Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
de rol <strong>van</strong> de IT auditor bij <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>. Om dit punt<br />
duidelijk te behandelen, beg<strong>in</strong>nen wij met <strong>een</strong> stukje historie.<br />
Tot en met 2004 bestond NV COS 401 richtlijn “Audit<strong>in</strong>g <strong>in</strong> a Computer Information Systems<br />
Environment”. In deze standaard was vastgelegd dat de auditor voldoende kennis behoorde te<br />
hebben over de <strong>in</strong>formatie omgev<strong>in</strong>g om zijn werkzaamheden uit te voeren. [NIVRA05] Vanaf 15<br />
december 2004 is deze richtlijn echter ondergebracht <strong>in</strong> de NV COS 315 “Het onderkennen en<br />
<strong>in</strong>schatten <strong>van</strong> de risico's <strong>van</strong> <strong>een</strong> afwijk<strong>in</strong>g <strong>van</strong> materieel belang door middel <strong>van</strong> <strong>het</strong> verwerven<br />
<strong>van</strong> <strong>in</strong>zicht <strong>in</strong> de entiteit en haar omgev<strong>in</strong>g” en NV COS 330 “De wijzen <strong>van</strong> <strong>in</strong>spelen door de<br />
accountant op <strong>in</strong>geschatte risico's”. Deze standaarden beschrijven richtlijnen hoe de auditor<br />
<strong>in</strong>zicht kan verwerven <strong>in</strong> de organisatie, haar <strong>in</strong>terne beheers<strong>in</strong>g die rele<strong>van</strong>t is voor de controle,<br />
de risico’s die daarbij aanwezig zijn, en de wijze hoe om te gaan met deze risico’s. [NIVRA11.02] In<br />
de standaard NV COS 315 wordt bij <strong>het</strong> risico-<strong>in</strong>schatt<strong>in</strong>gsproces <strong>het</strong> <strong>in</strong>formatiesysteem als<br />
component <strong>van</strong> de <strong>in</strong>terne beheers<strong>in</strong>g opgenomen. Hierdoor worden er richtlijnen beschreven<br />
welke werkzaamheden <strong>een</strong> auditor dient te verrichten om <strong>in</strong>zicht te verwerven <strong>in</strong> <strong>het</strong> voor<br />
f<strong>in</strong>anciële verslaggev<strong>in</strong>g rele<strong>van</strong>te <strong>in</strong>formatiesysteem, met <strong>in</strong>begrip <strong>van</strong> de daarop betrekk<strong>in</strong>g<br />
hebbende bedrijfsprocessen. [NIVRA11.01]<br />
De vraag wie deze activiteiten dan moet uitvoeren wordt behandeld <strong>in</strong> NV COS 620<br />
“Gebruikmaken <strong>van</strong> de werkzaamheden <strong>van</strong> deskundigen”. Deze richtlijn helpt de accountant om<br />
te bepalen wanneer en hoe de accountant gebruik moet maken <strong>van</strong> deskundigen <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong><br />
<strong>een</strong> jaarreken<strong>in</strong>g controle, en daarmee ook deskundigen op <strong>het</strong> gebied <strong>van</strong> IT beheers<strong>in</strong>g.<br />
[NIVRA11.04] Er wordt <strong>in</strong> de richtlijn g<strong>een</strong> specifieke aandacht besteed aan de vraag wanneer er<br />
<strong>een</strong> IT auditor betrokken dient te worden. Zelfs <strong>in</strong> de voorbeelden die <strong>in</strong> de richtlijn gegeven<br />
worden met betrekk<strong>in</strong>g tot wanneer <strong>een</strong> deskundige zou kunnen worden <strong>in</strong>geschakeld wordt<br />
g<strong>een</strong> voorbeeld gegeven <strong>van</strong> <strong>een</strong> deskundige op <strong>het</strong> gebied <strong>van</strong> IT beheers<strong>in</strong>g. Wij maken hier uit<br />
op dat <strong>het</strong> daarmee aan <strong>het</strong> professional judgment <strong>van</strong> de accountant overgelaten om al dan niet<br />
<strong>een</strong> IT auditor <strong>in</strong> te schakelen. Dat dit <strong>in</strong> over<strong>een</strong>stemm<strong>in</strong>g is met wat de IFAC bedoeld heeft met<br />
deze richtlijnen blijkt uit de <strong>in</strong>leid<strong>in</strong>g <strong>van</strong> <strong>het</strong> Handboek <strong>van</strong> IFAC 2010 waar <strong>het</strong> volgende staat:<br />
“The nature of the <strong>in</strong>ternational standards requires the professional accountant to exercise<br />
professional judgment <strong>in</strong> apply<strong>in</strong>g them.”<br />
Professional judgment (vakkundige oordeelsvorm<strong>in</strong>g) wordt vervolgens gedef<strong>in</strong>ieerd als <strong>het</strong><br />
toepassen <strong>van</strong> rele<strong>van</strong>te tra<strong>in</strong><strong>in</strong>g / schol<strong>in</strong>g, kennis en ervar<strong>in</strong>g <strong>in</strong> de context <strong>van</strong> professionele<br />
standaarden op <strong>het</strong> gebied <strong>van</strong> verslaggev<strong>in</strong>g en gedrags- en beroepsregels voor de accountants.<br />
[IFAC10]<br />
Ten aanzien <strong>van</strong> de specifieke vraag of er <strong>in</strong> de richtlijnen ten aanzien <strong>van</strong> <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong><br />
<strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>g controle <strong>een</strong> rol is weggelegd voor de IT<br />
auditor kunnen wij kort zijn: <strong>in</strong> de NV COS standaarden wordt daar g<strong>een</strong> meld<strong>in</strong>g <strong>van</strong> gemaakt en<br />
is dit wederom <strong>een</strong> kwestie <strong>van</strong> professional judgment <strong>van</strong> de gebruikers auditor om te bepalen<br />
of de <strong>in</strong>zet <strong>van</strong> <strong>een</strong> IT auditor noodzakelijk is.<br />
3.6 Slotopmerk<strong>in</strong>gen<br />
In dit hoofdstuk hebben wij kort <strong>het</strong> doel en theorie achter de jaarreken<strong>in</strong>g controle behandeld,<br />
alsmede de standaarden die de accountant helpen om de controle uit te voeren. Specifiek hebben<br />
wij stilgestaan bij de richtlijnen die beschikbaar zijn ten aanzien <strong>van</strong> <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong><br />
<strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>g controle, en bij de richtlijnen ten<br />
aanzien <strong>van</strong> de <strong>in</strong>zet <strong>van</strong> <strong>een</strong> IT auditor bij de jaarreken<strong>in</strong>g controle ten behoeve <strong>van</strong> <strong>het</strong><br />
beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>.<br />
We merken op dat er met de NV COS 402 standaard richtlijnen bestaan ten aanzien <strong>van</strong> <strong>het</strong><br />
beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>gcontrole. De<br />
richtlijn gaat echter niet veel verder dan <strong>het</strong> benoemen dan de te beoordelen aspecten. De<br />
diepgang of wijze <strong>van</strong> beoordelen blijft wederom aan de gebruikers auditor.<br />
De rol <strong>van</strong> de IT auditor voor <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de<br />
jaarreken<strong>in</strong>g is door <strong>het</strong> ontbreken <strong>van</strong> <strong>een</strong> concrete richtlijn volledig <strong>een</strong> kwestie <strong>van</strong><br />
professional judgment aan de kant <strong>van</strong> de gebruikers auditor.<br />
16