Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
gekeken naar eventuele sub <strong>service</strong> organisaties en de impact <strong>van</strong> de uitbestede diensten op<br />
uite<strong>in</strong>delijk de jaarreken<strong>in</strong>g <strong>van</strong> de user organisatie. Dit punt zien wij zoals aangegeven zowel bij<br />
de RA als RE terugkomen.<br />
4.4.2 Analyse met betrekk<strong>in</strong>g tot de rol <strong>van</strong> de IT auditor<br />
Uit de resultaten <strong>van</strong> <strong>het</strong> onderzoek blijkt dat de IT auditor vaak wordt geraadpleegd bij de<br />
beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>age, en dan met name op <strong>het</strong> gebied <strong>van</strong> <strong>het</strong><br />
beoordelen <strong>van</strong> de ITGC scope en ITGC bev<strong>in</strong>d<strong>in</strong>gen. Echter meerdere respondenten geven aan<br />
dat zij <strong>het</strong> <strong>in</strong>schakelen <strong>van</strong> de IT auditor laten afhangen <strong>van</strong> de complexiteit en materialiteit <strong>van</strong><br />
de <strong>service</strong> organisatie en niet <strong>van</strong> de mate <strong>van</strong> automatiser<strong>in</strong>g.<br />
Wat ons bijvoorbeeld opvalt, samen met de RE’s uit <strong>het</strong> onderzoek <strong>van</strong> andere kantoren, is dat<br />
wanneer de salarisverwerk<strong>in</strong>g uitbesteed is naar <strong>een</strong> <strong>service</strong> organisatie de gebruikers auditor<br />
niet direct reken<strong>in</strong>g houdt met de mate <strong>van</strong> automatiser<strong>in</strong>g. Omdat <strong>een</strong> dergelijk <strong>service</strong> auditor’s<br />
<strong>rapport</strong> bol staat <strong>van</strong> de algemene IT maatregelen en andere geautomatiseerde maatregelen zou<br />
de IT auditor <strong>een</strong> belangrijke rol moeten spelen bij <strong>het</strong> beoordelen <strong>van</strong> zo’n <strong>service</strong> auditor’s<br />
<strong>rapport</strong>age. Hoewel de materialiteit zeker <strong>een</strong> belangrijke factor is als men <strong>een</strong> <strong>service</strong> auditor’s<br />
<strong>rapport</strong>age beoordeelt <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>gcontrole, zou onzes <strong>in</strong>ziens de mate <strong>van</strong><br />
automatiser<strong>in</strong>g m<strong>in</strong>imaal zo belangrijk moeten zijn.<br />
Bovendien is <strong>het</strong> opvallend dat de wij als IT auditors ook vaak worden geraadpleegd voor meer<br />
dan all<strong>een</strong> de beoordel<strong>in</strong>g <strong>van</strong> de algemene IT maatregelen of andere geautomatiseerde<br />
controles. Dit wordt bevestigd door meerdere respondenten die aangaven dat de RE ook wordt<br />
<strong>in</strong>gezet om bijvoorbeeld de vaktechnische aspecten <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> te<br />
beoordelen. Het is dan wellicht ook niet vreemd om <strong>van</strong>uit onze <strong>in</strong>ventarisatie te constateren dat<br />
de RE’s ook ‘beter scoren’ op dat onderdeel. Naar onze men<strong>in</strong>g, zeker ook gezien onze<br />
opmerk<strong>in</strong>gen <strong>in</strong> hoofdstuk 2 ten aanzien <strong>van</strong> de onduidelijkheid <strong>van</strong> de ISAE 3402 standaard, zou<br />
<strong>het</strong> goed zijn om <strong>een</strong> professional met specifieke kennis <strong>van</strong> <strong>service</strong> auditor’r <strong>rapport</strong><br />
standaarden te betrekken bij <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> dergelijk rappport.<br />
4.4.3 Analyse met betrekk<strong>in</strong>g tot de resultaten <strong>van</strong> de beoordel<strong>in</strong>g door de audit professional<br />
Alhoewel <strong>het</strong> niet direct onderdeel is <strong>van</strong> de scope <strong>van</strong> deze scriptie v<strong>in</strong>den wij <strong>het</strong> belangrijk om<br />
ook stil te staan bij de vervolgstappen die de accountant (al dan niet geadviseerd door de IT<br />
auditor) onderneemt nadat de <strong>service</strong> auditor’s <strong>rapport</strong> is beoordeeld.<br />
Om te beg<strong>in</strong>nen kunnen wij ons haast niet voorstellen dat <strong>het</strong> voorkomt dat er g<strong>een</strong> vragen of<br />
onduidelijkheden bestaan na <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>. Het zou onzes<br />
<strong>in</strong>ziens dan ook (vrijwel) altijd noodzakelijk zijn om contact op te nemen met (<strong>in</strong> eerste <strong>in</strong>stantie)<br />
de <strong>service</strong> organisatie om deze vragen beantwoord te krijgen. In onze praktijk als <strong>service</strong> auditors<br />
zien wij dat de <strong>service</strong> organisatie op haar beurt goed kan <strong>in</strong>schatten welke vragen ze zelf kan<br />
beantwoorden en welke vragen via de <strong>service</strong> auditor moeten worden beantwoord. Het is wel<br />
schokkend te constateren dat bij navraag onder ‘onze’ <strong>service</strong> organisaties blijkt dat er nauwelijks<br />
vragen worden gesteld door gebruikers auditors.<br />
Naast bovenstaande kan <strong>het</strong> natuurlijk voorkomen dat uit de beoordel<strong>in</strong>g blijkt dat de reikwijdte<br />
niet afdoende is of er bev<strong>in</strong>d<strong>in</strong>gen zijn geïdentificeerd (door de <strong>service</strong> auditor) die <strong>een</strong> impact<br />
kunnen hebben op de werkzaamheden die de gebruikers auditor dient uit te voeren. In deze<br />
gevallen zal de accountant, ook weer <strong>in</strong>dien nodig <strong>in</strong> overleg met de IT auditor, moeten bepalen<br />
welke aanvullende werkzaamheden er dienen te worden uitgevoerd. Gezien de reikwijdte <strong>van</strong><br />
deze scriptie voert <strong>het</strong> te ver om te behandelen welke aanvullende werkzaamheden die dan<br />
zouden kunnen zijn. Wel kunnen wij <strong>in</strong> <strong>het</strong> algem<strong>een</strong> opmerken dat deze werkzaamheden zowel<br />
bij de <strong>service</strong> organisatie als bij de user organisatie kunnen plaatsv<strong>in</strong>den. Het is overigens erg<br />
<strong>in</strong>teressant om te constateren dat <strong>het</strong> <strong>in</strong> onze ervar<strong>in</strong>g als <strong>service</strong> auditor voorkomt dat zelfs als<br />
er g<strong>een</strong> significante bev<strong>in</strong>d<strong>in</strong>gen zijn geïdentificeerd, de gebruikers auditor <strong>het</strong> noodzakelijk acht<br />
om <strong>een</strong> fl<strong>in</strong>k aantal controls toch nog zelf te testen bij de <strong>service</strong> organisatie. Dit gaat dan wel om<br />
situaties waarbij grote delen <strong>van</strong> de operatie <strong>van</strong> <strong>een</strong> user organisatie zijn uitbesteed aan <strong>een</strong><br />
<strong>service</strong> organisatie.<br />
4.5 Slotopmerk<strong>in</strong>gen<br />
24