Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
5 Conclusies en aanbevel<strong>in</strong>gen<br />
5.1 Inleid<strong>in</strong>g<br />
In <strong>een</strong> tijd waar organisaties zich steeds meer focussen op hun kern activiteiten en daardoor<br />
steeds vaker overige diensten uitbesteden, wordt <strong>het</strong> verkrijgen <strong>van</strong> zekerheid over deze<br />
uitbestede diensten ook steeds belangrijker voor <strong>een</strong> gebruikersorganisatie en haar accountant.<br />
Zoals al eerder vermeldt is kan <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> daarbij uitkomst bieden. Gezien deze<br />
trend en <strong>het</strong> feit dat <strong>service</strong> organisaties <strong>in</strong> pr<strong>in</strong>cipe vrij zijn om te bepalen welke processen en<br />
maatregelen zij opnemen <strong>in</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>, betekent dit dat <strong>het</strong> beoordelen <strong>van</strong><br />
<strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>age door de auditor <strong>van</strong> de gebruikersorganisatie <strong>een</strong> steeds<br />
belangrijker aspect vormt bij de jaarreken<strong>in</strong>gcontrole. In de praktijk zien wij echter dat de<br />
beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> divers wordt aangepakt. Ook constateren wij dat<br />
veel uitbestede processen <strong>in</strong> hoge mate geautomatiseerd zijn, en <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong><br />
daarmee vaak veel IT beheersmaatregelen zal bevatten. Om deze redenen hebben wij onderzocht<br />
hoe de beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> zou moeten plaatsv<strong>in</strong>den en welke rol de IT<br />
auditor daarbij zou moeten spelen. In dit hoofdstuk geven wij <strong>in</strong> paragraaf 5.2 <strong>een</strong> antwoord op<br />
de centrale onderzoeksvraag, waarna wij <strong>in</strong> paragraaf 5.3 aanbevel<strong>in</strong>gen zullen aandragen om de<br />
beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>g controle <strong>in</strong> de<br />
toekomst beter te laten verlopen.<br />
5.2 Bev<strong>in</strong>d<strong>in</strong>gen en conclusie<br />
De doestell<strong>in</strong>g <strong>van</strong> dit onderzoek was om vast te stellen hoe <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong><br />
beoordeeld dient te worden <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>gcontrole, met specifieke aandacht<br />
voor de rol <strong>van</strong> de IT auditor hierbij. Door middel <strong>van</strong> <strong>een</strong> praktijkgericht onderzoek wilden wij<br />
met deze scriptie <strong>een</strong> bijdrage leveren door te <strong>in</strong>ventariseren hoe deze beoordel<strong>in</strong>g <strong>in</strong> de praktijk<br />
wordt aangepakt, en <strong>in</strong>dien nodig concrete richtlijnen en/of aanbevel<strong>in</strong>gen te ontwikkelen met<br />
betrekk<strong>in</strong>g tot <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>. Om tot <strong>een</strong> conclusie te kunnen<br />
geven zullen wij de centrale vraagstell<strong>in</strong>g <strong>van</strong> dit onderzoek nog maals beschrijven:<br />
“Hoe dient <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> te worden beoordeeld <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> <strong>een</strong> jaarreken<strong>in</strong>g<br />
controle en welke rol speelt de IT auditor hierbij.”<br />
Een structureel antwoord op deze vraagstell<strong>in</strong>g geven wij op basis <strong>van</strong> de geformuleerde<br />
deelvragen:<br />
1. Wat is <strong>een</strong> <strong>service</strong> auditors <strong>rapport</strong> en welke kenmerken zijn belangrijk met betrekk<strong>in</strong>g<br />
tot <strong>een</strong> beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de<br />
jaarreken<strong>in</strong>gcontrole?<br />
In hoofdstuk 2 hebben wij de theorie rondom de <strong>service</strong> auditor’s <strong>rapport</strong> behandeld en hebben<br />
wij <strong>een</strong> aantal kenmerken belicht wij <strong>van</strong> belang v<strong>in</strong>den voor <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong><br />
auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>gcontrole. Hieruit blijkt dat de ISAE 3402<br />
standaard op <strong>een</strong> aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien<br />
<strong>van</strong> <strong>het</strong> al dan niet opnemen <strong>van</strong> processen zonder impact op de f<strong>in</strong>anciële verslaggev<strong>in</strong>g.<br />
Daarnaast geeft de standaard g<strong>een</strong> duidelijkheid over de processen die juist wel <strong>in</strong> scope zouden<br />
moeten zijn en ook niet met betrekk<strong>in</strong>g tot de diepgang <strong>van</strong> de beheersmaatregelen. De<br />
standaard laat daarmee veel ruimte voor professional judgment. Voor de gebruikers auditor<br />
betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan de reikwijdte <strong>van</strong><br />
<strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong>. De gebruikers auditor zal zich moeten verdiepen <strong>in</strong> de afweg<strong>in</strong>gen<br />
die (al dan niet expliciet) zijn gemaakt door zowel de <strong>service</strong> auditor als de <strong>service</strong> organisatie.<br />
2. Welke richtlijnen zijn er beschikbaar voor <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditors<br />
<strong>rapport</strong> en wordt hier aandacht besteed aan de rol <strong>van</strong> de IT auditor?<br />
In hoofdstuk 3 hebben wij de standaard <strong>in</strong> kaart gebracht die richtlijnen beschrijven voor <strong>het</strong><br />
beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>g controle, namelijk<br />
de NV COS 402 standaard. Deze standaard gaat niet veel verder dan <strong>het</strong> benoemen <strong>van</strong> de te<br />
26