Beoordeling van een service auditor's rapport in het kader ... - Vurore

de rol van de IT auditor bij het beoordelen van een service auditor’s rapport. Om dit punt
duidelijk te behandelen, beginnen wij met een stukje historie.
Tot en met 2004 bestond NV COS 401 richtlijn “Auditing in a Computer Information Systems
Environment”. In deze standaard was vastgelegd dat de auditor voldoende kennis behoorde te
hebben over de informatie omgeving om zijn werkzaamheden uit te voeren. [NIVRA05] Vanaf 15
december 2004 is deze richtlijn echter ondergebracht in de NV COS 315 “Het onderkennen en
inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven
van inzicht in de entiteit en haar omgeving” en NV COS 330 “De wijzen van inspelen door de
accountant op ingeschatte risico's”. Deze standaarden beschrijven richtlijnen hoe de auditor
inzicht kan verwerven in de organisatie, haar interne beheersing die relevant is voor de controle,
de risico’s die daarbij aanwezig zijn, en de wijze hoe om te gaan met deze risico’s. [NIVRA11.02] In
de standaard NV COS 315 wordt bij het risico-inschattingsproces het informatiesysteem als
component van de interne beheersing opgenomen. Hierdoor worden er richtlijnen beschreven
welke werkzaamheden een auditor dient te verrichten om inzicht te verwerven in het voor
financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarop betrekking
hebbende bedrijfsprocessen. [NIVRA11.01]
De vraag wie deze activiteiten dan moet uitvoeren wordt behandeld in NV COS 620
“Gebruikmaken van de werkzaamheden van deskundigen”. Deze richtlijn helpt de accountant om
te bepalen wanneer en hoe de accountant gebruik moet maken van deskundigen in het kader van
een jaarrekening controle, en daarmee ook deskundigen op het gebied van IT beheersing.
[NIVRA11.04] Er wordt in de richtlijn geen specifieke aandacht besteed aan de vraag wanneer er
een IT auditor betrokken dient te worden. Zelfs in de voorbeelden die in de richtlijn gegeven
worden met betrekking tot wanneer een deskundige zou kunnen worden ingeschakeld wordt
geen voorbeeld gegeven van een deskundige op het gebied van IT beheersing. Wij maken hier uit
op dat het daarmee aan het professional judgment van de accountant overgelaten om al dan niet
een IT auditor in te schakelen. Dat dit in overeenstemming is met wat de IFAC bedoeld heeft met
deze richtlijnen blijkt uit de inleiding van het Handboek van IFAC 2010 waar het volgende staat:
“The nature of the international standards requires the professional accountant to exercise
professional judgment in applying them.”
Professional judgment (vakkundige oordeelsvorming) wordt vervolgens gedefinieerd als het
toepassen van relevante training / scholing, kennis en ervaring in de context van professionele
standaarden op het gebied van verslaggeving en gedrags- en beroepsregels voor de accountants.
[IFAC10]
Ten aanzien van de specifieke vraag of er in de richtlijnen ten aanzien van het beoordelen van een
service auditor’s rapport in het kader van de jaarrekening controle een rol is weggelegd voor de IT
auditor kunnen wij kort zijn: in de NV COS standaarden wordt daar geen melding van gemaakt en
is dit wederom een kwestie van professional judgment van de gebruikers auditor om te bepalen
of de inzet van een IT auditor noodzakelijk is.
3.6 Slotopmerkingen
In dit hoofdstuk hebben wij kort het doel en theorie achter de jaarrekening controle behandeld,
alsmede de standaarden die de accountant helpen om de controle uit te voeren. Specifiek hebben
wij stilgestaan bij de richtlijnen die beschikbaar zijn ten aanzien van het beoordelen van een
service auditor’s rapport in het kader van de jaarrekening controle, en bij de richtlijnen ten
aanzien van de inzet van een IT auditor bij de jaarrekening controle ten behoeve van het
beoordelen van een service auditor’s rapport.
We merken op dat er met de NV COS 402 standaard richtlijnen bestaan ten aanzien van het
beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. De
richtlijn gaat echter niet veel verder dan het benoemen dan de te beoordelen aspecten. De
diepgang of wijze van beoordelen blijft wederom aan de gebruikers auditor.
De rol van de IT auditor voor het beoordelen van een service auditor’s rapport in het kader van de
jaarrekening is door het ontbreken van een concrete richtlijn volledig een kwestie van
professional judgment aan de kant van de gebruikers auditor.
16