Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Beoordeling van een service auditor's rapport in het kader ... - Vurore
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
5.3 Aanbevel<strong>in</strong>gen<br />
Zoals wij <strong>in</strong> paragraaf 5.2 hebben aangegeven blijven er <strong>in</strong> de praktijk <strong>een</strong> aantal aspecten<br />
onderbelicht bij de beoordel<strong>in</strong>g <strong>van</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> <strong>het</strong> <strong>kader</strong> <strong>van</strong> de jaarreken<strong>in</strong>g<br />
controle. In deze paragraaf zullen wij <strong>een</strong> aantal concrete aanbevel<strong>in</strong>gen behandelen die ervoor<br />
kunnen zorgen dat de beoordel<strong>in</strong>g <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong> de toekomst verbetert.<br />
Het vaststellen <strong>van</strong> de deskundigheid <strong>van</strong> de <strong>service</strong> auditor<br />
M<strong>in</strong>imaal zou moeten worden vastgesteld dat de <strong>service</strong> auditor is <strong>in</strong>geschreven bij NIVRA of<br />
NOREA. Daarnaast dient te worden vastgesteld dat de <strong>service</strong> auditor voldoende kennis <strong>van</strong> de<br />
uitbestede processen heeft om <strong>een</strong> oordeel te kunnen geven over de effectieve werk<strong>in</strong>g <strong>van</strong><br />
beheersmaatregelen met betrekk<strong>in</strong>g tot deze processen. Dit punt is onzes <strong>in</strong>ziens extra <strong>van</strong><br />
belang wanneer <strong>een</strong> RE <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> afgeeft over uitbestede bedrijfsprocessen<br />
en wanneer <strong>een</strong> RA <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> afgeeft over uitbestede IT processen, iets wat <strong>in</strong><br />
de praktijk regelmatig gebeurt.<br />
Het vaststellen <strong>van</strong> de adequaatheid <strong>van</strong> de betreffende <strong>service</strong> auditor’s <strong>rapport</strong> standaard<br />
Gezien de specifieke vereisten <strong>van</strong> de ISAE 3402 standaard en de vrijheden die sommige <strong>service</strong><br />
auditors zich <strong>in</strong> de praktijk permitteren is <strong>het</strong> belangrijk dat bij <strong>het</strong> beoordelen <strong>van</strong> <strong>een</strong> <strong>service</strong><br />
auditor’s <strong>rapport</strong> ook de vaktechnische aspecten worden beoordeeld. Aangezien dit all<strong>een</strong> kan<br />
gebeuren door professionals met kennnis <strong>van</strong> de betreffende standaard bevelen wij aan altijd <strong>een</strong><br />
<strong>service</strong> auditor’s <strong>rapport</strong> expert bij de beoordel<strong>in</strong>g te betrekken. Bij de meeste Big Four kantoren<br />
zijn deze professionals veelal IT auditors.<br />
Het vaststellen dat de user control considerations zijn geïmplementeerd bij de<br />
gebruikersorganisatie<br />
Wij adviseren gebruikers auditors altijd vast te stellen dat de user control considerations zijn<br />
geïmplementeerd bij de gebruikers organisatie aangezien deze vereist zijn om <strong>een</strong> redelijke mate<br />
<strong>van</strong> zekerheid te verkrijgen over de uitbestede processen. Daarnaast wordt duidelijkheid over dit<br />
aspect belangrijker naar gelang er <strong>in</strong> de praktijk steeds meer constructies ontstaan waar er sprake<br />
is <strong>van</strong> sub-<strong>service</strong>organisaties. Dit leidt ertoe dat de auditor <strong>van</strong> de gebruikersorganisatie ook zal<br />
moeten evalueren of de user control considerations <strong>van</strong> de sub-<strong>service</strong> organisatie<br />
geïmplementeerd zijn bij de <strong>service</strong> organisatie. Zie hiervoor ook de volgende aanbevel<strong>in</strong>g.<br />
Voldoende aandacht voor sub <strong>service</strong> organisaties<br />
Gezien de tendens <strong>van</strong> organisaties om niet-kern activiteiten uit te besteden, en <strong>het</strong> feit dat de<br />
ISAE 3402 standaard meer eisen stelt aan <strong>het</strong> volgen <strong>van</strong> de <strong>in</strong>clusive methode, zal <strong>het</strong> steeds<br />
vaker voorkomen dat er sprake is <strong>van</strong> sub-<strong>service</strong> organisaties of zelfs sub sub-<strong>service</strong><br />
organisaties. Wij adviseren gebruikers auditors m<strong>in</strong>imaal te <strong>in</strong>ventariseren of de sub-<strong>service</strong><br />
organisatie <strong>een</strong> significante impact heeft op de f<strong>in</strong>anciële verslaglegg<strong>in</strong>g <strong>van</strong> de gebruikers<br />
organisatie. Indien dit <strong>het</strong> geval is, adviseren wij om altijd <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>van</strong> de<br />
sub <strong>service</strong> organisatie op te vragen en deze ook te beoordelen.<br />
De rol <strong>van</strong> de IT auditor<br />
Wij adviseren de gebruikers auditor om altijd <strong>een</strong> IT auditor te betrekken bij <strong>het</strong> beoordelen <strong>van</strong><br />
<strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> <strong>in</strong>dien er sprake is <strong>van</strong> <strong>een</strong> geautomatiseerde omgev<strong>in</strong>g. M<strong>in</strong>imaal<br />
kan de IT auditor de toereikendheid <strong>van</strong> de ITGC scope en de impact <strong>van</strong> IT bev<strong>in</strong>d<strong>in</strong>gen<br />
vaststellen. Daarnaast adviseren wij de IT auditor met kennis <strong>van</strong> de <strong>service</strong> auditor’s <strong>rapport</strong><br />
standard te betrekken om de vaktechnische beoordel<strong>in</strong>g <strong>van</strong> de <strong>service</strong> auditor’s <strong>rapport</strong> uit te<br />
voeren, aangezien uit ons onderzoek blijkt dat de IT auditor over <strong>het</strong> algem<strong>een</strong> meer kennis <strong>van</strong><br />
de vaktechnische aspecten <strong>van</strong> <strong>een</strong> <strong>service</strong> auditor’s <strong>rapport</strong> heeft dan de accountant.<br />
5.4 Beperk<strong>in</strong>gen<br />
We hebben dit onderzoek uitgevoerd onder <strong>een</strong> beperkte groep Register Accountants en Register<br />
IT Auditors. Dit betekent dat resultaten niet representatief hoeven te zijn voor de totale<br />
populatie. Wij hebben de impact <strong>van</strong> deze beperk<strong>in</strong>g zoveel mogelijk proberen te mitigeren door<br />
audit professionals <strong>van</strong> alle Big Four kantoren mee te nemen <strong>in</strong> ons onderzoek.<br />
28