Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

gekeken naar eventuele sub service organisaties en de impact van de uitbestede diensten op uiteindelijk de jaarrekening van de user organisatie. Dit punt zien wij zoals aangegeven zowel bij de RA als RE terugkomen. 4.4.2 Analyse met betrekking tot de rol van de IT auditor Uit de resultaten van het onderzoek blijkt dat de IT auditor vaak wordt geraadpleegd bij de beoordeling van een service auditor’s rapportage, en dan met name op het gebied van het beoordelen van de ITGC scope en ITGC bevindingen. Echter meerdere respondenten geven aan dat zij het inschakelen van de IT auditor laten afhangen van de complexiteit en materialiteit van de service organisatie en niet van de mate van automatisering. Wat ons bijvoorbeeld opvalt, samen met de RE’s uit het onderzoek van andere kantoren, is dat wanneer de salarisverwerking uitbesteed is naar een service organisatie de gebruikers auditor niet direct rekening houdt met de mate van automatisering. Omdat een dergelijk service auditor’s rapport bol staat van de algemene IT maatregelen en andere geautomatiseerde maatregelen zou de IT auditor een belangrijke rol moeten spelen bij het beoordelen van zo’n service auditor’s rapportage. Hoewel de materialiteit zeker een belangrijke factor is als men een service auditor’s rapportage beoordeelt in het kader van de jaarrekeningcontrole, zou onzes inziens de mate van automatisering minimaal zo belangrijk moeten zijn. Bovendien is het opvallend dat de wij als IT auditors ook vaak worden geraadpleegd voor meer dan alleen de beoordeling van de algemene IT maatregelen of andere geautomatiseerde controles. Dit wordt bevestigd door meerdere respondenten die aangaven dat de RE ook wordt ingezet om bijvoorbeeld de vaktechnische aspecten van een service auditor’s rapport te beoordelen. Het is dan wellicht ook niet vreemd om vanuit onze inventarisatie te constateren dat de RE’s ook ‘beter scoren’ op dat onderdeel. Naar onze mening, zeker ook gezien onze opmerkingen in hoofdstuk 2 ten aanzien van de onduidelijkheid van de ISAE 3402 standaard, zou het goed zijn om een professional met specifieke kennis van service auditor’r rapport standaarden te betrekken bij het beoordelen van een dergelijk rappport. 4.4.3 Analyse met betrekking tot de resultaten van de beoordeling door de audit professional Alhoewel het niet direct onderdeel is van de scope van deze scriptie vinden wij het belangrijk om ook stil te staan bij de vervolgstappen die de accountant (al dan niet geadviseerd door de IT auditor) onderneemt nadat de service auditor’s rapport is beoordeeld. Om te beginnen kunnen wij ons haast niet voorstellen dat het voorkomt dat er geen vragen of onduidelijkheden bestaan na het beoordelen van een service auditor’s rapport. Het zou onzes inziens dan ook (vrijwel) altijd noodzakelijk zijn om contact op te nemen met (in eerste instantie) de service organisatie om deze vragen beantwoord te krijgen. In onze praktijk als service auditors zien wij dat de service organisatie op haar beurt goed kan inschatten welke vragen ze zelf kan beantwoorden en welke vragen via de service auditor moeten worden beantwoord. Het is wel schokkend te constateren dat bij navraag onder ‘onze’ service organisaties blijkt dat er nauwelijks vragen worden gesteld door gebruikers auditors. Naast bovenstaande kan het natuurlijk voorkomen dat uit de beoordeling blijkt dat de reikwijdte niet afdoende is of er bevindingen zijn geïdentificeerd (door de service auditor) die een impact kunnen hebben op de werkzaamheden die de gebruikers auditor dient uit te voeren. In deze gevallen zal de accountant, ook weer indien nodig in overleg met de IT auditor, moeten bepalen welke aanvullende werkzaamheden er dienen te worden uitgevoerd. Gezien de reikwijdte van deze scriptie voert het te ver om te behandelen welke aanvullende werkzaamheden die dan zouden kunnen zijn. Wel kunnen wij in het algemeen opmerken dat deze werkzaamheden zowel bij de service organisatie als bij de user organisatie kunnen plaatsvinden. Het is overigens erg interessant om te constateren dat het in onze ervaring als service auditor voorkomt dat zelfs als er geen significante bevindingen zijn geïdentificeerd, de gebruikers auditor het noodzakelijk acht om een flink aantal controls toch nog zelf te testen bij de service organisatie. Dit gaat dan wel om situaties waarbij grote delen van de operatie van een user organisatie zijn uitbesteed aan een service organisatie. 4.5 Slotopmerkingen 24
In dit hoofdstuk hebben wij een onderzoek uitgevoerd aan de hand van een enquête hoe een service auditors rapport in de praktijk wordt beoordeeld in het kader van een jaarrekeningcontrole. Na het opsommen van de resultaten conform de vereisten van de NV COS 402 standaard hebben wij hier een analyse op uitgevoerd. Vanuit de analyse valt ons met name op dat de NV COS 402 standaard maar bij de helft van de respondenten bekend is en door enkelen van hen niet gebruikt wordt omdat zij steunen op de ervaring die zij in de jaren hebben opgebouwd of de interne richtlijnen van het kantoor waar zij werkzaam zijn. Wanneer wij de activiteiten die uitgevoerd worden door de respondenten tegen de standaard houden zien wij dat de meeste punten wel geraakt worden. Toch zien wij dat vrijwel alle volgens de NV COS 402 standaard vereiste aspecten niet met voldoende diepgang worden uitgevoerd. Met name het aspect van het beoordelen van de reikwijdte van het service auditor’s rapport lijkt soms niet met voldoende diepgang te worden uitgevoerd. Daarbij willen wij wel opmerken dat het gezien de onduidelijkheid van de service auditor rapport standaarden en de weinig concrete richtlijnen ten aanzien van het beoordelen van een service auditor’s rapport, het voor een gebruikers auditor ook niet eenvoudig is om te bepalen of de reikwijdte van bijvoorbeeld een ISAE 3402 rapport voldoet aan de benodigde scope. In de praktijk zien wij ook dat de reikwijdte door de service organisatie lang niet altijd even duidelijk wordt beschreven, en ook de interne beheersing raamwerken zijn niet altijd even ‘leesbaar’. Als we daar nog aan toevoegen dat uit de praktijk blijkt dat ook de uitgevoerde testwerkzaamheden van de service auditor niet altijd even specifiek zijn, bevestigt dit bovenstaande verder. Desalniettemin komt het regelmatig voor dat er significante onderdelen van de gebruikersorganisatie worden uitbesteed aan een service organisatie, en dat betekent weer dat de gebruikers auditor ook voldoende aandacht dient te besteden aan het beoordelen van de reikwijdte van een service auditor’s rapport. Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak inschakelt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de overwegingen om de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden. Naar onze mening zou de mate van automatisering van de service organisatie daarbij de belangrijkste factor moeten zijn. Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van een service auditor’s rapport. Dit wordt waarschijnlijk veroorzaakt doordat de IT auditors bij veel kantoren vaak ook de service auditor’s rapporten afgeven. Dit geeft onzes inziens aan dat de IT auditor, of in ieder geval een expert of het gebied van de ISAE 3402 standaard, een belangrijkere rol zou kunnen en moeten nemen bij het beoordelen van een service auditor’s rapport, zeker ook gezien het feit dat er met de komst van de ISAE 3402 standaard weer een aantal zaken veranderen. 25
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15 and 16: organisatie zelf procedures hanteer
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27 and 28: evindingen op beheersmaatregel nive
Page 29: Uit de inventarisatie blijkt dat vr
Page 33 and 34: eoordelen aspecten waarmee de diepg
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?