebben wij aan de hand de begeleiding uit de NV COS
402 een opdeling gemaakt in volgende categorieën:
• Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant
in de serviceorganisatie te ondersteunen;
• Het gebruiken van een type 1 of type 2 rapport als controle-informatie teneinde het
inzicht van de accountant in de opzet en het bestaan van interne
beheersingsmaatregelen van de serviceorganisatie te ondersteunen;
• Het gebruiken van een type 2 rapport als controle-informatie dat de interne
beheersingsmaatregelen bij de serviceorganisatie effectief werken;
• Het gebruiken van een type 1 of type 2 rapport die de diensten van een subserviceorganisatie
uitsluit.
Vervolgens hebben wij per categorie de aspecten opgenomen die volgens de NV COS 402
beoordeeld dienen te worden. Per aspect behandelen wij de resultaten uit de enquête.
Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de
serviceorganisatie te ondersteunen:
a. Deskundigheid en onafhankelijkheid van de service auditor
b. De adequaatheid van de betreffende service auditor’s rapport standaard
Ad a) Deskundigheid en onafhankelijkheid van de service auditor
8 van de 10 respondenten gaven in ieder geval aan te bepalen of de service auditor’s rapport is
ondertekend door een bevoegd persoon (RA of RE). 2 van deze 8 personen gaf aan ook vast te
stellen dat de RA of RE van een Big Four kantoor is, en of de persoon ingeschreven staat bij NIVRA
of NOREA. 1 van de respondenten gaf aan ook daadwerkelijk de deskundigheid van de RA of RE
vast te stellen.
Ad b) De adequaatheid van de toepassing van de betreffende service auditor’s rapport standaard
4 van de respondenten, allen RE, gaven aan ook expliciete aandacht te besteden aan de vraag of
de rapportage wel voldoet aan de eisen die de betreffende standaard stelt. Dit betekent
bijvoorbeeld dat wordt bepaald of de mededeling van de service auditor conform de standaard is
opgesteld, en of alle vereiste onderdelen van het rapport aanwezig zijn. Bovendien gaven zij aan
dat dit in het kader van de nieuwe ISAE 3402 standaard van extra belang is vanwege de
managementverklaring die onderdeel is van het rapport. Er dient volgens de respondenten
minimaal bepaald te worden of de managementverklaring dezelfde reikwijdte heeft als de
mededeling van de service auditor.
Het gebruiken van een type 1 of type 2 rapport als controle-informatie teneinde het inzicht van de
accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de
serviceorganisatie te ondersteunen:
c. Datum of periode passend voor de doeleinden
d. Geschiktheid en volledigheid van de verschafte informatie door het rapport
e. Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit
die door de serviceorganisatie zijn onderkend
19

Ad c) Datum of periode passend voor de doeleinden
9 van de 10 respondenten gaven aan te bepalen of de testperiode en het type van het service
auditor’s rapport (type I of type II) aansluiten met de behoefte vanuit de jaarrekeningcontrole.
Ad d) Geschiktheid en volledigheid van de verschafte informatie door het rapport
Bij deze categorie betrekken wij uit de theorie het beoordelen van de reikwijdte van het rapport
en of de interne controle maatregelen van de service organisatie betrekking hebben op de
jaarrekeningcontrole van de gebruikersorganisatie en het beoordelen van de resultaten van de
uitgevoerde testwerkzaamheden door de service auditor.
Alle respondenten behandelen de scope van een service auditor’s rapport. Wel bestaan er grote
verschillen in de mate waarin de scope door de respondent wordt behandeld. Vrijwel iedereen
begint met het bepalen van de scope van uitbestede diensten, vervolgens wordt gekeken of de
beschrijving van de scope van het service auditor’s rapport wel aansluit met deze ‘benodigde’
scope. Wel geven meerdere respondenten aan dat een en ander wel afhangt van de complexiteit
en materialiteit van de uitbestede diensten. Naarmate de uitbestede dienst meer materieel of
complex is wordt er meer aandacht besteed aan de scope van het service auditor’s rapport. Zo
werd meerdere malen het voorbeeld van salarisverwerking genoemd. Daarvan gaven sommigen
aan dat men nauwelijks aandacht besteed aan zo’n service auditor’s rapport, vanwege het feit
dat dat een gestandaardiseerde scope zou zijn. Sommigen gaven aan dat het soms lastig kan zijn
om te bepalen of de scope van een service auditor’s rapport toereikend is aangezien de
beschrijving van de scope (meestal van de hand van de service organisatie) niet altijd even
duidelijk geformuleerd is.
Als de beschrijving van de scope is beoordeeld, geven ruim de helft van de respondenten aan dat
men dan kijkt of de scope van de getoetste beheersmaatregelen ook de beschrijving van de scope
afdekt. Men begint dan eerst met het bepalen of de beheersdoelstellingen de risico’s in de scope
afdekken, soms ook door andere service auditor’s rapport’s van vergelijkbare service organisaties
te benchmarken. Daarna wordt dan ook nog bepaald of de beheersmaatregelen de
beheersdoelstellingen in voldoende mate afdekken. Opvallend is dat de RE in het algemeen
verder de diepte ingaat dan de RA. Door een aantal respondenten (met name RE’s) wordt ook
specifiek aangegeven dat bepaald wordt of de scope van de ITGC voldoende is. Er wordt
aangegeven dat dit ook vaak aan de hand van benchmarking met de ‘eigen’ ITGC scope gebeurt.
Eén van de respondenten gaf aan voorafgaand aan de jaarrekeningcontrole en via de user
organisatie afspraken te (willen) maken met de service auditor met betrekking tot de scope van
een service auditor’s rapport. Alhoewel dit punt geen onderdeel is van het beoordelen van een
service auditor’s rapport, en de service organisatie de scope bepaalt, komen wij nog wel op dit
punt terug in hoofdstuk 5.
Ad e) Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende
entiteit die door de serviceorganisatie zijn onderkend
3 van de 10 respondenten gaf aan dat men vaststelt dat de aanvullende interne
beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn
onderkend ook daadwerkelijk geïmplementeerd zijn bij de gebruikersorganisatie.
Het gebruiken van een type 2 rapport als controle-informatie dat de interne
beheersingsmaatregelen bij de serviceorganisatie effectief werken:
f. De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten
van de gebruikende entiteit
Ad f) De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten
van de gebruikende entiteit
Alle respondenten geven aan te bepalen welke impact eventuele bevindingen hebben op zijn of
haar controle aanpak in het kader van de jaarrekening controle. De meeste respondenten geven
daarbij aan dat er aandacht wordt besteed aan de bevindingen op beheersdoelstelling niveau (bij
de meeste service auditor’s rapporten: de bevindingen die in de mededeling van de service
auditor worden genoemd). Opvallend is dat alle respondenten aangeven (soms zelf met name)
aandacht te besteden aan de detailbevindingen. 7 van de 10 respondenten gaven ook aan
aandacht te besteden aan de afweging van de service auditor met betrekking tot de vraag of
20

evindingen op beheersmaatregel niveau wel of geen impact hebben op het behalen van de
beheersdoelstellingen.
Vier respondenten gaven aan aandacht te besteden aan de omvang de steekproeven, aangezien
de omvang hiervan niet verplicht wordt gesteld door de verschillende standaarden. Waarbij deze
vier respondenten en overigens één andere aangaf ook expliciet te bepalen of de
testwerkzaamheden die de service auditor heeft uitgevoerd ook voldoende zijn om de
beheersmaatregelen te testen.
Het gebruiken van een type 1 of type 2 rapport die de diensten van een sub-serviceorganisatie
uitsluit:
g. Sub-service organisaties
Ad g) Sub-service organisaties
6 van de 10 respondenten hebben specifiek aangegeven dat men bij de beoordeling van een
service auditor’s rapport aandacht wordt besteed aan eventuele sub service organisaties. Met
name de RE (4 van de 6) besteed hier aandacht aan. De respondenten geven aan dat het
belangrijk is om vast te stellen of er een inclusive of carve out methode wordt gebruikt. Indien er
sprake is van een carve out wordt door een beperkt aantal van de respondenten ook een service
auditor’s rapport van de sub-service organisatie opgevraagd, die afzonderlijk wordt beoordeeld.
4.3.3 Resultaten met betrekking tot de rol van de IT-auditor
9 van de 10 respondenten geven aan dat het belangrijk is bepaalde skills in te zetten bij een
beoordeling van een service auditor’s rapport. Al deze 9 geven aan dat het in ieder geval iemand
dient te zijn met kennis van de uitbestede processen. Zij geven aan dat dit vrijwel altijd iemand
zal zijn van het audit team.
Daarnaast geven 7 van de respondenten aan dat in veel gevallen nodig is om een IT auditor te
betrekken bij de beoordeling van de IT general controls (ITGC) scope en ITGC bevindingen. Wel
wordt vaker de kanttekening gemaakt dat dit niet altijd noodzakelijk is. Algemene tendens onder
de respondenten is dat wanneer de uitbestede processen meer complex zijn, of als het uitbestede
proces van materieel belang is voor de jaarrekening controle van de user organisatie, er een IT
auditor wordt ingeschakeld. Opvallend hierbij is dat het blijkbaar niet (alleen) afhangt van de
mate van automatisering van het uitbestede proces. Een ander opvallend punt is dat een beperkt
aantal respondenten aangeeft dat de IT auditor ook vanwege de vaktechnische beoordeling van
een service auditor’s rapport wordt ingeschakeld.
Twee van de respondenten heeft ook aangegeven dat het ook voorkomt dat andere specialisten
worden ingeschakeld bij de beoordeling. Hierbij valt te denken aan experts op het gebied van
vastgoed of actuariële processen.
4.3.4 Omgang met de resultaten van de beoordeling door de audit professional
Alhoewel wij het in onze enquête niet specifiek hebben gevraagd, heeft een aantal respondenten
aangegeven wat de vervolgstappen zijn nadat zij een service auditor’s rapport hebben
beoordeeld. Aangezien dit punt nauw aansluit met de theorie waar de relatie behoort te worden
gelegd tussen de resultaten van de beoordeling met de werkzaamheden in het kader van de
jaarrekening controle, behandelen wij dit punt hier ook.
Zes respondenten geven aan de resultaten vanuit de beoordeling van de service auditor’s rapport
te gebruiken om vast te stellen welke aanvullende werkzaamheden in het kader van de
jaarrekeningcontrole zouden moeten worden uitgevoerd. Hieronder vallen ook additionele
testwerkzaamheden bij de service organisatie. Vervolgens gaven vier respondenten aan alle
bevindingen, vragen en onduidelijkheden te willen bespreken met de service organisatie en/of de
service auditor. Drie respondenten gaven aan relgelmatig een dossierreview uit te voeren op het
dossier van de service auditor. Dit gaat dan om de situatie waarbij grote delen van de activiteiten
van de user organisatie zijn uitbesteed aan de service organisatie.
21

4.4 Analyse
De resultaten van de enquête zijn in de vorige paragraaf opgesomd en hieruit blijkt dat er divers
wordt omgegaan met de beoordeling van een service auditor’s rapport door de audit
professionals. In deze paragraaf voeren wij een analyse uit op de resultaten van het onderzoek
aan de hand van de NV COS 402 standaard en onze eigen praktijkervaring. De analyse verdelen
wij in de volgende categorieën:
• Analyse met betrekking tot de gehanteerde richtlijnen
• Analyse met betrekking tot de rol van de IT-auditor
• Analyse met betrekking tot de resultaten van de beoordeling door de audit professional
4.4.1 Analyse met betrekking tot de gehanteerde richtlijnen
In hoofdstuk 3 is duidelijk geworden dat er één standaard richtlijnen biedt ten aanzien van het
beoordelen van een service auditors rapportage, namelijk de NV COS 402. Uit de resultaten blijkt
dat meer dan de helft van de respondenten de standaard kent. Van deze respondenten geeft
vervolgens een aantal aan dat zij de richtlijnen niet actief gebruiken en veel meer gebruik maken
van de ervaring die zij inmiddels hebben opgebouwd. Ook is belangrijk te vermelden dan
meerdere respondenten aangaven interne richtlijnen te hanteren, welke waarschijnlijk gebaseerd
zijn op de NV COS 402. Alhoewel deze standaarden ongetwijfeld goed zijn ‘vertaald’ naar meer
specifieke interne richtlijnen, is het onzes inziens ook belangrijk de daadwerkelijke standaard te
kennen.
Deskundigheid en onafhankelijkheid van de service auditor
Afgezien van het feit dat bijna alle respondenten lieten weten dat zij controleerden of het service
auditor’s rapport ondertekend is door een RA of RE zijn wij van mening dat dit aspect uit de
richtlijn onvoldoende belicht is. Wel hebben twee van de respondenten aangegeven vast te
stellen welke organisatie het rapport heeft uitgebracht, en of de betreffende RA of RE is
ingeschreven bij het NIVRA of NOREA. Dit zijn inderdaad activiteiten die uitgevoerd kunnen
worden om een deel van de deskundigheid vast te stellen, maar uit de praktijk blijkt dat maar
weinig audit professionals deze activiteiten uitvoeren. Daarbij heeft slechts één van de
respondenten laten weten dat zij specifieke activiteiten uit voeren om de onafhankelijkheid en
deskundigheid van de service auditor vast te stellen. Het punt ten aanzien van de deskundigheid
van de service auditor is met name interessant omdat het vaak voorkomt dat bijvoorbeeld een
service auditor’s rapport met betrekking tot een IT service provider wordt getekend door een RA.
Ook komt het omgekeerde voor, waarbij een RE bijvoorbeeld een service auditor’s rapport met
betrekking tot vermogensbeheer tekent. Zeker in dit soort gevallen zijn wij van mening dat de
gebruikers auditor specifiek de deskundigheid van de service auditor dient vast te stellen.
De adequaatheid van de toepassing van de betreffende service auditor’s rapport standaard
Ten aanzien van dit aspect zien wij in de inventarisatie grote verschillen tussen de RA’s en RE’s.
De RA’s lijken te vergeten dat het ook belangrijk is om te beoordelen of de rapportage wel aan de
betreffende standaard voldoet.
Waaraan dit ligt is niet zeker, maar een aantal Big Four kantoren hebben speciale afdelingen of
competentie teams die gespecialiseerd zijn in derde partij mededelingen. De vaktechniek omtrent
service auditor’s rapportages is in deze organisaties vaak meer gecentraliseerd bij de IT auditors.
Wij zijn van mening dat dit een goede ontwikkeling is en dat het aanbeveling verdient om een
dergelijke afdeling in te schakelen ten aanzien van het beoordelen van een service auditor’s
rapport. Dit punt is onzes inziens extra van belang gezien de introductie van de ISAE 3402
standaard, welke toch weer andere vaktechnische vereisten introduceert.
Datum of periode passend voor de doeleinden
Uit de resultaten blijkt dat vrijwel elke respondent zowel de testperiode als het type van een
service auditor’s rapport meeneemt in zijn of haar beoordeling. Dit sluit aan met zowel het
onderzoek voor het Money Management Insitute uit de theorie als onze eigen ervaringen in de
praktijk waaruit blijkt dat deze karakteristieken van een service auditor’s rapport inmiddels goed
zijn ingeburgerd en om deze reden niet vergeten worden bij het beoordelen van een service
auditor’s rapport.
Geschiktheid en volledigheid van de verschafte informatie door het rapport
22

Uit de inventarisatie blijkt dat vrijwel iedereen naar de reikwijdte van een service auditor’s
rapport kijkt. Echter de diepgang hiervan is naar onze mening nog beperkt, omdat ons
bijvoorbeeld opvalt dat de respondenten niet allen vaststellen de daadwerkelijk geteste
beheersdoelstellingen en maatregelen deze beschrijving van de reikwijdte afdekt. In de praktijk
komt namelijk regelmatig voor dat de reikwijdte in de beschrijving breder is dan de reikwijdte
van de daadwerkelijk geteste maatregelen. Voor de oplettende lezer wordt deze beperking van
de reikwijdte van geteste beheersmaatregelen wel duidelijk en dit geeft aan dat men naar zowel
de beschrijving van de reikwijdte als naar de reikwijdte van de beheersdoelstellingen en
maatregelen moet evalueren. Het blijkt ook dat de RE dit vaker doet dan de RA, dit zou erop
kunnen wijzen dat de RE in het algemeen met meer detail naar een service auditor’s rapport kijkt.
Ook interessant is het om te horen dat men een paar jaar geleden bij het zien van een service
auditor’s rapport dacht dat ‘het wel goed zat’, maar dat men inmiddels weet dat het belangrijk is
goed naar de scope te kijken aangezien deze niet per definitie hoeft aan te sluiten met de
behoefte vanuit de gebruikers auditor.
Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die
door de serviceorganisatie zijn onderkend
De beperkte aandacht voor deze aanvullende interne beheersmaatregelen van de gebruikende
entiteit, ook wel bekend vanuit de SAS70 terminologie als user control considerations, is
opvallend te noemen. Terwijl het in het geval van een ISAE 3402 of SAS70 standaard verplicht is
om deze beheersmaatregelen, die bij de gebruikersorganisatie geïmplementeerd zouden moeten
zijn, op te nemen hebben maar weinig van de respondenten aangegeven hier aandacht aan te
besteden. Wij vinden dit een belangrijk punt gezien het feit dat de user control considerations
van invloed zijn op de effectieve werking van de beheersmaatregelen van de service organisatie.
Indien de effectiviteit van deze maatregelen bij de gebruikersorganisatie niet wordt vastgesteld,
kan de service organisatie geen garantie geven op de effectieve werking van de
beheersmaatregelen die een relatie met de user control considerations hebben.
Daarnaast wordt duidelijkheid over dit aspect belangrijker naar gelang er in de praktijk steeds
meer constructies ontstaan waar er sprake is van sub-serviceorganisaties. Dit leidt ertoe dat de
auditor van de gebruikersorganisatie ook zal moeten evalueren of de user control considerations
van de sub-service organisatie geïmplementeerd zijn bij de service organisatie om de effectiviteit
van de beheersmaatregelen te waarborgen.
De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de
gebruikende entiteit
De respondenten lijken uit de resultaten van de enquête behoorlijk eensgezind te zijn over de
omgang met de bevindingen. Wij zien hier een overeenkomst met onze ervaringen van de laatste
jaren dat er niet alleen gekeken wordt naar de bevindingen in de mededeling van de service
auditor, maar dat er minimaal net zo goed gekeken wordt naar de detailbevindingen. Dat veel
van de respondenten aangeven ook de afweging van de service auditor ten aanzien van het wel
of niet behalen van de beheersdoelstelling te beoordelen bevestigd dit.
Wel is het opvallend te noemen dat minder dan de helft van de respondenten aandacht besteed
aan de adequaatheid van de testwerkzaamheden en steekproefomvang. Wij zien dit als een
belangrijk punt aangezien wij in praktijk behoorlijk vreemde constructies tegenkomen. Zo zijn wij
onlangs nog een SAS70 rapport tegengekomen waarbij de service auditor aangaf niet de
beheersmaatregel zelf te hebben getoetst, maar de kwartaalcontrole op de beheersmaatregel die
door de ‘tweede lijn’ werd uitgevoerd. Vaktechnisch is dit overigens niet per definitie een
probleem, maar dergelijke zaken zouden wel moeten leiden tot het stellen van vragen aan de
service auditor om te evalueren welke werkzaamheden de service auditor heeft uitgevoerd om
de effectiviteit van de beheersmaatregel vast te stellen.
Sub-service organisaties
Uit paragraaf 4.3 blijkt dat lang niet iedereen expliciet aandacht besteed aan sub-service
organisaties. En dat terwijl ook vanuit onze ervaring blijkt dat het regelmatig voorkomt dat
significante delen van de operatie van een service organisatie weer zijn uitbesteed aan een subservice
organisatie. Dat betekent dat het ook belangrijk is om de service auditor’s rapport van de
sub service organisatie op te vragen en te beoordelen. Indien de service organisatie slechts een
beperkt deel heeft uitbesteed aan een sub-service organisatie kunnen wij ons wel voorstellen dat
er weinig aandacht aan wordt besteed. Feit blijft wel dat er altijd kritisch zou moeten worden
23

gekeken naar eventuele sub service organisaties en de impact van de uitbestede diensten op
uiteindelijk de jaarrekening van de user organisatie. Dit punt zien wij zoals aangegeven zowel bij
de RA als RE terugkomen.
4.4.2 Analyse met betrekking tot de rol van de IT auditor
Uit de resultaten van het onderzoek blijkt dat de IT auditor vaak wordt geraadpleegd bij de
beoordeling van een service auditor’s rapportage, en dan met name op het gebied van het
beoordelen van de ITGC scope en ITGC bevindingen. Echter meerdere respondenten geven aan
dat zij het inschakelen van de IT auditor laten afhangen van de complexiteit en materialiteit van
de service organisatie en niet van de mate van automatisering.
Wat ons bijvoorbeeld opvalt, samen met de RE’s uit het onderzoek van andere kantoren, is dat
wanneer de salarisverwerking uitbesteed is naar een service organisatie de gebruikers auditor
niet direct rekening houdt met de mate van automatisering. Omdat een dergelijk service auditor’s
rapport bol staat van de algemene IT maatregelen en andere geautomatiseerde maatregelen zou
de IT auditor een belangrijke rol moeten spelen bij het beoordelen van zo’n service auditor’s
rapportage. Hoewel de materialiteit zeker een belangrijke factor is als men een service auditor’s
rapportage beoordeelt in het kader van de jaarrekeningcontrole, zou onzes inziens de mate van
automatisering minimaal zo belangrijk moeten zijn.
Bovendien is het opvallend dat de wij als IT auditors ook vaak worden geraadpleegd voor meer
dan alleen de beoordeling van de algemene IT maatregelen of andere geautomatiseerde
controles. Dit wordt bevestigd door meerdere respondenten die aangaven dat de RE ook wordt
ingezet om bijvoorbeeld de vaktechnische aspecten van een service auditor’s rapport te
beoordelen. Het is dan wellicht ook niet vreemd om vanuit onze inventarisatie te constateren dat
de RE’s ook ‘beter scoren’ op dat onderdeel. Naar onze mening, zeker ook gezien onze
opmerkingen in hoofdstuk 2 ten aanzien van de onduidelijkheid van de ISAE 3402 standaard, zou
het goed zijn om een professional met specifieke kennis van service auditor’r rapport
standaarden te betrekken bij het beoordelen van een dergelijk rappport.
4.4.3 Analyse met betrekking tot de resultaten van de beoordeling door de audit professional
Alhoewel het niet direct onderdeel is van de scope van deze scriptie vinden wij het belangrijk om
ook stil te staan bij de vervolgstappen die de accountant (al dan niet geadviseerd door de IT
auditor) onderneemt nadat de service auditor’s rapport is beoordeeld.
Om te beginnen kunnen wij ons haast niet voorstellen dat het voorkomt dat er geen vragen of
onduidelijkheden bestaan na het beoordelen van een service auditor’s rapport. Het zou onzes
inziens dan ook (vrijwel) altijd noodzakelijk zijn om contact op te nemen met (in eerste instantie)
de service organisatie om deze vragen beantwoord te krijgen. In onze praktijk als service auditors
zien wij dat de service organisatie op haar beurt goed kan inschatten welke vragen ze zelf kan
beantwoorden en welke vragen via de service auditor moeten worden beantwoord. Het is wel
schokkend te constateren dat bij navraag onder ‘onze’ service organisaties blijkt dat er nauwelijks
vragen worden gesteld door gebruikers auditors.
Naast bovenstaande kan het natuurlijk voorkomen dat uit de beoordeling blijkt dat de reikwijdte
niet afdoende is of er bevindingen zijn geïdentificeerd (door de service auditor) die een impact
kunnen hebben op de werkzaamheden die de gebruikers auditor dient uit te voeren. In deze
gevallen zal de accountant, ook weer indien nodig in overleg met de IT auditor, moeten bepalen
welke aanvullende werkzaamheden er dienen te worden uitgevoerd. Gezien de reikwijdte van
deze scriptie voert het te ver om te behandelen welke aanvullende werkzaamheden die dan
zouden kunnen zijn. Wel kunnen wij in het algemeen opmerken dat deze werkzaamheden zowel
bij de service organisatie als bij de user organisatie kunnen plaatsvinden. Het is overigens erg
interessant om te constateren dat het in onze ervaring als service auditor voorkomt dat zelfs als
er geen significante bevindingen zijn geïdentificeerd, de gebruikers auditor het noodzakelijk acht
om een flink aantal controls toch nog zelf te testen bij de service organisatie. Dit gaat dan wel om
situaties waarbij grote delen van de operatie van een user organisatie zijn uitbesteed aan een
service organisatie.
4.5 Slotopmerkingen
24

In dit hoofdstuk hebben wij een onderzoek uitgevoerd aan de hand van een enquête hoe een
service auditors rapport in de praktijk wordt beoordeeld in het kader van een
jaarrekeningcontrole. Na het opsommen van de resultaten conform de vereisten van de NV COS
402 standaard hebben wij hier een analyse op uitgevoerd.
Vanuit de analyse valt ons met name op dat de NV COS 402 standaard maar bij de helft van de
respondenten bekend is en door enkelen van hen niet gebruikt wordt omdat zij steunen op de
ervaring die zij in de jaren hebben opgebouwd of de interne richtlijnen van het kantoor waar zij
werkzaam zijn.
Wanneer wij de activiteiten die uitgevoerd worden door de respondenten tegen de standaard
houden zien wij dat de meeste punten wel geraakt worden. Toch zien wij dat vrijwel alle volgens
de NV COS 402 standaard vereiste aspecten niet met voldoende diepgang worden uitgevoerd.
Met name het aspect van het beoordelen van de reikwijdte van het service auditor’s rapport lijkt
soms niet met voldoende diepgang te worden uitgevoerd. Daarbij willen wij wel opmerken dat
het gezien de onduidelijkheid van de service auditor rapport standaarden en de weinig concrete
richtlijnen ten aanzien van het beoordelen van een service auditor’s rapport, het voor een
gebruikers auditor ook niet eenvoudig is om te bepalen of de reikwijdte van bijvoorbeeld een
ISAE 3402 rapport voldoet aan de benodigde scope. In de praktijk zien wij ook dat de reikwijdte
door de service organisatie lang niet altijd even duidelijk wordt beschreven, en ook de interne
beheersing raamwerken zijn niet altijd even ‘leesbaar’. Als we daar nog aan toevoegen dat uit de
praktijk blijkt dat ook de uitgevoerde testwerkzaamheden van de service auditor niet altijd even
specifiek zijn, bevestigt dit bovenstaande verder. Desalniettemin komt het regelmatig voor dat er
significante onderdelen van de gebruikersorganisatie worden uitbesteed aan een service
organisatie, en dat betekent weer dat de gebruikers auditor ook voldoende aandacht dient te
besteden aan het beoordelen van de reikwijdte van een service auditor’s rapport.
Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak
inschakelt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de overwegingen om
de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden. Naar onze mening zou de
mate van automatisering van de service organisatie daarbij de belangrijkste factor moeten zijn.
Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een
grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s
rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van
een service auditor’s rapport. Dit wordt waarschijnlijk veroorzaakt doordat de IT auditors bij veel
kantoren vaak ook de service auditor’s rapporten afgeven. Dit geeft onzes inziens aan dat de IT
auditor, of in ieder geval een expert of het gebied van de ISAE 3402 standaard, een belangrijkere
rol zou kunnen en moeten nemen bij het beoordelen van een service auditor’s rapport, zeker ook
gezien het feit dat er met de komst van de ISAE 3402 standaard weer een aantal zaken
veranderen.
25

5 Conclusies en aanbevelingen
5.1 Inleiding
In een tijd waar organisaties zich steeds meer focussen op hun kern activiteiten en daardoor
steeds vaker overige diensten uitbesteden, wordt het verkrijgen van zekerheid over deze
uitbestede diensten ook steeds belangrijker voor een gebruikersorganisatie en haar accountant.
Zoals al eerder vermeldt is kan een service auditor’s rapport daarbij uitkomst bieden. Gezien deze
trend en het feit dat service organisaties in principe vrij zijn om te bepalen welke processen en
maatregelen zij opnemen in een service auditor’s rapport, betekent dit dat het beoordelen van
een service auditor’s rapportage door de auditor van de gebruikersorganisatie een steeds
belangrijker aspect vormt bij de jaarrekeningcontrole. In de praktijk zien wij echter dat de
beoordeling van een service auditor’s rapport divers wordt aangepakt. Ook constateren wij dat
veel uitbestede processen in hoge mate geautomatiseerd zijn, en een service auditor’s rapport
daarmee vaak veel IT beheersmaatregelen zal bevatten. Om deze redenen hebben wij onderzocht
hoe de beoordeling van een service auditor’s rapport zou moeten plaatsvinden en welke rol de IT
auditor daarbij zou moeten spelen. In dit hoofdstuk geven wij in paragraaf 5.2 een antwoord op
de centrale onderzoeksvraag, waarna wij in paragraaf 5.3 aanbevelingen zullen aandragen om de
beoordeling van een service auditor’s rapport in het kader van de jaarrekening controle in de
toekomst beter te laten verlopen.
5.2 Bevindingen en conclusie
De doestelling van dit onderzoek was om vast te stellen hoe een service auditor’s rapport
beoordeeld dient te worden in het kader van de jaarrekeningcontrole, met specifieke aandacht
voor de rol van de IT auditor hierbij. Door middel van een praktijkgericht onderzoek wilden wij
met deze scriptie een bijdrage leveren door te inventariseren hoe deze beoordeling in de praktijk
wordt aangepakt, en indien nodig concrete richtlijnen en/of aanbevelingen te ontwikkelen met
betrekking tot het beoordelen van een service auditor’s rapport. Om tot een conclusie te kunnen
geven zullen wij de centrale vraagstelling van dit onderzoek nog maals beschrijven:
“Hoe dient een service auditor’s rapport te worden beoordeeld in het kader van een jaarrekening
controle en welke rol speelt de IT auditor hierbij.”
Een structureel antwoord op deze vraagstelling geven wij op basis van de geformuleerde
deelvragen:
1. Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking
tot een beoordeling van een service auditor’s rapport in het kader van de
jaarrekeningcontrole?
In hoofdstuk 2 hebben wij de theorie rondom de service auditor’s rapport behandeld en hebben
wij een aantal kenmerken belicht wij van belang vinden voor het beoordelen van een service
auditor’s rapport in het kader van de jaarrekeningcontrole. Hieruit blijkt dat de ISAE 3402
standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien
van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving.
Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden
moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De
standaard laat daarmee veel ruimte voor professional judgment. Voor de gebruikers auditor
betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan de reikwijdte van
een service auditor’s rapport. De gebruikers auditor zal zich moeten verdiepen in de afwegingen
die (al dan niet expliciet) zijn gemaakt door zowel de service auditor als de service organisatie.
2. Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors
rapport en wordt hier aandacht besteed aan de rol van de IT auditor?
In hoofdstuk 3 hebben wij de standaard in kaart gebracht die richtlijnen beschrijven voor het
beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle, namelijk
de NV COS 402 standaard. Deze standaard gaat niet veel verder dan het benoemen van de te
26

eoordelen aspecten waarmee de diepgang of wijze van beoordelen overblijft aan het
professional judgment van de gebruikers auditor.
In de standaard NV COS 402 ontbreekt de rol van de IT auditor ten behoeve van het beoordelen
van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Wel kan de
accountant op basis van professional judgment beslissen of zij gebruikt maakt van een specialist
bij de werkzaamheden in het kader van de jaarrekeningcontrole. In deze NV COS 620 standaard
wordt geen specifieke aandacht besteed aan de vraag wanneer er een IT auditor betrokken dient
te worden. Zelfs in de voorbeelden die in de standaard gegeven worden met betrekking tot
wanneer een deskundige zou kunnen worden ingeschakeld wordt geen voorbeeld gegeven van
een deskundige op het gebied van IT beheersing. Wij concluderen dat het aan professional
judgment van de accountant wordt overgelaten om al dan niet een IT auditor in te schakelen.
Hierbij vragen wij ons af of de gebruikers auditor in alle gevallen de benodigde kennis van de
service auditor rapport standaarden in huis heeft om een goede afweging te maken, zowel op het
gebied van de gebruikte service auditor rapport standaard als de afweging rondom het
inschakelen van een IT auditor.
3. Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit conform
de richtlijnen?
Tijdens het praktijkgerichte onderzoek wat wij beschreven hebben in hoofdstuk 4, hebben wij
zeer ervaren Register Accountants en Register EDP-Auditors gevraagd hoe zij een service auditor’s
rapportage beoordelen in het kader van een jaarrekening controle, of zij ook op de hoogte waren
van richtlijnen omtrent dit onderwerp, en welke rol de IT auditor bij de beoordeling speelt. De
resultaten uit het onderzoek geven aan dat de NV COS 402 standaard maar net bij het merendeel
van de respondenten bekend is en door enkelen van hen niet eens gebruikt wordt, omdat zij
steunen op de ervaring die zij in de jaren hebben opgebouwd.
Toch blijkt uit de analyse in paragraaf 4.4 dat de activiteiten die het merendeel van de
respondenten uitvoert de richtlijnen uit de NV COS 402 standaard relatief goed afdekken. Wij
hebben op basis van deze analyse, waar wij de vergelijking tussen de praktijk en de standaard,
aangevuld met onze ervaring hebben behandeld, een aantal onderbelichte aspecten
geïdentificeerd. De belangrijkste zijn:
• Het vaststellen van de deskundigheid van de service auditor;
• Het vaststellen van de adequaatheid de betreffende service auditor’s rapport standaard;
• Het vaststellen dat de user control considerations zijn geïmplementeerd bij de
gebruikersorganisatie.
• Voldoende aandacht voor sub service organisaties
In het onderzoek zijn door de respondenten geen activiteiten aan het licht gebracht die niet in de
richtlijnen van de standaard NV COS 402 ondergebracht konden worden. Ook vanuit onze
ervaring hebben wij geen aspecten geïdentificeerd die niet door de NV COS 402 standaard
worden geraakt. Op zich is dat gezien het high level karakter van de richtlijn ook niet verassend.
Wij concluderen dan ook dat dat de richtlijn op hoofdlijnen voldoende richting biedt voor een
gebruikers auditor bij het beoordelen van een service auditor’s rapport in het kader van de
jaarrekening controle. Het high level karakter van de richtlijn vereist onzes inziens wel dat alleen
een audit professional met voldoende kennis van de betreffende rapportage standaard op basis
van de NV COS 402 standaard een service auditor’s rapport kan beoordelen.
Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak
ingeschakeld wordt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de
overwegingen om de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden.
Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een
grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s
rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van
een service auditor’s rapport. Dit geeft ons inziens aan dat de IT auditor een belangrijkere rol zou
kunnen en moeten spelen bij het beoordelen van een service auditor’s rapport, zeker ook gezien
het feit dat er met de komst van de ISAE 3402 standaard weer een aantal vaktechnische aspecten
veranderen.
27

5.3 Aanbevelingen
Zoals wij in paragraaf 5.2 hebben aangegeven blijven er in de praktijk een aantal aspecten
onderbelicht bij de beoordeling van service auditor’s rapport in het kader van de jaarrekening
controle. In deze paragraaf zullen wij een aantal concrete aanbevelingen behandelen die ervoor
kunnen zorgen dat de beoordeling van een service auditor’s rapport in de toekomst verbetert.
Het vaststellen van de deskundigheid van de service auditor
Minimaal zou moeten worden vastgesteld dat de service auditor is ingeschreven bij NIVRA of
NOREA. Daarnaast dient te worden vastgesteld dat de service auditor voldoende kennis van de
uitbestede processen heeft om een oordeel te kunnen geven over de effectieve werking van
beheersmaatregelen met betrekking tot deze processen. Dit punt is onzes inziens extra van
belang wanneer een RE een service auditor’s rapport afgeeft over uitbestede bedrijfsprocessen
en wanneer een RA een service auditor’s rapport afgeeft over uitbestede IT processen, iets wat in
de praktijk regelmatig gebeurt.
Het vaststellen van de adequaatheid van de betreffende service auditor’s rapport standaard
Gezien de specifieke vereisten van de ISAE 3402 standaard en de vrijheden die sommige service
auditors zich in de praktijk permitteren is het belangrijk dat bij het beoordelen van een service
auditor’s rapport ook de vaktechnische aspecten worden beoordeeld. Aangezien dit alleen kan
gebeuren door professionals met kennnis van de betreffende standaard bevelen wij aan altijd een
service auditor’s rapport expert bij de beoordeling te betrekken. Bij de meeste Big Four kantoren
zijn deze professionals veelal IT auditors.
Het vaststellen dat de user control considerations zijn geïmplementeerd bij de
gebruikersorganisatie
Wij adviseren gebruikers auditors altijd vast te stellen dat de user control considerations zijn
geïmplementeerd bij de gebruikers organisatie aangezien deze vereist zijn om een redelijke mate
van zekerheid te verkrijgen over de uitbestede processen. Daarnaast wordt duidelijkheid over dit
aspect belangrijker naar gelang er in de praktijk steeds meer constructies ontstaan waar er sprake
is van sub-serviceorganisaties. Dit leidt ertoe dat de auditor van de gebruikersorganisatie ook zal
moeten evalueren of de user control considerations van de sub-service organisatie
geïmplementeerd zijn bij de service organisatie. Zie hiervoor ook de volgende aanbeveling.
Voldoende aandacht voor sub service organisaties
Gezien de tendens van organisaties om niet-kern activiteiten uit te besteden, en het feit dat de
ISAE 3402 standaard meer eisen stelt aan het volgen van de inclusive methode, zal het steeds
vaker voorkomen dat er sprake is van sub-service organisaties of zelfs sub sub-service
organisaties. Wij adviseren gebruikers auditors minimaal te inventariseren of de sub-service
organisatie een significante impact heeft op de financiële verslaglegging van de gebruikers
organisatie. Indien dit het geval is, adviseren wij om altijd een service auditor’s rapport van de
sub service organisatie op te vragen en deze ook te beoordelen.
De rol van de IT auditor
Wij adviseren de gebruikers auditor om altijd een IT auditor te betrekken bij het beoordelen van
een service auditor’s rapport indien er sprake is van een geautomatiseerde omgeving. Minimaal
kan de IT auditor de toereikendheid van de ITGC scope en de impact van IT bevindingen
vaststellen. Daarnaast adviseren wij de IT auditor met kennis van de service auditor’s rapport
standard te betrekken om de vaktechnische beoordeling van de service auditor’s rapport uit te
voeren, aangezien uit ons onderzoek blijkt dat de IT auditor over het algemeen meer kennis van
de vaktechnische aspecten van een service auditor’s rapport heeft dan de accountant.
5.4 Beperkingen
We hebben dit onderzoek uitgevoerd onder een beperkte groep Register Accountants en Register
IT Auditors. Dit betekent dat resultaten niet representatief hoeven te zijn voor de totale
populatie. Wij hebben de impact van deze beperking zoveel mogelijk proberen te mitigeren door
audit professionals van alle Big Four kantoren mee te nemen in ons onderzoek.
28

Vervolgens moeten wij opmerken dat niet alle respondenten evenveel ervaring hebben met het
beoordelen van een service auditor’s rapportage in het kader van een jaarrekening controle. Ook
dit hebben wij zoveel mogelijk gemitigeerd door alleen audit professionals aan te schrijven
waarvan wij weten dat zij regelmatig een service auditor’s rapport beoordelen in het kader van
een jaarrekening controle.
Tenslotte hoeven uitbestede diensten niet altijd een materiele impact te hebben op een
jaarrekeningcontrole. Wanneer dit niet het geval is zal de accountant ook minder aandacht
hoeven te besteden aan het beoordelen van een service auditors rapportage. Ook dit punt
hebben wij gemitigeerd door deze beperking zoveel mogelijk in de resultaten, aanbevelingen en
conclusies mee te nemen.
5.5 Zelfreflectie
Zoals we in ons voorwoord al hebben aangegeven hebben we tijdens dit traject met name veel
geleerd over de noodzaak om tijd te maken voor onze studie. Inhoudelijk hebben we echter ook
een hoop geleerd tijdens de afgelopen maanden. In deze paragraaf gaan we hier kort op in.
Ten aanzien van de service auditor’s rapport standaarden zijn we, door het bestuderen van de
standaarden zelf en de literatuur, er bijvoorbeeld achter gekomen dat verschillende vereisten
waarvan wij dachten dat deze ook daadwerkelijk als vereisten in de ISAE 3402 standaard zouden
staan, in realiteit nogal wat ruimte voor interpretatie overlaten.
Aangezien wij beiden geen accountant zijn, hebben we veel kennis opgedaan door het zoeken
naar informatie uit het NIVRA Stramien en van het uitzoeken welke standaarden er nu wel en niet
beschikbaar zijn ten aanzien van het beoordelen van een service auditor’s rapport in het kader
van de jaarrekeningcontrole.
Ten aanzien van ons praktijkonderzoek vinden wij het altijd leerzaam om te zien hoe anderen
omgaan met een situatie. Zeker de enquêtes die wij per telefoon hebben afgenomen hebben ons
weer nieuwe inzichten verschaft.
Tenslotte staan we ook nog even stil bij de stap voorwaarts die we hebben gemaakt ten aanzien
van het schrijven van wetenschappelijke stukken. Dit zal ons in de komende jaren zeker verder
helpen bij onze werkzaamheden en schrijven van artikelen.
5.6 Suggesties voor nader onderzoek
Tijdens ons onderzoek hebben we een aantal onderwerpen geraakt waarvan het naar onze
mening interessant zou zijn om verder te onderzoeken. Dit betreft bijvoorbeeld:
• De rol van de service auditor bij het beoordelen van de reikwijdte van een service auditor’s
rapport: gezien de ruimte die de ISAE3402 standaard biedt kan het interessant zijn om te
onderzoeken welke verantwoordelijkheden de service auditor heeft bij het bepalen van de
reikwijdte van een service auditor’s rapport.
• De reikwijdte van de ISAE 3402 standaard versus de SAS70 standaard: Gezien de
onduidelijkheid ten aanzien van de geoorloofde reikwijdte van een ISAE 3402 rapport zou
interessant zijn te onderzoeken welke wijzigingen in reikwijdte er worden doorgevoerd na
de overgang naar de ISAE 3402 standaard, en ook welke rol de vier relevante partijen
(service organisatie, service auditor, gebruikers organisatie en gebruikers auditor) hierbij
hebben gespeeld.
• De rol van de IT auditor bij de jaarrekeningcontrole: gezien de beperkte richtlijnen en de
hoge mate van professional judgment zou het interessant zijn te onderzoeken hoe en
waarvoor de IT auditor in het kader van de jaarrekeningcontrole wordt ingezet.
29

Literatuur
[AICPA05] AICPA, (2005), Statement on Auditing Standards No. 70: Service Organizations
[AICPA09] AICPA, (2009), Service Organizations: Applying SAS No. 70, as Amended – AICPA Audit
Guide
[Beek10] van Beek, J., (2010), SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen
Financiële verantwoording, Compact_ 2010_1, pp 38-42.
[Dorr08] Dorresteijn, A.F.M., (2008), De Juridische organisatie van de onderneming, Deventer,
Kluwer, 2008.
[Ewals10] Ewals, René (2010), ISAE 3402: een nieuw hoofdstuk voor de IT-auditor, de IT-Auditor
nummer 3 2010, pp 37-45.
[Fijn06] Fijneman, R.G.A., (2006), IT-auditor is meer dan controleur van informatietechnologie, in:
Maandblad voor Accountancy en Bedrijfseconomie, januari / februari 2006, pp. 46-54.
[Gas09] Gaskin, F., (2009), Goodbye SAS70 Hello ISAE 3402?, Accountacy Ireland, 2009.
[IFAC09.01] IFAC, (2009), International Standards on Attestation Engagements: ISAE 3042,
Assurance Reports on Controls at a Service Organization.
[IFAC09.02] IFAC, (2009), Basis for Conclusions: ISA 402 (Revised and Redrafted), Audit
Considerations Relating to an Entity Using a Service Organisation.
[IFAC10] IFAC, (2010), Handbook of International Quality Control, Auditing, Review, Other
Assurance, and Related Services Pronouncements, 2010, pp 26.
[Jonk07] Jonker, R. It-auditing: Third Party Mededelingen en SAS70-onderzoeken, Den Haag, Sdu
Uitgevers bv, 2007.
[Keij09] Keijl, S. en Eimers, P., (2009), Nieuwe internationale assurance-standaard versterkt
vertrouwen bij uitbesteding, beschikbaar op:
http://actueel.nl.pwc.com/site/audit_assurance_en_accounting/internationale_wet-
_en_regelgeving/852/nieuwe_internationale_assurance_standaard_versterkt_vertrouwen_bij_ui
tbesteding.html?internalreferrer=list.
[MMI08] http://www.mminst.org/downloads/2008/10/5_29_SAS-70_MMI_FINAL.pdf
[Neis99] Neisingh, A.W., (1999), Van automatisering en controle tot IT-audit, in: Compact ICT en
Auditing, Neisingh et. al. (red.), pp. 4-8.
[NIVRA05] Koninklijk Nederlands Instituur voor Registeraccountants NIVRA) (2005), 401 Controle
in een omgeving waarin gebruik wordt gemaakt van geautomatiseerde informatiesystemen,
beschikbaar op: http://www.nivra.nl/Sites/nivra_site/Richtlijnen/2002/index_nl.htm.
[NIVRA11.01] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 315 Het
onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel
van het verwerven van inzicht in de entiteit en haar omgeving, beschikbaar op:
http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/45761.htm.
[NIVRA11.02] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 330 De
wijzen van inspelen door de accountant op ingeschatte risico's, beschikbaar op:
http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/45766.htm.
30

[NIVRA11.03] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 402
Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie,
beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/47804.htm.
[NIVRA11.04] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 620
Gebruikmaken van de werkzaamheden van een door de accountant ingeschakelde deskundige,
beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/47805.htm.
[NIVRA10] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2010), Handleiding
Regelgeving Accountancy - Deel 1 Regelgeving voor de accountant, editie 2010.
[NOREA11] Nederlandse Orde van Register EDP-auditors (NOREA) (2010), Richtlijn 3402,
beschikbaar op http://www.norea.nl/Norea/Actueel/Nieuws/Richtlijn+3402.aspx
[Roos08] Roos, R., (2008), Beheerste uitbesteding van bedrijfsprocessen en de rol van de
accountant, in: Update, juni, pp. 10-12.
[Shahim09] Shahim, A., (2009), IT Governance Attenstation, Den Haag, Sdu Uitgevers bv, 2009.
[Velt95] Veltman, P., (1995), Third-party-review en -mededeling bij uitbesteding van IT-services,
in: Compact, september, pp. 14-23.
[Verw09] Verweij, S., (2009), SAS 70 maakt plaats voor ISAE 3402, in: Spotlight, jaargang 16, pp.
52-56.
[Vries08] Vries, J.K. de, IT-assure: Zekerheid over uw IT, NOREA, 2008.
[Verw08] Verweij S. en Keijl S., (2008), SAS70 en daarna: controls reporting in een breder kader,
in: Spotlight, jaargang 15, uitgave 2, pp. 31 – 35.
[Wes09] Westra, B.A.J., (2009), Compendium Accountancy, Amsterdam, Pentagan Publishing,
2009.
31