Beoordeling van een service auditor's rapport in het kader ... - Vurore

More documents

Recommendations

Info

5.3 Aanbevelingen Zoals wij in paragraaf 5.2 hebben aangegeven blijven er in de praktijk een aantal aspecten onderbelicht bij de beoordeling van service auditor’s rapport in het kader van de jaarrekening controle. In deze paragraaf zullen wij een aantal concrete aanbevelingen behandelen die ervoor kunnen zorgen dat de beoordeling van een service auditor’s rapport in de toekomst verbetert. Het vaststellen van de deskundigheid van de service auditor Minimaal zou moeten worden vastgesteld dat de service auditor is ingeschreven bij NIVRA of NOREA. Daarnaast dient te worden vastgesteld dat de service auditor voldoende kennis van de uitbestede processen heeft om een oordeel te kunnen geven over de effectieve werking van beheersmaatregelen met betrekking tot deze processen. Dit punt is onzes inziens extra van belang wanneer een RE een service auditor’s rapport afgeeft over uitbestede bedrijfsprocessen en wanneer een RA een service auditor’s rapport afgeeft over uitbestede IT processen, iets wat in de praktijk regelmatig gebeurt. Het vaststellen van de adequaatheid van de betreffende service auditor’s rapport standaard Gezien de specifieke vereisten van de ISAE 3402 standaard en de vrijheden die sommige service auditors zich in de praktijk permitteren is het belangrijk dat bij het beoordelen van een service auditor’s rapport ook de vaktechnische aspecten worden beoordeeld. Aangezien dit alleen kan gebeuren door professionals met kennnis van de betreffende standaard bevelen wij aan altijd een service auditor’s rapport expert bij de beoordeling te betrekken. Bij de meeste Big Four kantoren zijn deze professionals veelal IT auditors. Het vaststellen dat de user control considerations zijn geïmplementeerd bij de gebruikersorganisatie Wij adviseren gebruikers auditors altijd vast te stellen dat de user control considerations zijn geïmplementeerd bij de gebruikers organisatie aangezien deze vereist zijn om een redelijke mate van zekerheid te verkrijgen over de uitbestede processen. Daarnaast wordt duidelijkheid over dit aspect belangrijker naar gelang er in de praktijk steeds meer constructies ontstaan waar er sprake is van sub-serviceorganisaties. Dit leidt ertoe dat de auditor van de gebruikersorganisatie ook zal moeten evalueren of de user control considerations van de sub-service organisatie geïmplementeerd zijn bij de service organisatie. Zie hiervoor ook de volgende aanbeveling. Voldoende aandacht voor sub service organisaties Gezien de tendens van organisaties om niet-kern activiteiten uit te besteden, en het feit dat de ISAE 3402 standaard meer eisen stelt aan het volgen van de inclusive methode, zal het steeds vaker voorkomen dat er sprake is van sub-service organisaties of zelfs sub sub-service organisaties. Wij adviseren gebruikers auditors minimaal te inventariseren of de sub-service organisatie een significante impact heeft op de financiële verslaglegging van de gebruikers organisatie. Indien dit het geval is, adviseren wij om altijd een service auditor’s rapport van de sub service organisatie op te vragen en deze ook te beoordelen. De rol van de IT auditor Wij adviseren de gebruikers auditor om altijd een IT auditor te betrekken bij het beoordelen van een service auditor’s rapport indien er sprake is van een geautomatiseerde omgeving. Minimaal kan de IT auditor de toereikendheid van de ITGC scope en de impact van IT bevindingen vaststellen. Daarnaast adviseren wij de IT auditor met kennis van de service auditor’s rapport standard te betrekken om de vaktechnische beoordeling van de service auditor’s rapport uit te voeren, aangezien uit ons onderzoek blijkt dat de IT auditor over het algemeen meer kennis van de vaktechnische aspecten van een service auditor’s rapport heeft dan de accountant. 5.4 Beperkingen We hebben dit onderzoek uitgevoerd onder een beperkte groep Register Accountants en Register IT Auditors. Dit betekent dat resultaten niet representatief hoeven te zijn voor de totale populatie. Wij hebben de impact van deze beperking zoveel mogelijk proberen te mitigeren door audit professionals van alle Big Four kantoren mee te nemen in ons onderzoek. 28
Vervolgens moeten wij opmerken dat niet alle respondenten evenveel ervaring hebben met het beoordelen van een service auditor’s rapportage in het kader van een jaarrekening controle. Ook dit hebben wij zoveel mogelijk gemitigeerd door alleen audit professionals aan te schrijven waarvan wij weten dat zij regelmatig een service auditor’s rapport beoordelen in het kader van een jaarrekening controle. Tenslotte hoeven uitbestede diensten niet altijd een materiele impact te hebben op een jaarrekeningcontrole. Wanneer dit niet het geval is zal de accountant ook minder aandacht hoeven te besteden aan het beoordelen van een service auditors rapportage. Ook dit punt hebben wij gemitigeerd door deze beperking zoveel mogelijk in de resultaten, aanbevelingen en conclusies mee te nemen. 5.5 Zelfreflectie Zoals we in ons voorwoord al hebben aangegeven hebben we tijdens dit traject met name veel geleerd over de noodzaak om tijd te maken voor onze studie. Inhoudelijk hebben we echter ook een hoop geleerd tijdens de afgelopen maanden. In deze paragraaf gaan we hier kort op in. Ten aanzien van de service auditor’s rapport standaarden zijn we, door het bestuderen van de standaarden zelf en de literatuur, er bijvoorbeeld achter gekomen dat verschillende vereisten waarvan wij dachten dat deze ook daadwerkelijk als vereisten in de ISAE 3402 standaard zouden staan, in realiteit nogal wat ruimte voor interpretatie overlaten. Aangezien wij beiden geen accountant zijn, hebben we veel kennis opgedaan door het zoeken naar informatie uit het NIVRA Stramien en van het uitzoeken welke standaarden er nu wel en niet beschikbaar zijn ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Ten aanzien van ons praktijkonderzoek vinden wij het altijd leerzaam om te zien hoe anderen omgaan met een situatie. Zeker de enquêtes die wij per telefoon hebben afgenomen hebben ons weer nieuwe inzichten verschaft. Tenslotte staan we ook nog even stil bij de stap voorwaarts die we hebben gemaakt ten aanzien van het schrijven van wetenschappelijke stukken. Dit zal ons in de komende jaren zeker verder helpen bij onze werkzaamheden en schrijven van artikelen. 5.6 Suggesties voor nader onderzoek Tijdens ons onderzoek hebben we een aantal onderwerpen geraakt waarvan het naar onze mening interessant zou zijn om verder te onderzoeken. Dit betreft bijvoorbeeld: • De rol van de service auditor bij het beoordelen van de reikwijdte van een service auditor’s rapport: gezien de ruimte die de ISAE3402 standaard biedt kan het interessant zijn om te onderzoeken welke verantwoordelijkheden de service auditor heeft bij het bepalen van de reikwijdte van een service auditor’s rapport. • De reikwijdte van de ISAE 3402 standaard versus de SAS70 standaard: Gezien de onduidelijkheid ten aanzien van de geoorloofde reikwijdte van een ISAE 3402 rapport zou interessant zijn te onderzoeken welke wijzigingen in reikwijdte er worden doorgevoerd na de overgang naar de ISAE 3402 standaard, en ook welke rol de vier relevante partijen (service organisatie, service auditor, gebruikers organisatie en gebruikers auditor) hierbij hebben gespeeld. • De rol van de IT auditor bij de jaarrekeningcontrole: gezien de beperkte richtlijnen en de hoge mate van professional judgment zou het interessant zijn te onderzoeken hoe en waarvoor de IT auditor in het kader van de jaarrekeningcontrole wordt ingezet. 29
Page 1 and 2: Beoordeling van een service auditor
Page 3 and 4: Management samenvatting Aanleiding
Page 6 and 7: Inhoudsopgave 1. Inleiding 1 1.1 In
Page 8: 2. Welke richtlijnen zijn er beschi
Page 11 and 12: 2. Het Service Auditor’s Rapport
Page 13 and 14: onderzoek van Deloitte voor het Mon
Page 15 and 16: organisatie zelf procedures hanteer
Page 17 and 18: Het advies van Gaskin is door de Au
Page 19 and 20: 3 Richtlijnen voor het beoordelen v
Page 21 and 22: • Wanneer de accountant van de ge
Page 23 and 24: Naar onze mening is dit een gemiste
Page 25 and 26: 4.3.1 Resultaten met betrekking tot
Page 27 and 28: evindingen op beheersmaatregel nive
Page 29 and 30: Uit de inventarisatie blijkt dat vr
Page 31 and 32: In dit hoofdstuk hebben wij een ond
Page 33: eoordelen aspecten waarmee de diepg
Page 37: [NIVRA11.03] Koninklijk Nederlands

Beoordeling van een service auditor's rapport in het kader ... - Vurore

Create successful ePaper yourself

Delete template?

Save as template?