Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

In de praktijk verwachten wij overigens, mede op basis van feedback van onze klanten, dat service organisaties de introductie van de ISAE 3402 standaard zullen gebruiken om de reikwijdte van hun huidige SAS70 rapportage te beperken tot processen die daadwerkelijk impact hebben op de financiële verslaggeving, ook al was het formeel onder de SAS70 standaard ook niet geoorloofd om andersoortige processen op te nemen. Richtlijnen ten aanzien van reikwijdte en diepgang Een ander punt ten aanzien van de reikwijdte van de ISAE 3402 standaard is dat de standaard zelf geen richtlijnen (guidance) bevat ten aanzien van de welke processen dan impact hebben op de financiële verslaggeving, of met welke diepgang deze processen dienen te worden meegenomen in het interne beheersingsraamwerk van de service organisatie. Het is daarmee feitelijk aan de service organisatie, al dan niet in overleg met de service auditor, gebruikers organisatie en wellicht ook de gebruikers auditor, om te bepalen welke processen in scope zouden moeten zijn en met welke diepgang de beheersmaatregelen worden gedefinieerd. Voor de gebruikers auditor blijft het daarmee van uitermate groot belang om de reikwijdte en diepgang van een service auditor’s rapport te beoordelen, en niet aan te nemen dat de reikwijdte voldoende is. Typen rapporten In de ISAE3402 standaard en feitelijk conform de SAS70 standaard, zijn er twee typen rapporten te onderscheiden, namelijk: • Type I rapport – in dit rapport geeft de service auditor in haar mededeling een redelijke mate van zekerheid over de opzet en het bestaan van de interne beheersing van de service organisatie op een bepaalde datum. De mededeling die de service auditor afgeeft omvat dat de beschrijving van het ‘systeem’ van de service organisatie een getrouw beeld geeft en dat de interne interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet [IFAC09.01]. • Type II rapport – In dit rapport geeft de service auditor in haar mededeling naast de opzet en bestaan ook een redelijke mate van zekerheid over dat de interne beheersmaatregelen 2) Zie http://www.ifac.org voor meer informatie hebben gewerkt over een bepaalde periode. [IFAC09.01] In de praktijk wordt het type I rapport gebruikt als ‘opstap’ naar een type II rapport. Een type I rapport is in het kader van de jaarrekeningcontrole van weinig waarde aangezien de gebruikersauditor zich alleen een beeld kan vormen van de interne beheersing bij de service organisatie, maar niet over de werking van deze interne beheersing. Het zal dan vaak nodig zijn om zelf werkzaamheden uit te voeren om de effectieve werking van geïmplementeerde beheersmaatregelen vast te stellen. Management verklaring Onder de SAS 70 standaard gaf de service auditor in haar mededeling een opinie af over de opzet, het bestaan en, indien het een Type II rapport betrof, de werking van de interne beheersmaatregelen van de service organisatie. Bij de ISAE 3402 standaard is, naast deze opinie die afgegeven wordt door de service auditor, ook het management van de service organisatie verplicht een getekende verklaring af te geven. Middels deze verklaring dient de service organisatie te verklaren dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria: a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum; b. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; c. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten (NB: alleen van toepassing bij een type II rapport.) [IFAC09.01] Uit de toelichting in de ISAE 3402 standaard wordt aangegeven: “Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar bewering te verschaffen.” Dit betekent dat de ISAE 3402 standaard vereist dat de service 8
organisatie zelf procedures hanteert om de opzet, bestaan en werking van haar interne beheersmaatregelen te toetsen om zo een redelijke basis te hebben voor haar management verklaring. De standaard geeft niet expliciet aan wat nu precies deze redelijke basis is. Dit zal dus over worden gelaten aan het professional judgment van de service auditor. Wij verwachten dat de Big Four kantoren interne richtlijnen zullen gaan opstellen met betrekking tot dit punt. Een bijkomend vraagstuk met betrekking tot de managementverklaring is vervolgens de discussie rondom de tekenbevoegdheid van de managementverklaring. Het is vanuit de standaard namelijk onduidelijk welke personen binnen het management van de service organisatie nu wel of niet de verklaring mogen ondertekenen. In de standaard valt te lezen: “Where this ISAE requires the service auditor to inquire of, request representations from, communicate with, or otherwise interact with the service organization, the service auditor shall determine the appropriate person(s) within the service organization’s management or governance structure with whom to interact. This shall include consideration of which person(s) have the appropriate responsibilities for and knowledge of the matters concerned.”[IFAC09.01] Ook hier verwachten wij dat de verschillende kantoren daar eigen richtlijnen zullen ontwikkelen. In het kader van ons onderzoek kunnen wij gebruikers auditors die een ISAE 3402 rapport beoordelen adviseren om de service organisatie of service auditor te vragen hoe er met bovenstaande punten wordt omgegaan, te meer aangezien de standaard niet vereist dat de service auditor rapporteert over de omgang ten aanzien van bovenstaande punten. Mededeling van de service auditor Een opvallend punt is dat, ondanks het feit dat het management zelf verklaart dat de interne beheersing effectief heeft gewerkt, de service auditor haar mededeling nog steeds dient te formuleren als een ‘direct reporting’ conclusie.[IFAC09.01] Dit betekent dat de service auditor in haar mededeling niet verwijst of steunt op de management verklaring of de werkzaamheden die het management heeft uitgevoerd, maar aangeeft tot het oordeel te zijn gekomen op basis van eigen werkzaamheden. Daarmee verschilt de mededeling onder de ISAE 3402 standaard niet van de mededeling onder de SAS70 standaard. Sub-service organisaties Het komt in de praktijk regelmatig voor dat de service organisatie op haar beurt een deel van haar processen heeft uitbesteed aan een andere service organisatie. Zo’n service organisatie wordt een sub-service organisatie genoemd. Een volledige definitie van een sub-service organisatie wordt door ISAE 3402 als volgt beschreven: een service organisatie gebruikt door een andere service organisatie om een deel van haar diensten uit te voeren ten behoeve van de gebruikersorganisatie die relevant kunnen zijn tot de interne controle van de gebruikersorganisatie waar het relateert aan de financiële verslaggeving. [IFAC09.01] De ISAE 3402 standaard voorziet, ook weer conform de SAS70 standaard, in twee methoden ten aanzien van de omgang met sub-service organisaties: • Inclusive methode Bij deze methode neemt de service organisatie de sub-service organisatie mee in de reikwijdte van het ISAE 3402 rapport en wordt de beheersomgeving en daarmee de relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie onderdeel van de scope van het service auditors rapport. The service auditor test de beheersmaatregelen bij de sub-service organisatie en rapporteert in het service auditors rapport over de resultaten. Hiermee geeft de service auditor ook een redelijke mate zekerheid over de interne beheersomgeving van de sub-service organisatie. • Carve out methode Bij deze methode wordt de sub-service organisatie buiten de reikwijdte van het service auditors rapport gehouden en neemt de service organisatie alleen de diensten die zij zelf uitvoert op in het service auditor’s rapport. De beheersomgeving, relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie worden niet meegenomen als object van onderzoek voor de audit, waardoor er door de service auditor ook geen zekerheid wordt gegeven over de interne controle van de sub-service organisatie. In deze gevallen zal de sub-service organisatie vaak zelf een service auditors rapport afgeven. 9
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13: onderzoek van Deloitte voor het Mon
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27 and 28: evindingen op beheersmaatregel nive
Page 29 and 30: Uit de inventarisatie blijkt dat vr
Page 31 and 32: In dit hoofdstuk hebben wij een ond
Page 33 and 34: eoordelen aspecten waarmee de diepg
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

Create successful ePaper yourself

Delete template?

Save as template?