Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
In de praktijk verwachten wij overigens, mede op basis <strong>van</strong> feedback <strong>van</strong> onze klanten, dat<br />
<strong>service</strong> organisaties de <strong>in</strong>troductie <strong>van</strong> de ISAE 3402 standaard zullen gebruiken om de reikwijdte<br />
<strong>van</strong> hun huidige SAS70 <strong>rapport</strong>age te beperken tot processen die daadwerkelijk impact hebben<br />
op de f<strong>in</strong>anciële verslaggev<strong>in</strong>g, ook al was <strong>het</strong> formeel onder de SAS70 standaard ook niet<br />
geoorloofd om andersoortige processen op te nemen.<br />
Richtlijnen ten aanzien <strong>van</strong> reikwijdte en diepgang<br />
Een ander punt ten aanzien <strong>van</strong> de reikwijdte <strong>van</strong> de ISAE 3402 standaard is dat de standaard zelf<br />
g<strong>een</strong> richtlijnen (guidance) bevat ten aanzien <strong>van</strong> de welke processen dan impact hebben op de<br />
f<strong>in</strong>anciële verslaggev<strong>in</strong>g, of met welke diepgang deze processen dienen te worden meegenomen<br />
<strong>in</strong> <strong>het</strong> <strong>in</strong>terne beheers<strong>in</strong>gsraamwerk <strong>van</strong> de <strong>service</strong> organisatie. Het is daarmee feitelijk aan de<br />
<strong>service</strong> organisatie, al dan niet <strong>in</strong> overleg met de <strong>service</strong> auditor, gebruikers organisatie en<br />
wellicht ook de gebruikers auditor, om te bepalen welke processen <strong>in</strong> scope zouden moeten zijn<br />
en met welke diepgang de beheersmaatregelen worden gedef<strong>in</strong>ieerd. Voor de gebruikers auditor<br />
blijft <strong>het</strong> daarmee <strong>van</strong> uitermate groot belang om de reikwijdte en diepgang <strong>van</strong> <strong>een</strong> <strong>service</strong><br />
auditor’s <strong>rapport</strong> te beoordelen, en niet aan te nemen dat de reikwijdte voldoende is.<br />
Typen <strong>rapport</strong>en<br />
In de ISAE3402 standaard en feitelijk conform de SAS70 standaard, zijn er twee typen <strong>rapport</strong>en<br />
te onderscheiden, namelijk:<br />
• Type I <strong>rapport</strong> – <strong>in</strong> dit <strong>rapport</strong> geeft de <strong>service</strong> auditor <strong>in</strong> haar mededel<strong>in</strong>g <strong>een</strong> redelijke<br />
mate <strong>van</strong> zekerheid over de opzet en <strong>het</strong> bestaan <strong>van</strong> de <strong>in</strong>terne beheers<strong>in</strong>g <strong>van</strong> de <strong>service</strong><br />
organisatie op <strong>een</strong> bepaalde datum. De mededel<strong>in</strong>g die de <strong>service</strong> auditor afgeeft omvat<br />
dat de beschrijv<strong>in</strong>g <strong>van</strong> <strong>het</strong> ‘systeem’ <strong>van</strong> de <strong>service</strong> organisatie <strong>een</strong> getrouw beeld geeft en<br />
dat de <strong>in</strong>terne <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen die betrekk<strong>in</strong>g hebben op de <strong>in</strong>terne<br />
beheers<strong>in</strong>gsdoelstell<strong>in</strong>gen die <strong>in</strong> de beschrijv<strong>in</strong>g <strong>van</strong> de <strong>service</strong>organisatie <strong>van</strong> haar systeem<br />
vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet [IFAC09.01].<br />
• Type II <strong>rapport</strong> – In dit <strong>rapport</strong> geeft de <strong>service</strong> auditor <strong>in</strong> haar mededel<strong>in</strong>g naast de opzet<br />
en bestaan ook <strong>een</strong> redelijke mate <strong>van</strong> zekerheid over dat de <strong>in</strong>terne beheersmaatregelen<br />
2) Zie http://www.ifac.org voor meer <strong>in</strong>formatie<br />
hebben gewerkt over <strong>een</strong> bepaalde periode. [IFAC09.01]<br />
In de praktijk wordt <strong>het</strong> type I <strong>rapport</strong> gebruikt als ‘opstap’ naar <strong>een</strong> type II <strong>rapport</strong>. Een type I<br />
<strong>rapport</strong> is <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>gcontrole <strong>van</strong> we<strong>in</strong>ig waarde aangezien de<br />
gebruikersauditor zich all<strong>een</strong> <strong>een</strong> beeld kan vormen <strong>van</strong> de <strong>in</strong>terne beheers<strong>in</strong>g bij de <strong>service</strong><br />
organisatie, maar niet over de werk<strong>in</strong>g <strong>van</strong> deze <strong>in</strong>terne beheers<strong>in</strong>g. Het zal dan vaak nodig zijn<br />
om zelf werkzaamheden uit te voeren om de effectieve werk<strong>in</strong>g <strong>van</strong> geïmplementeerde<br />
beheersmaatregelen vast te stellen.<br />
Management verklar<strong>in</strong>g<br />
Onder de SAS 70 standaard gaf de <strong>service</strong> auditor <strong>in</strong> haar mededel<strong>in</strong>g <strong>een</strong> op<strong>in</strong>ie af over de opzet,<br />
<strong>het</strong> bestaan en, <strong>in</strong>dien <strong>het</strong> <strong>een</strong> Type II <strong>rapport</strong> betrof, de werk<strong>in</strong>g <strong>van</strong> de <strong>in</strong>terne<br />
beheersmaatregelen <strong>van</strong> de <strong>service</strong> organisatie. Bij de ISAE 3402 standaard is, naast deze op<strong>in</strong>ie<br />
die afgegeven wordt door de <strong>service</strong> auditor, ook <strong>het</strong> management <strong>van</strong> de <strong>service</strong> organisatie<br />
verplicht <strong>een</strong> getekende verklar<strong>in</strong>g af te geven. Middels deze verklar<strong>in</strong>g dient de <strong>service</strong><br />
organisatie te verklaren dat, <strong>in</strong> alle <strong>van</strong> materieel belang zijnde opzichten, en op basis <strong>van</strong><br />
geschikte criteria:<br />
a. de beschrijv<strong>in</strong>g <strong>het</strong> systeem <strong>van</strong> de <strong>service</strong>organisatie getrouw weergeeft zoals dit is<br />
opgezet en geïmplementeerd op de gespecificeerde datum;<br />
b. de <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen die verband houden met <strong>in</strong>terne<br />
beheers<strong>in</strong>gsdoelstell<strong>in</strong>gen zoals die <strong>in</strong> de beschrijv<strong>in</strong>g <strong>van</strong> de <strong>service</strong>organisatie <strong>van</strong> haar systeem<br />
op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet;<br />
c. de <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen die verband houden met de <strong>in</strong>terne<br />
beheers<strong>in</strong>gsdoelstell<strong>in</strong>gen zoals die <strong>in</strong> de beschrijv<strong>in</strong>g <strong>van</strong> de <strong>service</strong>organisatie <strong>van</strong> haar systeem<br />
staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten (NB: all<strong>een</strong> <strong>van</strong><br />
toepass<strong>in</strong>g bij <strong>een</strong> type II <strong>rapport</strong>.) [IFAC09.01]<br />
Uit de toelicht<strong>in</strong>g <strong>in</strong> de ISAE 3402 standaard wordt aangegeven: “Het feit dat de accountant <strong>van</strong><br />
de <strong>service</strong>organisatie over de werk<strong>in</strong>g <strong>van</strong> <strong>in</strong>terne beheers<strong>in</strong>gsmaatregelen zal <strong>rapport</strong>eren, is<br />
g<strong>een</strong> ver<strong>van</strong>g<strong>in</strong>g voor de processen <strong>van</strong> de <strong>service</strong>organisatie zelf om <strong>een</strong> redelijke basis voor<br />
haar bewer<strong>in</strong>g te verschaffen.” Dit betekent dat de ISAE 3402 standaard vereist dat de <strong>service</strong><br />
8