Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

Een belangrijk verschil met de SAS70 standaard is dat er in het geval van de inclusive methode, het volgens de ISAE 3402 standaard ook verplicht is om een management verklaring van de subservice organisatie op te nemen. In de standaard staat te lezen: “De opname methode (inclusive methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de subserviceorganisatie hierin voorziet.” [IFAC09.01]. Wij verwachten dat de inclusive methode gezien bovenstaande minder vaak zal voorkomen. In deze gevallen zal de sub-service organisatie waarschijnlijk zelf een service auditor’s rapport uitbrengen. Dat betekent dat in het kader van de beoordeling van een service auditor’s rapport het dan ook vaker zal voorkomen dat de gebruikers auditor de rapportages van de sub-service organisaties dient te beoordelen. In hoofdstuk 4 gaan we verder op dit punt in. Aanvullende interne beheersmaatregelen van de gebruikende entiteit Conform de SAS70 standaard is de service organisatie ook bij de ISAE 3402 standaard verplicht om eventuele aanvullende interne beheersmaatregelen waarvan de service organisatie aanneemt dat deze geïmplementeerd zijn bij de gebruikers organisatie op te nemen in het rapport [IFAC09.01]. Hierbij gaat het om beheersmaatregelen die noodzakelijk zijn om de interne beheersdoelstellingen waarover de service auditor rapporteert, te behalen. Een voorbeeld hiervan is bijvoorbeeld een salarisverwerker die in de aanvullende interne beheersmaatregelen aangeeft dat de salarismutaties die de gebruikersorganisatie aan de service organisatie doorgeeft juist en volledig dienen te zijn. Werkzaamheden uitgevoerd door Internal Audit Vanuit de ISAE 3402 standaard is de service auditor verplicht om een beschrijving op te nemen van eventuele testwerkzaamheden die zijn uitgevoerd door de Internal Auditor en een beschrijving van de invloed van deze werkzaamheden op de opinie van de service auditor [IFAC09.01]. Onder de SAS70 standaard werden activiteiten uitgevoerd door Internal Audit onder verantwoordelijkheid van de service auditor uitgevoerd en hoefden deze niet vermeld te worden in de rapportage. 2.5 Nationale service auditor rapport standaarden Zoals eerder aangegeven is de ISAE 3402 de eerste internationale standaard ten aanzien van assurance over uitbestede processen. Naast de Amerikaanse SAS70 standaard zijn in andere landen in de loop der jaren verschillende standaarden ontstaan. In figuur 2 geeft Gaskin een overzicht van aantal standaarden waar de ISAE 3402 invloed op zal hebben. Zij geeft hierbij aan dat nationale organisaties die standaarden ontwikkelen er op aangedrongen worden om ofwel de ISAE 3402 direct toe te passen ofwel hun huidige standaard er nauw op de ISAE 3402 aan te sluiten. [Gas09] Figuur 2: relatie ISAE 3402 met bestaande standaarden 10
Het advies van Gaskin is door de Auditing Standards Board van de AICPA al overgenomen. In April 2010 heeft de AICPA de opvolger van de SAS 70 standaard gepubliceerd, de Statement on Standards for Attestation Engagements (SSAE) 16. SSAE 16 zal de SAS 70 standaard vervangen als de standaard van rapportering over service organisaties voor periodes eindigend op of na 15 juni 2011. 3 De SSAE 16 standaard is hiermee feitelijk de Amerikaanse ‘vertaling’ van de internationale ISAE 3402 standaard. Ten opzichte van de ISAE 3402 standaard is er wel een aantal verschillen, maar de kenmerken die van de ISAE 3402 die wij in de vorige paragraaf hebben behandeld zijn ook voor de SSAE 16 standaard van toepassing. In het kader van onze onderzoeksvraag voert het dan ook te ver om verder stil te staan bij deze verschillen. Wij verwijzen de lezer graag naar de website gewijd aan de standaard voor meer informatie 3 . Inmiddels is ook de Nederlandse vertaling van de ISAE 3402 standaard beschikbaar vanuit NOREA. Alhoewel er meer verschillen zijn, is het opvallend dat waar de IFAC aangeeft bij de scope van de standaard: “This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice…“ [IFAC09.01], NOREA ervoor kiest om de term ‘professional accountant in public practice’ te vertalen met ‘beroepsbeoefenaar’ [NOREA11]. NOREA geeft dan ook aan in een voetnoot dat de term beroepsbeoefenaar “de IT-auditor, zoals gedefinieerd in het Reglement Gedragscode” betreft. Dat betekent dat een ISAE 3402 rapport in Nederland ook zou kunnen worden afgegeven door een ‘interne’ IT auditor en niet per definitie een IT auditor binnen een professional services kantoor. De overige standaarden die door Gaskin worden genoemd komen in de Nederlandse praktijk niet of nauwelijks voor. We gaan dan ook niet verder op deze standaarden in. Een standaard die we in Nederland wel regelmatig tegenkomen is de De Third Party Mededeling of “Derde Partij Mededeling”. Dit is een in Nederland gebruikt service auditors rapport zonder vormvoorschriften voor de wijze van rapporteren. [Vries08] Deze vorm van een service auditor rapport is ontstaan door een vraag naar standaardisatie in IT onderzoeken naar de kwaliteit in beheersing door ITdienstverleners. [Jonk07]. Inmiddels wordt de TPM vrijwel altijd onder de assurance standaard NV COS 3000 “Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie” afgegeven. Hoewel de NV COS 3000 standaard niet specifiek 3) Zie http://www.ssae-16.com gericht is voor op de meer betrouwbaarheid informatie en integriteit van de financiële verslaggeving, komt het in de praktijk regelmatig voor dat er in het kader van een jaarrekening gebruik wordt gemaakt van een rapport onder NV COS 3000. Veel van de kenmerken van de ISAE 3402 standaard gelden niet voor de een service auditors rapportage uitgebracht onder NV COS 3000. Zoals we in hoofdstuk 3 zullen laten zien wordt er in de richtlijnen ten aanzien van het gebruikmaken van een service auditor’s rapport echter geen onderscheid gemaakt naar de standaard waaronder het service auditor’s rapport is uitgebracht. Dat betekent dat indien de gebruikers auditor gebruik zou willen maken van rapport onder NV COS 3000, hij of zij extra aandacht zal moeten besteden om te bepalen of het rapport wel geschikt is voor het gebruik in het kader van de jaarrekeningcontrole. 2.6 Slotopmerkingen We hebben met dit hoofdstuk de benodigde achtergrond ten aanzien van het service auditor’s rapport verschaft om later in deze scriptie te kunnen aangeven hoe een service auditor’s rapport dient te worden beoordeeld. Aan de hand van de nieuwe internationale standaard ISAE 3402 hebben we de belangrijke aspecten van een service auditor’s rapport toegelicht in het kader van het beoordelen van een service auditor’s rapport. Daarnaast hebben we de reikwijdte van een service auditor’s rapport behandeld, en we hebben aangegeven welke verschillen er op deze punten bestaan met de op dit moment veel voorkomende SAS70 standaard. Tenslotte hebben we kort stilgestaan bij enkele relevante nationale standaarden. Uit dit hoofdstuk blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment. 11
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15: organisatie zelf procedures hanteer
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27 and 28: evindingen op beheersmaatregel nive
Page 29 and 30: Uit de inventarisatie blijkt dat vr
Page 31 and 32: In dit hoofdstuk hebben wij een ond
Page 33 and 34: eoordelen aspecten waarmee de diepg
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?