Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

4.4 Analyse De resultaten van de enquête zijn in de vorige paragraaf opgesomd en hieruit blijkt dat er divers wordt omgegaan met de beoordeling van een service auditor’s rapport door de audit professionals. In deze paragraaf voeren wij een analyse uit op de resultaten van het onderzoek aan de hand van de NV COS 402 standaard en onze eigen praktijkervaring. De analyse verdelen wij in de volgende categorieën: • Analyse met betrekking tot de gehanteerde richtlijnen • Analyse met betrekking tot de rol van de IT-auditor • Analyse met betrekking tot de resultaten van de beoordeling door de audit professional 4.4.1 Analyse met betrekking tot de gehanteerde richtlijnen In hoofdstuk 3 is duidelijk geworden dat er één standaard richtlijnen biedt ten aanzien van het beoordelen van een service auditors rapportage, namelijk de NV COS 402. Uit de resultaten blijkt dat meer dan de helft van de respondenten de standaard kent. Van deze respondenten geeft vervolgens een aantal aan dat zij de richtlijnen niet actief gebruiken en veel meer gebruik maken van de ervaring die zij inmiddels hebben opgebouwd. Ook is belangrijk te vermelden dan meerdere respondenten aangaven interne richtlijnen te hanteren, welke waarschijnlijk gebaseerd zijn op de NV COS 402. Alhoewel deze standaarden ongetwijfeld goed zijn ‘vertaald’ naar meer specifieke interne richtlijnen, is het onzes inziens ook belangrijk de daadwerkelijke standaard te kennen. Deskundigheid en onafhankelijkheid van de service auditor Afgezien van het feit dat bijna alle respondenten lieten weten dat zij controleerden of het service auditor’s rapport ondertekend is door een RA of RE zijn wij van mening dat dit aspect uit de richtlijn onvoldoende belicht is. Wel hebben twee van de respondenten aangegeven vast te stellen welke organisatie het rapport heeft uitgebracht, en of de betreffende RA of RE is ingeschreven bij het NIVRA of NOREA. Dit zijn inderdaad activiteiten die uitgevoerd kunnen worden om een deel van de deskundigheid vast te stellen, maar uit de praktijk blijkt dat maar weinig audit professionals deze activiteiten uitvoeren. Daarbij heeft slechts één van de respondenten laten weten dat zij specifieke activiteiten uit voeren om de onafhankelijkheid en deskundigheid van de service auditor vast te stellen. Het punt ten aanzien van de deskundigheid van de service auditor is met name interessant omdat het vaak voorkomt dat bijvoorbeeld een service auditor’s rapport met betrekking tot een IT service provider wordt getekend door een RA. Ook komt het omgekeerde voor, waarbij een RE bijvoorbeeld een service auditor’s rapport met betrekking tot vermogensbeheer tekent. Zeker in dit soort gevallen zijn wij van mening dat de gebruikers auditor specifiek de deskundigheid van de service auditor dient vast te stellen. De adequaatheid van de toepassing van de betreffende service auditor’s rapport standaard Ten aanzien van dit aspect zien wij in de inventarisatie grote verschillen tussen de RA’s en RE’s. De RA’s lijken te vergeten dat het ook belangrijk is om te beoordelen of de rapportage wel aan de betreffende standaard voldoet. Waaraan dit ligt is niet zeker, maar een aantal Big Four kantoren hebben speciale afdelingen of competentie teams die gespecialiseerd zijn in derde partij mededelingen. De vaktechniek omtrent service auditor’s rapportages is in deze organisaties vaak meer gecentraliseerd bij de IT auditors. Wij zijn van mening dat dit een goede ontwikkeling is en dat het aanbeveling verdient om een dergelijke afdeling in te schakelen ten aanzien van het beoordelen van een service auditor’s rapport. Dit punt is onzes inziens extra van belang gezien de introductie van de ISAE 3402 standaard, welke toch weer andere vaktechnische vereisten introduceert. Datum of periode passend voor de doeleinden Uit de resultaten blijkt dat vrijwel elke respondent zowel de testperiode als het type van een service auditor’s rapport meeneemt in zijn of haar beoordeling. Dit sluit aan met zowel het onderzoek voor het Money Management Insitute uit de theorie als onze eigen ervaringen in de praktijk waaruit blijkt dat deze karakteristieken van een service auditor’s rapport inmiddels goed zijn ingeburgerd en om deze reden niet vergeten worden bij het beoordelen van een service auditor’s rapport. Geschiktheid en volledigheid van de verschafte informatie door het rapport 22
Uit de inventarisatie blijkt dat vrijwel iedereen naar de reikwijdte van een service auditor’s rapport kijkt. Echter de diepgang hiervan is naar onze mening nog beperkt, omdat ons bijvoorbeeld opvalt dat de respondenten niet allen vaststellen de daadwerkelijk geteste beheersdoelstellingen en maatregelen deze beschrijving van de reikwijdte afdekt. In de praktijk komt namelijk regelmatig voor dat de reikwijdte in de beschrijving breder is dan de reikwijdte van de daadwerkelijk geteste maatregelen. Voor de oplettende lezer wordt deze beperking van de reikwijdte van geteste beheersmaatregelen wel duidelijk en dit geeft aan dat men naar zowel de beschrijving van de reikwijdte als naar de reikwijdte van de beheersdoelstellingen en maatregelen moet evalueren. Het blijkt ook dat de RE dit vaker doet dan de RA, dit zou erop kunnen wijzen dat de RE in het algemeen met meer detail naar een service auditor’s rapport kijkt. Ook interessant is het om te horen dat men een paar jaar geleden bij het zien van een service auditor’s rapport dacht dat ‘het wel goed zat’, maar dat men inmiddels weet dat het belangrijk is goed naar de scope te kijken aangezien deze niet per definitie hoeft aan te sluiten met de behoefte vanuit de gebruikers auditor. Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend De beperkte aandacht voor deze aanvullende interne beheersmaatregelen van de gebruikende entiteit, ook wel bekend vanuit de SAS70 terminologie als user control considerations, is opvallend te noemen. Terwijl het in het geval van een ISAE 3402 of SAS70 standaard verplicht is om deze beheersmaatregelen, die bij de gebruikersorganisatie geïmplementeerd zouden moeten zijn, op te nemen hebben maar weinig van de respondenten aangegeven hier aandacht aan te besteden. Wij vinden dit een belangrijk punt gezien het feit dat de user control considerations van invloed zijn op de effectieve werking van de beheersmaatregelen van de service organisatie. Indien de effectiviteit van deze maatregelen bij de gebruikersorganisatie niet wordt vastgesteld, kan de service organisatie geen garantie geven op de effectieve werking van de beheersmaatregelen die een relatie met de user control considerations hebben. Daarnaast wordt duidelijkheid over dit aspect belangrijker naar gelang er in de praktijk steeds meer constructies ontstaan waar er sprake is van sub-serviceorganisaties. Dit leidt ertoe dat de auditor van de gebruikersorganisatie ook zal moeten evalueren of de user control considerations van de sub-service organisatie geïmplementeerd zijn bij de service organisatie om de effectiviteit van de beheersmaatregelen te waarborgen. De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit De respondenten lijken uit de resultaten van de enquête behoorlijk eensgezind te zijn over de omgang met de bevindingen. Wij zien hier een overeenkomst met onze ervaringen van de laatste jaren dat er niet alleen gekeken wordt naar de bevindingen in de mededeling van de service auditor, maar dat er minimaal net zo goed gekeken wordt naar de detailbevindingen. Dat veel van de respondenten aangeven ook de afweging van de service auditor ten aanzien van het wel of niet behalen van de beheersdoelstelling te beoordelen bevestigd dit. Wel is het opvallend te noemen dat minder dan de helft van de respondenten aandacht besteed aan de adequaatheid van de testwerkzaamheden en steekproefomvang. Wij zien dit als een belangrijk punt aangezien wij in praktijk behoorlijk vreemde constructies tegenkomen. Zo zijn wij onlangs nog een SAS70 rapport tegengekomen waarbij de service auditor aangaf niet de beheersmaatregel zelf te hebben getoetst, maar de kwartaalcontrole op de beheersmaatregel die door de ‘tweede lijn’ werd uitgevoerd. Vaktechnisch is dit overigens niet per definitie een probleem, maar dergelijke zaken zouden wel moeten leiden tot het stellen van vragen aan de service auditor om te evalueren welke werkzaamheden de service auditor heeft uitgevoerd om de effectiviteit van de beheersmaatregel vast te stellen. Sub-service organisaties Uit paragraaf 4.3 blijkt dat lang niet iedereen expliciet aandacht besteed aan sub-service organisaties. En dat terwijl ook vanuit onze ervaring blijkt dat het regelmatig voorkomt dat significante delen van de operatie van een service organisatie weer zijn uitbesteed aan een subservice organisatie. Dat betekent dat het ook belangrijk is om de service auditor’s rapport van de sub service organisatie op te vragen en te beoordelen. Indien de service organisatie slechts een beperkt deel heeft uitbesteed aan een sub-service organisatie kunnen wij ons wel voorstellen dat er weinig aandacht aan wordt besteed. Feit blijft wel dat er altijd kritisch zou moeten worden 23
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15 and 16: organisatie zelf procedures hanteer
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27: evindingen op beheersmaatregel nive
Page 31 and 32: In dit hoofdstuk hebben wij een ond
Page 33 and 34: eoordelen aspecten waarmee de diepg
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

Create successful ePaper yourself

Delete template?

Save as template?