Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

Ad c) Datum of periode passend voor de doeleinden 9 van de 10 respondenten gaven aan te bepalen of de testperiode en het type van het service auditor’s rapport (type I of type II) aansluiten met de behoefte vanuit de jaarrekeningcontrole. Ad d) Geschiktheid en volledigheid van de verschafte informatie door het rapport Bij deze categorie betrekken wij uit de theorie het beoordelen van de reikwijdte van het rapport en of de interne controle maatregelen van de service organisatie betrekking hebben op de jaarrekeningcontrole van de gebruikersorganisatie en het beoordelen van de resultaten van de uitgevoerde testwerkzaamheden door de service auditor. Alle respondenten behandelen de scope van een service auditor’s rapport. Wel bestaan er grote verschillen in de mate waarin de scope door de respondent wordt behandeld. Vrijwel iedereen begint met het bepalen van de scope van uitbestede diensten, vervolgens wordt gekeken of de beschrijving van de scope van het service auditor’s rapport wel aansluit met deze ‘benodigde’ scope. Wel geven meerdere respondenten aan dat een en ander wel afhangt van de complexiteit en materialiteit van de uitbestede diensten. Naarmate de uitbestede dienst meer materieel of complex is wordt er meer aandacht besteed aan de scope van het service auditor’s rapport. Zo werd meerdere malen het voorbeeld van salarisverwerking genoemd. Daarvan gaven sommigen aan dat men nauwelijks aandacht besteed aan zo’n service auditor’s rapport, vanwege het feit dat dat een gestandaardiseerde scope zou zijn. Sommigen gaven aan dat het soms lastig kan zijn om te bepalen of de scope van een service auditor’s rapport toereikend is aangezien de beschrijving van de scope (meestal van de hand van de service organisatie) niet altijd even duidelijk geformuleerd is. Als de beschrijving van de scope is beoordeeld, geven ruim de helft van de respondenten aan dat men dan kijkt of de scope van de getoetste beheersmaatregelen ook de beschrijving van de scope afdekt. Men begint dan eerst met het bepalen of de beheersdoelstellingen de risico’s in de scope afdekken, soms ook door andere service auditor’s rapport’s van vergelijkbare service organisaties te benchmarken. Daarna wordt dan ook nog bepaald of de beheersmaatregelen de beheersdoelstellingen in voldoende mate afdekken. Opvallend is dat de RE in het algemeen verder de diepte ingaat dan de RA. Door een aantal respondenten (met name RE’s) wordt ook specifiek aangegeven dat bepaald wordt of de scope van de ITGC voldoende is. Er wordt aangegeven dat dit ook vaak aan de hand van benchmarking met de ‘eigen’ ITGC scope gebeurt. Eén van de respondenten gaf aan voorafgaand aan de jaarrekeningcontrole en via de user organisatie afspraken te (willen) maken met de service auditor met betrekking tot de scope van een service auditor’s rapport. Alhoewel dit punt geen onderdeel is van het beoordelen van een service auditor’s rapport, en de service organisatie de scope bepaalt, komen wij nog wel op dit punt terug in hoofdstuk 5. Ad e) Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend 3 van de 10 respondenten gaf aan dat men vaststelt dat de aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend ook daadwerkelijk geïmplementeerd zijn bij de gebruikersorganisatie. Het gebruiken van een type 2 rapport als controle-informatie dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken: f. De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit Ad f) De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit Alle respondenten geven aan te bepalen welke impact eventuele bevindingen hebben op zijn of haar controle aanpak in het kader van de jaarrekening controle. De meeste respondenten geven daarbij aan dat er aandacht wordt besteed aan de bevindingen op beheersdoelstelling niveau (bij de meeste service auditor’s rapporten: de bevindingen die in de mededeling van de service auditor worden genoemd). Opvallend is dat alle respondenten aangeven (soms zelf met name) aandacht te besteden aan de detailbevindingen. 7 van de 10 respondenten gaven ook aan aandacht te besteden aan de afweging van de service auditor met betrekking tot de vraag of 20
evindingen op beheersmaatregel niveau wel of geen impact hebben op het behalen van de beheersdoelstellingen. Vier respondenten gaven aan aandacht te besteden aan de omvang de steekproeven, aangezien de omvang hiervan niet verplicht wordt gesteld door de verschillende standaarden. Waarbij deze vier respondenten en overigens één andere aangaf ook expliciet te bepalen of de testwerkzaamheden die de service auditor heeft uitgevoerd ook voldoende zijn om de beheersmaatregelen te testen. Het gebruiken van een type 1 of type 2 rapport die de diensten van een sub-serviceorganisatie uitsluit: g. Sub-service organisaties Ad g) Sub-service organisaties 6 van de 10 respondenten hebben specifiek aangegeven dat men bij de beoordeling van een service auditor’s rapport aandacht wordt besteed aan eventuele sub service organisaties. Met name de RE (4 van de 6) besteed hier aandacht aan. De respondenten geven aan dat het belangrijk is om vast te stellen of er een inclusive of carve out methode wordt gebruikt. Indien er sprake is van een carve out wordt door een beperkt aantal van de respondenten ook een service auditor’s rapport van de sub-service organisatie opgevraagd, die afzonderlijk wordt beoordeeld. 4.3.3 Resultaten met betrekking tot de rol van de IT-auditor 9 van de 10 respondenten geven aan dat het belangrijk is bepaalde skills in te zetten bij een beoordeling van een service auditor’s rapport. Al deze 9 geven aan dat het in ieder geval iemand dient te zijn met kennis van de uitbestede processen. Zij geven aan dat dit vrijwel altijd iemand zal zijn van het audit team. Daarnaast geven 7 van de respondenten aan dat in veel gevallen nodig is om een IT auditor te betrekken bij de beoordeling van de IT general controls (ITGC) scope en ITGC bevindingen. Wel wordt vaker de kanttekening gemaakt dat dit niet altijd noodzakelijk is. Algemene tendens onder de respondenten is dat wanneer de uitbestede processen meer complex zijn, of als het uitbestede proces van materieel belang is voor de jaarrekening controle van de user organisatie, er een IT auditor wordt ingeschakeld. Opvallend hierbij is dat het blijkbaar niet (alleen) afhangt van de mate van automatisering van het uitbestede proces. Een ander opvallend punt is dat een beperkt aantal respondenten aangeeft dat de IT auditor ook vanwege de vaktechnische beoordeling van een service auditor’s rapport wordt ingeschakeld. Twee van de respondenten heeft ook aangegeven dat het ook voorkomt dat andere specialisten worden ingeschakeld bij de beoordeling. Hierbij valt te denken aan experts op het gebied van vastgoed of actuariële processen. 4.3.4 Omgang met de resultaten van de beoordeling door de audit professional Alhoewel wij het in onze enquête niet specifiek hebben gevraagd, heeft een aantal respondenten aangegeven wat de vervolgstappen zijn nadat zij een service auditor’s rapport hebben beoordeeld. Aangezien dit punt nauw aansluit met de theorie waar de relatie behoort te worden gelegd tussen de resultaten van de beoordeling met de werkzaamheden in het kader van de jaarrekening controle, behandelen wij dit punt hier ook. Zes respondenten geven aan de resultaten vanuit de beoordeling van de service auditor’s rapport te gebruiken om vast te stellen welke aanvullende werkzaamheden in het kader van de jaarrekeningcontrole zouden moeten worden uitgevoerd. Hieronder vallen ook additionele testwerkzaamheden bij de service organisatie. Vervolgens gaven vier respondenten aan alle bevindingen, vragen en onduidelijkheden te willen bespreken met de service organisatie en/of de service auditor. Drie respondenten gaven aan relgelmatig een dossierreview uit te voeren op het dossier van de service auditor. Dit gaat dan om de situatie waarbij grote delen van de activiteiten van de user organisatie zijn uitbesteed aan de service organisatie. 21
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15 and 16: organisatie zelf procedures hanteer
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25: 4.3.1 Resultaten met betrekking tot
Page 29 and 30: Uit de inventarisatie blijkt dat vr
Page 31 and 32: In dit hoofdstuk hebben wij een ond
Page 33 and 34: eoordelen aspecten waarmee de diepg
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

Create successful ePaper yourself

Delete template?

Save as template?