Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

5 Conclusies en aanbevelingen 5.1 Inleiding In een tijd waar organisaties zich steeds meer focussen op hun kern activiteiten en daardoor steeds vaker overige diensten uitbesteden, wordt het verkrijgen van zekerheid over deze uitbestede diensten ook steeds belangrijker voor een gebruikersorganisatie en haar accountant. Zoals al eerder vermeldt is kan een service auditor’s rapport daarbij uitkomst bieden. Gezien deze trend en het feit dat service organisaties in principe vrij zijn om te bepalen welke processen en maatregelen zij opnemen in een service auditor’s rapport, betekent dit dat het beoordelen van een service auditor’s rapportage door de auditor van de gebruikersorganisatie een steeds belangrijker aspect vormt bij de jaarrekeningcontrole. In de praktijk zien wij echter dat de beoordeling van een service auditor’s rapport divers wordt aangepakt. Ook constateren wij dat veel uitbestede processen in hoge mate geautomatiseerd zijn, en een service auditor’s rapport daarmee vaak veel IT beheersmaatregelen zal bevatten. Om deze redenen hebben wij onderzocht hoe de beoordeling van een service auditor’s rapport zou moeten plaatsvinden en welke rol de IT auditor daarbij zou moeten spelen. In dit hoofdstuk geven wij in paragraaf 5.2 een antwoord op de centrale onderzoeksvraag, waarna wij in paragraaf 5.3 aanbevelingen zullen aandragen om de beoordeling van een service auditor’s rapport in het kader van de jaarrekening controle in de toekomst beter te laten verlopen. 5.2 Bevindingen en conclusie De doestelling van dit onderzoek was om vast te stellen hoe een service auditor’s rapport beoordeeld dient te worden in het kader van de jaarrekeningcontrole, met specifieke aandacht voor de rol van de IT auditor hierbij. Door middel van een praktijkgericht onderzoek wilden wij met deze scriptie een bijdrage leveren door te inventariseren hoe deze beoordeling in de praktijk wordt aangepakt, en indien nodig concrete richtlijnen en/of aanbevelingen te ontwikkelen met betrekking tot het beoordelen van een service auditor’s rapport. Om tot een conclusie te kunnen geven zullen wij de centrale vraagstelling van dit onderzoek nog maals beschrijven: “Hoe dient een service auditor’s rapport te worden beoordeeld in het kader van een jaarrekening controle en welke rol speelt de IT auditor hierbij.” Een structureel antwoord op deze vraagstelling geven wij op basis van de geformuleerde deelvragen: 1. Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking tot een beoordeling van een service auditor’s rapport in het kader van de jaarrekeningcontrole? In hoofdstuk 2 hebben wij de theorie rondom de service auditor’s rapport behandeld en hebben wij een aantal kenmerken belicht wij van belang vinden voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Hieruit blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment. Voor de gebruikers auditor betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan de reikwijdte van een service auditor’s rapport. De gebruikers auditor zal zich moeten verdiepen in de afwegingen die (al dan niet expliciet) zijn gemaakt door zowel de service auditor als de service organisatie. 2. Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors rapport en wordt hier aandacht besteed aan de rol van de IT auditor? In hoofdstuk 3 hebben wij de standaard in kaart gebracht die richtlijnen beschrijven voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle, namelijk de NV COS 402 standaard. Deze standaard gaat niet veel verder dan het benoemen van de te 26
eoordelen aspecten waarmee de diepgang of wijze van beoordelen overblijft aan het professional judgment van de gebruikers auditor. In de standaard NV COS 402 ontbreekt de rol van de IT auditor ten behoeve van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Wel kan de accountant op basis van professional judgment beslissen of zij gebruikt maakt van een specialist bij de werkzaamheden in het kader van de jaarrekeningcontrole. In deze NV COS 620 standaard wordt geen specifieke aandacht besteed aan de vraag wanneer er een IT auditor betrokken dient te worden. Zelfs in de voorbeelden die in de standaard gegeven worden met betrekking tot wanneer een deskundige zou kunnen worden ingeschakeld wordt geen voorbeeld gegeven van een deskundige op het gebied van IT beheersing. Wij concluderen dat het aan professional judgment van de accountant wordt overgelaten om al dan niet een IT auditor in te schakelen. Hierbij vragen wij ons af of de gebruikers auditor in alle gevallen de benodigde kennis van de service auditor rapport standaarden in huis heeft om een goede afweging te maken, zowel op het gebied van de gebruikte service auditor rapport standaard als de afweging rondom het inschakelen van een IT auditor. 3. Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit conform de richtlijnen? Tijdens het praktijkgerichte onderzoek wat wij beschreven hebben in hoofdstuk 4, hebben wij zeer ervaren Register Accountants en Register EDP-Auditors gevraagd hoe zij een service auditor’s rapportage beoordelen in het kader van een jaarrekening controle, of zij ook op de hoogte waren van richtlijnen omtrent dit onderwerp, en welke rol de IT auditor bij de beoordeling speelt. De resultaten uit het onderzoek geven aan dat de NV COS 402 standaard maar net bij het merendeel van de respondenten bekend is en door enkelen van hen niet eens gebruikt wordt, omdat zij steunen op de ervaring die zij in de jaren hebben opgebouwd. Toch blijkt uit de analyse in paragraaf 4.4 dat de activiteiten die het merendeel van de respondenten uitvoert de richtlijnen uit de NV COS 402 standaard relatief goed afdekken. Wij hebben op basis van deze analyse, waar wij de vergelijking tussen de praktijk en de standaard, aangevuld met onze ervaring hebben behandeld, een aantal onderbelichte aspecten geïdentificeerd. De belangrijkste zijn: • Het vaststellen van de deskundigheid van de service auditor; • Het vaststellen van de adequaatheid de betreffende service auditor’s rapport standaard; • Het vaststellen dat de user control considerations zijn geïmplementeerd bij de gebruikersorganisatie. • Voldoende aandacht voor sub service organisaties In het onderzoek zijn door de respondenten geen activiteiten aan het licht gebracht die niet in de richtlijnen van de standaard NV COS 402 ondergebracht konden worden. Ook vanuit onze ervaring hebben wij geen aspecten geïdentificeerd die niet door de NV COS 402 standaard worden geraakt. Op zich is dat gezien het high level karakter van de richtlijn ook niet verassend. Wij concluderen dan ook dat dat de richtlijn op hoofdlijnen voldoende richting biedt voor een gebruikers auditor bij het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. Het high level karakter van de richtlijn vereist onzes inziens wel dat alleen een audit professional met voldoende kennis van de betreffende rapportage standaard op basis van de NV COS 402 standaard een service auditor’s rapport kan beoordelen. Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak ingeschakeld wordt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de overwegingen om de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden. Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van een service auditor’s rapport. Dit geeft ons inziens aan dat de IT auditor een belangrijkere rol zou kunnen en moeten spelen bij het beoordelen van een service auditor’s rapport, zeker ook gezien het feit dat er met de komst van de ISAE 3402 standaard weer een aantal vaktechnische aspecten veranderen. 27
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15 and 16: organisatie zelf procedures hanteer
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27 and 28: evindingen op beheersmaatregel nive
Page 29 and 30: Uit de inventarisatie blijkt dat vr
Page 31: In dit hoofdstuk hebben wij een ond
Page 35 and 36: Vervolgens moeten wij opmerken dat
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?