Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
4.4 Analyse<br />
De resultaten <strong>van</strong> de enquête zijn <strong>in</strong> de vorige paragraaf opgesomd en hieruit blijkt dat er divers<br />
wordt omgegaan met de beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> door de audit<br />
professionals. In deze paragraaf voeren wij <strong>een</strong> analyse uit op de resultaten <strong>van</strong> <strong>het</strong> onderzoek<br />
aan de hand <strong>van</strong> de NV COS 402 standaard en onze eigen praktijkervar<strong>in</strong>g. De analyse verdelen<br />
wij <strong>in</strong> de volgende categorieën:<br />
• Analyse met betrekk<strong>in</strong>g tot de gehanteerde richtlijnen<br />
• Analyse met betrekk<strong>in</strong>g tot de rol <strong>van</strong> de IT-auditor<br />
• Analyse met betrekk<strong>in</strong>g tot de resultaten <strong>van</strong> de beoordel<strong>in</strong>g door de audit professional<br />
4.4.1 Analyse met betrekk<strong>in</strong>g tot de gehanteerde richtlijnen<br />
In hoofdstuk 3 is duidelijk geworden dat er één standaard richtlijnen biedt ten aanzien <strong>van</strong> <strong>het</strong><br />
beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditors <strong>rapport</strong>age, namelijk de NV COS 402. Uit de resultaten blijkt<br />
dat meer dan de helft <strong>van</strong> de respondenten de standaard kent. Van deze respondenten geeft<br />
vervolgens <strong>een</strong> aantal aan dat zij de richtlijnen niet actief gebruiken en veel meer gebruik maken<br />
<strong>van</strong> de ervar<strong>in</strong>g die zij <strong>in</strong>middels hebben opgebouwd. Ook is belangrijk te vermelden dan<br />
meerdere respondenten aangaven <strong>in</strong>terne richtlijnen te hanteren, welke waarschijnlijk gebaseerd<br />
zijn op de NV COS 402. Alhoewel deze standaarden ongetwijfeld goed zijn ‘vertaald’ naar meer<br />
specifieke <strong>in</strong>terne richtlijnen, is <strong>het</strong> onzes <strong>in</strong>ziens ook belangrijk de daadwerkelijke standaard te<br />
kennen.<br />
Deskundigheid en onafhankelijkheid <strong>van</strong> de <strong>service</strong> auditor<br />
Afgezien <strong>van</strong> <strong>het</strong> feit dat bijna alle respondenten lieten weten dat zij controleerden of <strong>het</strong> <strong>service</strong><br />
auditor’s <strong>rapport</strong> ondertekend is door <strong>een</strong> RA of RE zijn wij <strong>van</strong> men<strong>in</strong>g dat dit aspect uit de<br />
richtlijn onvoldoende belicht is. Wel hebben twee <strong>van</strong> de respondenten aangegeven vast te<br />
stellen welke organisatie <strong>het</strong> <strong>rapport</strong> heeft uitgebracht, en of de betreffende RA of RE is<br />
<strong>in</strong>geschreven bij <strong>het</strong> NIVRA of NOREA. Dit zijn <strong>in</strong>derdaad activiteiten die uitgevoerd kunnen<br />
worden om <strong>een</strong> deel <strong>van</strong> de deskundigheid vast te stellen, maar uit de praktijk blijkt dat maar<br />
we<strong>in</strong>ig audit professionals deze activiteiten uitvoeren. Daarbij heeft slechts één <strong>van</strong> de<br />
respondenten laten weten dat zij specifieke activiteiten uit voeren om de onafhankelijkheid en<br />
deskundigheid <strong>van</strong> de <strong>service</strong> auditor vast te stellen. Het punt ten aanzien <strong>van</strong> de deskundigheid<br />
<strong>van</strong> de <strong>service</strong> auditor is met name <strong>in</strong>teressant omdat <strong>het</strong> vaak voorkomt dat bijvoorbeeld <strong>een</strong><br />
<strong>service</strong> auditor’s <strong>rapport</strong> met betrekk<strong>in</strong>g tot <strong>een</strong> IT <strong>service</strong> provider wordt getekend door <strong>een</strong> RA.<br />
Ook komt <strong>het</strong> omgekeerde voor, waarbij <strong>een</strong> RE bijvoorbeeld <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> met<br />
betrekk<strong>in</strong>g tot vermogensbeheer tekent. Zeker <strong>in</strong> dit soort gevallen zijn wij <strong>van</strong> men<strong>in</strong>g dat de<br />
gebruikers auditor specifiek de deskundigheid <strong>van</strong> de <strong>service</strong> auditor dient vast te stellen.<br />
De adequaatheid <strong>van</strong> de toepass<strong>in</strong>g <strong>van</strong> de betreffende <strong>service</strong> auditor’s <strong>rapport</strong> standaard<br />
Ten aanzien <strong>van</strong> dit aspect zien wij <strong>in</strong> de <strong>in</strong>ventarisatie grote verschillen tussen de RA’s en RE’s.<br />
De RA’s lijken te vergeten dat <strong>het</strong> ook belangrijk is om te beoordelen of de <strong>rapport</strong>age wel aan de<br />
betreffende standaard voldoet.<br />
Waaraan dit ligt is niet zeker, maar <strong>een</strong> aantal Big Four kantoren hebben speciale afdel<strong>in</strong>gen of<br />
competentie teams die gespecialiseerd zijn <strong>in</strong> derde partij mededel<strong>in</strong>gen. De vaktechniek omtrent<br />
<strong>service</strong> auditor’s <strong>rapport</strong>ages is <strong>in</strong> deze organisaties vaak meer gecentraliseerd bij de IT auditors.<br />
Wij zijn <strong>van</strong> men<strong>in</strong>g dat dit <strong>een</strong> goede ontwikkel<strong>in</strong>g is en dat <strong>het</strong> aanbevel<strong>in</strong>g verdient om <strong>een</strong><br />
dergelijke afdel<strong>in</strong>g <strong>in</strong> te schakelen ten aanzien <strong>van</strong> <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s<br />
<strong>rapport</strong>. Dit punt is onzes <strong>in</strong>ziens extra <strong>van</strong> belang gezien de <strong>in</strong>troductie <strong>van</strong> de ISAE 3402<br />
standaard, welke toch weer andere vaktechnische vereisten <strong>in</strong>troduceert.<br />
Datum of periode passend voor de doele<strong>in</strong>den<br />
Uit de resultaten blijkt dat vrijwel elke respondent zowel de testperiode als <strong>het</strong> type <strong>van</strong> <strong>een</strong><br />
<strong>service</strong> auditor’s <strong>rapport</strong> m<strong>een</strong>eemt <strong>in</strong> zijn of haar beoordel<strong>in</strong>g. Dit sluit aan met zowel <strong>het</strong><br />
onderzoek voor <strong>het</strong> Money Management Insitute uit de theorie als onze eigen ervar<strong>in</strong>gen <strong>in</strong> de<br />
praktijk waaruit blijkt dat deze karakteristieken <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong>middels goed<br />
zijn <strong>in</strong>geburgerd en om deze reden niet vergeten worden bij <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong><br />
auditor’s <strong>rapport</strong>.<br />
Geschiktheid en volledigheid <strong>van</strong> de verschafte <strong>in</strong>formatie door <strong>het</strong> <strong>rapport</strong><br />
22