ENGELS
Vertaling NEDERLANDS
INTERNATIONAL STANDARD ON AUDITING 3402
INTERNATIONALE CONTROLESTANDAARD (INTERNATIONAL STANDARD ON AUDITING, ISA) 3402
ASSURANCE REPORTS ON CONTROLS AT A SERVICE ORGANIZATION (Effective for service auditors‟ assurance reports covering periods ending on or after June 15, 2011)
ASSURANCE-RAPPORTEN BETREFFENDE INTERNE BEHEERSINGSMAATREGELEN BIJ EEN SERVICEORGANISATIE (Van toepassing op assurance-rapporten van accountants van de serviceorganisatie over verslagperioden eindigend op of na 15 juni 2011)
CONTENTS
INHOUD Paragraph
Introduction Scope of this ISAE
Alinea Inleiding
1-6
Reikwijdte van deze Standaard
1-6
Effective Date
7
Ingangsdatum
7
Objectives
8
Doelstellingen
8
Definitions
9
Definities
9
Requirements
Vereisten
ISAE 3000
10
Standaard 3000
10
Ethical Requirements
11
Ethische voorschriften
11
Management and Those Charged with Governance
12
Management en degenen belast met governance
12
Acceptance and Continuance
13-14
Aanvaarding en continuering
13-14
Assessing the Suitability of the Criteria
15-18
Het beoordelen van de geschiktheid van de criteria
15-18
Materiality
19
Materialiteit
19
Obtaining an Understanding of the Service Organization‟s System
20
Het verwerven van inzicht in het systeem van de serviceorganisatie
20
Obtaining Evidence Regarding the Description
21-22
Het verkrijgen van onderbouwende informatie met betrekking tot de beschrijving
21-22
1/45
ENGELS Obtaining Evidence Regarding Design of Controls
Vertaling NEDERLANDS 23
Het verkrijgen van onderbouwende informatie met betrekking tot de opzet van interne beheersingsmaatregelen
23
Obtaining Evidence Regarding Operating Effectiveness of Controls
24-29
Het verkrijgen van onderbouwende informatie met betrekking tot de werking van de interne beheersingsmaatregelen 24-29
The Work of an Internal Audit Function
30-37
De werkzaamheden van een interne auditfunctie
30-37
Written Representations
38-40
Schriftelijke bevestigingen
38-40
Other Information
41-42
Overige informatie
41-42
Subsequent Events
43-44
Gebeurtenissen na de einddatum van de verslagperiode
43-44
Documentation
45-52
Documentatie
45-52
Preparing the Service Auditor‟s Assurance Report
53-55
Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie
53-55
Other Communication Responsibilities
56
Application and Other Explanatory Material
Overige communicatieverantwoordelijkheden
56
Toepassingsgerichte en overige verklarende teksten
Scope of this ISAE (Ref: Para. 1 and 3)
A1-A2
Reikwijdte van deze Standaard
A1-A2
Definitions (Ref: Para. 9(d) and 9(g))
A3-A4
Definities
A3-A4
Ethical Requirements (Ref: Para. 11)
A5
Ethische voorschriften
A5
Management and Those Charged with Governance (Ref: Para. 12)
A6
Management en degenen belast met governance
A6
Acceptance and Continuance
A7-A12
Aanvaarding en continuering
A7-A12
Assessing the Suitability of the Criteria (Ref: Para. 15-18)
A13-A15
Het beoordelen van de geschiktheid van de criteria
A13-A15
Materiality (Ref: Para. 19 and 54)
A16-A18
Materialiteit
A16-A18
Obtaining an Understanding of the Service Organization‟s System (Ref: Para. 20) A19-A20
Het verwerven van inzicht in het systeem van de serviceorganisatie
A19-A20
Obtaining Evidence Regarding the Description (Ref: Para. 21-22)
A21-A24
Het verkrijgen van onderbouwende informatie met betrekking tot de beschrijving
A21-A24
Obtaining Evidence Regarding Design of Controls (Ref: Para. 23 and 28(b))
A25-A27
Het verkrijgen van onderbouwende informatie met betrekking tot de opzet van interne beheersingsmaatregelen A25-A27
2/45
ENGELS
Vertaling NEDERLANDS
Obtaining Evidence Regarding Operating Effectiveness of Controls
A28-A36
Het verkrijgen van onderbouwende informatie met betrekking tot de werking van de interne beheersingsmaatregelen A28-A36
The Work of an Internal Audit Function
A37-A41
De werkzaamheden van een interne auditfunctie
A37-A41
Written Representations
A42-A43
Schriftelijke bevestigingen
A42-A43
Other Information (Ref: Para. 42)
A44-A45
Overige informative
A44-A45
Documentation (Ref: Para. 51) Preparing the Service Auditor‟s Assurance Report
A46 A47-A52
Documentatie
A46
Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie A47-A52
Other Communication Responsibilities (Ref: Para. 56)
A53
Overige communicatieverantwoordelijkheden
A53
Appendix 1: Example Service Organization‟s Assertions
Bijlage 1: Voorbeeld van de beweringen van de serviceorganisatie
Appendix 2: Example Service Auditor‟s Assurance Reports
Bijlage 2: Voorbeelden van de assurance-rapporten van de accountant van de serviceorganisatie
Appendix 3: Modified Service Auditor‟s Assurance reports
Bijlage 3: Voorbeelden van aangepaste assurance-rapporten van de accountant van de serviceorganisatie
International Standard on Assurance Engagements (ISAE) 3402, “Assurance Reports on Controls at a Service Organization,” should be read in conjunction with the “Preface to the International Standards on Quality Control, Auditing, Review, Other Assurance and Related Services.”
International Standard on Assurance Engagemnent (Standaard) 3402 Assurance-rapporten over interne beheersingsmaatregelen bij een serviceorganisatie dient te worden gelezen in samenhang met de “Inleiding in de internationale Standaarden met betrekking tot kwaliteitsbeheersing, controle, beoordeling, overige assurance- en aan assurance verwante opdrachten.
Introduction
Inleiding
Scope of this ISAE
Reikwijdte van deze Standaard
1.
1.
This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice1 to provide a report for use by user entities and their auditors on the controls at a service organization that provides a service to user entities that is likely to be relevant to user entities‟ internal control as it relates to financial reporting. It complements ISA 4022, in that reports prepared in
Deze Standaard behandelt de assurance-opdrachten die door een openbare accountant3 worden uitgevoerd teneinde voor gebruikende entiteiten en hun accountants een rapportage voor gebruik te verstrekken betreffende de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële
The International Federation of Accountants‟ Code of Ethics for Professional Accountants (IFAC Code) defines a professional accountant as “an individual who is a member of an IFAC member body,” and a professional accountant in public practice as “a professional accountant, irrespective of functional classification (e.g., audit, tax or consulting) in a firm that provides professional services. This term is also used to refer to a firm of professional accountants in public practice.” 2 ISA 402, “Audit Considerations Relating to an Entity Using a Service Organization.” 1
3/45
accordance with this ISAE are capable of providing appropriate evidence under ISA 402. (Ref: Para. A1) 2.
The “International Framework for Assurance Engagements” (the Assurance Framework) states that an assurance engagement may be a “reasonable assurance” engagement or a “limited assurance” engagement; that an assurance engagement may be either an “assertionbased” engagement or a “direct reporting” engagement; and, that the assurance conclusion for an assertion-based engagement can be worded either in terms of the responsible party‟s assertion or directly in terms of the subject matter and the criteria5. This ISAE only deals with assertion-based engagements that convey reasonable assurance, with the assurance conclusion worded directly in terms of the subject matter and the criteria6.
2.
3.
This ISAE applies only when the service organization is responsible for, or otherwise able to make an assertion about, the suitable design of controls. This ISAE does not deal with assurance engagements:
3.
(a) (b)
To report only on whether controls at a service organization operated as described, or To report on controls at a service organization other than those related to a service that is likely to be relevant to user entities‟ internal control as it relates to financial reporting (for example, controls that affect user entities‟ production or quality control).
verslaggeving. Deze Standaard vult ISA 402 aan zodat de rapportages opgesteld in overeenstemming met deze Standaard, geschikt zijn de onder ISA 4024 passende onderbouwende informatie te verschaffen. (Zie: alinea A1.) In het “Stramien voor Aassurance-opdrachten” (het Stramien) staat aangegeven dat een assurance-opdracht een opdracht met een “redelijke mate van zekerheid” of een opdracht met een beperkte mate van zekerheid” kan zijn, dat een assurance-opdracht een “assertion-based” opdracht of een “direct reporting” opdracht kan zijn alsmede dat de assurance-conclusie voor een “assertion-based opdracht” in termen van de bewering van de verantwoordelijke partij verwoord kan worden of direct in termen van het object van onderzoek en de criteria7. In deze Standaard worden alleen “assertion-based” opdrachten behandeld die een redelijke mate van zekerheid uitdrukken, waarbij de assurance-conclusie direct met betrekking tot het object van onderzoek en de criteria wordt verwoord8. Deze Standaard is alleen van toepassing wanneer de serviceorganisatie verantwoordelijk is voor, of anderszins in staat is om een bewering te doen over de geschikte opzet van interne beheersingsmaatregelen. In deze Standaard worden niet de assurance-opdrachten behandeld: (a) (b)
teneinde uitsluitend te rapporteren over de vraag of interne beheersingsmaatregelen van een serviceorganisatie zo werken als staat beschreven; of teneinde te rapporten over interne beheersingsmaatregelen van een serviceorganisatie anders dan degenen die verband houden met een dienst die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving (bijvoorbeeld, interne beheersingsmaatregelen die de productie of kwaliteitsbeheersing van de gebruikende entiteiten beïnvloeden).
This ISAE, however, provides some guidance for such engagements carried out under ISAE 3000 9. (Ref: Para. A2)
In deze Standaard worden echter enkele leidraden verschaft voor dergelijke opdrachten die onder Standaard 300010 worden uitgevoerd. (Zie: alinea A2)
4.
4.
In addition to issuing an assurance report on controls, a service auditor may also be engaged to provide reports such as the following, which are not dealt with in this ISAE: (a) (b)
A report on a user entity‟s transactions or balances maintained by a service organization; or An agreed-upon procedures report on controls at a service organization.
Naast het uitbrengen van het assurance-rapport betreffende interne beheersingsmaatregelen kan een accountant van de serviceorganisatie ook ingehuurd zijn om rapporten zoals de volgende te verschaffen, die niet in deze Standaard behandeld worden: (a) (b)
Een rapportage betreffende de transacties of saldi van een gebruikende entiteit die door een serviceorganisatie worden onderhouden; of Een rapport van feitelijke bevindingen betreffende de interne beheersingsmaatregelen van een serviceorganisatie.
Relationship with Other Professional Pronouncements
Relatie met overige professionele uitingen
5.
5.
The performance of assurance engagements other than audits or reviews of historical financial information requires the service auditor to comply with ISAE 3000. ISAE 3000 includes requirements in relation to such topics as engagement acceptance, planning, evidence, and documentation that apply to all assurance engagements, including engagements in accordance with this ISAE. This ISAE expands on how ISAE 3000 is to be applied in a reasonable assurance engagement to report on controls at a service organization. The
Op grond van de uitvoering van assurance-opdrachten anders dan controles of beoordelingen van historische financiële informatie wordt van de accountant vereist dat hij Standaard 3000 naleeft. Standaard 3000 bevat vereisten in relatie tot onderwerpen zoals de aanvaarding van een opdracht, het plannen, onderbouwende informatie en documentatie die van toepassing zijn op alle assurance-opdrachten, met inbegrip van opdrachten in overeenstemming met deze Standaard. In deze Standaard wordt uiteengezet op welke wijze deze toegepast moet worden
In de International Federation of Accountants‟ Code of Ethics for Professional Accountants (IFAC Code) wordt de accountant gedefinieerd als “een persoon die lid is van een IFAC ledenorgaan” en een openbare accountant als “een accountant, ongeacht de functionele classificatie (bijvoorbeeld controle, belasting of overleg) bij een kantoor dat professionele diensten verleent. Deze term wordt ook gehanteerd als verwijzing naar een kantoor van openbare accountants.” (nog aanpassen i.v.m. VGC). 4 ISA 402, “Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie.” 5 Assurance Framework, paragraphs 10, 11 and 57. 6 Paragraphs 13 and 52(k) of this ISAE. 7 Stramien voor Assurance-opdrachten, falinea‟s 10, 11 en 57. 8 AlineaAlinea‟s 13 en 52 (k) van deze Standaard. 9 ISAE 3000, “Assurance Engagements Other than Audits or Reviews of Historical Financial Information.” 10 Standaard 3000, “Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie.” 3
4/45
Assurance Framework, which defines and describes the elements and objectives of an assurance engagement, provides the context for understanding this ISAE and ISAE 3000.
6.
Compliance with ISAE 3000 requires, among other things, that the service auditor comply with the International Federation of Accountants‟ Code of Ethics for Professional Accountants (IFAC Code), and implement quality control procedures that are applicable to the individual engagement.11
Effective Date 7.
This ISAE is effective for service auditors‟ assurance reports covering periods ending on or after June 15, 2011.
op een assurance-opdracht met een redelijke mate van zekerheid om over de interne beheersingsmaatregelen van een serviceorganisatie te rapporteren. Het stramien voor assurance-opdrachten, dat de elementen en doelstellingen van een assurance-opdracht definieert en beschrijft, verschaft de context om deze Standaard en Standaard 3000 te begrijpen. 6. Het naleven van Standaard 3000 vereist onder andere dat de accountant van de serviceorganisatie de Verordening Gedragscode naleeft alsmede dat hij de kwaliteitsbeheersingsprocedures inplementeert die van toepassing zijn op de individuele opdracht12. Ingangsdatum 7.
Deze Standaard is van toepassing op assurance-rapporten van accountants van de serviceorganisatie over verslagperioden eindigend op of na 15 juni 2011
Objectives
Doelstellingen
8.
8.
The objectives of the service auditor are: (a) To obtain reasonable assurance about whether, in all material respects, based on suitable criteria: (i) The service organization‟s description of its system fairly presents the system as designed and implemented throughout the specified period (or in the case of a type 1 report, as at a specified date); (ii) The controls related to the control objectives stated in the service organization‟s description of its system were suitably designed throughout the specified period (or in the case of a type 1 report, as at a specified date); (iii) Where included in the scope of the engagement, the controls operated effectively to provide reasonable assurance that the control objectives stated in the service organization‟s description of its system were achieved throughout the specified period. (b) To report on the matters in (a) above in accordance with the service auditor‟s findings.
De doelstellingen van de accountant van de serviceorganisatie zijn: (a) Het verkrijgen van een redelijke mate van zekerheid over de vraag of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria: (i) De beschrijving van de serviceorganisatie van haar systeem, het systeem getrouw weergeeft zoals dit gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd (of in het geval van een type 1 rapport, per een gespecificeerde datum); (ii) De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die staan vermeld in de beschrijving van de serviceorganisatie van haar systeem gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet (of in het geval van een type 1 rapport, op een gespecificeerde datum); (iii) De interne beheersingsmaatregelen, waar deze zijn inbegrepen bij de reikwijdte van de opdracht, effectief werkten teneinde een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van het systeem van de serviceorganisatie staan vermeld, gedurende de gespecificeerde verslagperiode zijn behaald. (b) Te rapporteren over de aangelegenheden die hierboven bij (a) staan vermeld in overeenstemming met de bevindingen van de accountant van de serviceorganisatie.
Definitions
Definities
9.
9.
For purposes of this ISAE, the following terms have the meanings attributed below: (a)
11 12
Carve-out method – Method of dealing with the services provided by a subservice organization, whereby the service organization‟s description of its system includes the nature of the services provided by a subservice organization, but that subservice organization‟s relevant control objectives and related controls are excluded from the service organization‟s description of its system and from the scope of the service auditor‟s engagement. The service organization‟s description of its system and the scope of the service auditor‟s engagement include controls at the service organization to monitor the effectiveness of controls at the subservice organization, which may include the service organization‟s review of an assurance report on
In het kader van deze Standaard hebben de volgende termen de hierna weergegeven betekenissen: (a)
Uitsluitingsmethode (Carve-out methode) – een methode hoe er wordt omgegaan met de diensten die worden verleend door een subserviceorganisatie. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door een subserviceorganissatie worden verleend. De relevante interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de subserviceorganisatie zijn echter uitgesloten van de beschrijving van de serviceorganisatie van haar systeem alsmede van de reikwijdte van de opdracht van de accountant van de serviceorganisatie. De beschrijving van de
ISAE 3000, paragraphs 4 and 6. Standaard 3000, alinea‟s 4 en 6
5/45
(b)
(c) (d) (e) (f) (g)
(h)
(i)
(j)
(k)
controls at the subservice organization. Complementary user entity controls – Controls that the service organization assumes, in the design of its service, will be implemented by user entities, and which, if necessary to achieve control objectives stated in the service organization‟s description of its system, are identified in that description. Control objective – The aim or purpose of a particular aspect of controls. Control objectives relate to risks that controls seek to mitigate. Controls at the service organization – Controls over the achievement of a control objective that is covered by the service auditor‟s assurance report. (Ref: Para. A3) Controls at a subservice organization – Controls at a subservice organization to provide reasonable assurance about the achievement of a control objective. Criteria – Benchmarks used to evaluate or measure a subject matter including, where relevant, benchmarks for presentation and disclosure. Inclusive method – Method of dealing with the services provided by a subservice organization, whereby the service organization‟s description of its system includes the nature of the services provided by a subservice organization, and that subservice organization‟s relevant control objectives and related controls are included in the service organization‟s description of its system and in the scope of the service auditor‟s engagement. (Ref: Para. A4) Internal audit function – An appraisal activity established or provided as a service to the service organization. Its functions include, amongst other things, examining, evaluating and monitoring the adequacy and effectiveness of internal control. Internal auditors – Those individuals who perform the activities of the internal audit function. Internal auditors may belong to an internal audit department or equivalent function. Report on the description and design of controls at a service organization (referred to in this ISAE as a “type 1 report”) – A report that comprises: (i) The service organization‟s description of its system; (ii) A written assertion by the service organization that, in all material respects, and based on suitable criteria: a. The description fairly presents the service organization‟s system as designed and implemented as at the specified date; b. The controls related to the control objectives stated in the service organization‟s description of its system were suitably designed as at the specified date; and (iii) A service auditor‟s assurance report that conveys reasonable assurance about the matters in (ii)a.-b. above. Report on the description, design and operating effectiveness of controls at a service organization (referred to in this ISAE as a “type 2 report”) – A report that comprises: (i) The service organization‟s description of its system; (ii) A written assertion by the service organization that, in all material respects, and based on suitable criteria: a. The description fairly presents the service organization‟s system as designed and implemented throughout the specified period; b. The controls related to the control objectives stated in the service organization‟s description of its system were suitably designed throughout the specified period; and c. The controls related to the control objectives stated in the service organization‟s description of its system operated effectively throughout the specified period; and (iii) A service auditor‟s assurance report that: a. Conveys reasonable assurance about the matters in (ii)a.-c. above;
(b)
(c)
(d)
(e)
(f)
(g)
(h)
(i)
(j)
serviceorganisatie van haar systeem en de reikwijdte van de opdracht van de accountant van de serviceorganisatie bevatten interne beheersingsmaatregelen van de serviceorganisatie die de effectiviteit van de interne beheersingsmaatregelen van een subserviceorganisatie monitort, wat in kan houden dat de serviceorganisatie een assurance-rapport betreffende de interne beheersingsmaatregelen van de subserviceorganisatie beoordeelt. Aanvullende interne beheersingsmaatregelen van de gebruikende entiteit – Interne beheersingsmaatregelen waarvan de serviceorganisatie, bij het opzetten van de dienst, aanneemt dat zij door de gebruikende entiteiten zullen worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen te bereiken, in de beschrijving van de serviceorganisatie van haar systeem staan vermeld. Interne beheersingsdoelstelling – Het doel of doeleinde van een bepaald aspect van interne beheersingsmaatregelen. Interne beheersingsdoelstellingen houden verband met risico‟s waar de interne beheersingsmaatregelen naar streven deze te mitigeren. Interne beheersingsmaatregelen bij de serviceorganisatie – Interne beheersingsmaatregelen over het bereiken van een interne beheersingsdoelstelling die door het assurance-rapport van de accountant wordt omvat. (Zie: alinea A3) Interne beheersingsmaatregelen van een subserviceorganisatie – Interne beheersingsmaatregelen van een subserviceorganisatie die een redelijke mate van zekerheid verschaffen over het bereiken van een interne beheersingsdoelstelling. Criteria – Benchmarks die gebruikt worden om een object van onderzoek te evalueren of te meten inclusief, waar relevant, benchmarks voor presentatie en toelichting. Opname methode (Inclusive methode) – Methode hoe er wordt omgegaan met de diensten die door een subserviceorganisatie worden verleend. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door de subserviceorganisatie worden verleend. De de relevante interne beheersingsdoelstellingen van die subserviceorganisatie en daarmee verband houdende interne beheersingsmaatregelen zijn opgenomen in de beschrijving van de serviceorganisatie van haar systeem en in de reikwijdte van de opdracht van de accountant van de serviceorganisatie. (Zie: alinea A4) Interne auditfunctie – Een beoordelingsactiviteit, uitgevoerd door of verleend als een dienst aan de serviceorganisatie. De taken daarvan omvatten onder andere het onderzoeken, evalueren en monitoren van het adequaat zijn en de effectiviteit van de interne beheersing. Interne auditors – Die individuen die de activiteiten van de interne auditfunctie uitvoeren. Interne auditors kunnen tot een interne auditafdeling of vergelijkbare functie behoren. Een rapportage over de beschrijving en de opzet van interne beheersingsmaatregelen van een serviceorganisatie (in deze Standaard wordt daarnaar verwezen als een “type 1 rapport”) – Een rapportage die bestaat uit: (i) De beschrijving van de serviceorganisatie van haar systeem; (ii) Een schriftelijke bewering door de serviceorganisatie dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria: a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum; b. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; en
6/45
(l)
(m)
(n)
(o) (p)
(q)
(r) (s)
and b. Includes a description of the tests of controls and the results thereof. Service auditor – A professional accountant in public practice who, at the request of the service organization, provides an assurance report on controls at a service organization. Service organization – A third-party organization (or segment of a third-party organization) that provides services to user entities that are likely to be relevant to user entities‟ internal control as it relates to financial reporting. Service organization‟s system (or the system) – The policies and procedures designed and implemented by the service organization to provide user entities with the services covered by the service auditor‟s assurance report. The service organization‟s description of its system includes identification of: the services covered; the period, or in the case of a type 1 report, the date, to which the description relates; control objectives; and related controls. Service organization‟s assertion – The written assertion about the matters referred to in paragraph 9(k)(ii) (or paragraph 9(j)(ii) in the case of a type 1 report). Subservice organization – A service organization used by another service organization to perform some of the services provided to user entities that are likely to be relevant to user entities‟ internal control as it relates to financial reporting. Test of controls – A procedure designed to evaluate the operating effectiveness of controls in achieving the control objectives stated in the service organization‟s description of its system. User auditor – An auditor who audits and reports on the financial statements of a user entity13. User entity – An entity that uses a service organization.
(iii)
(k)
(l)
(m)
(n)
(o)
(p)
(q)
13
een assurance-rapport van de accountant van de serviceorganisatie dat de redelijke mate van zekerheid over de aangelegenheden in (ii)a.-b. hierboven uitdrukt. Rapport over de beschrijving, opzet en werking van de interne beheersingsmaatregelen van een serviceorganisatie (in deze Standaard wordt daarnaar verwezen als een “type 2 rapport”) – Een rapport dat bestaat uit: (i) de beschrijving van de serviceorganisatie van haar systeem; (ii) een schriftelijke bewering door de serviceorganisatie dat in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria: a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals deze gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd; b. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en c. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten; en (iii) Een assurance-rapport van de accountant van de serviceorganisatie dat: a. de redelijke mate van zekerheid over de aangelegenheden in (ii)a.-c. hierboven uitdrukt; en b. een beschrijving van de toetsingen van interne beheersingsmaatregelen en de resultaten daarvan omvat. Accountant van de serviceorganisatie – Een accountant die, op verzoek van de serviceorganisatie, een assurance-rapport verstrekt betreffende de interne beheersingsmaatregelen van een serviceorganisatie. Serviceorganisatie – Een derde-partij organisatie (of onderdeel van een derde-partij organisatie) die diensten verleent aan gebruikende entiteiten die waarschijnlijk relevant zijn voor de interne beheersing in relatie tot de financiële verslaggeving. Systeem van een serviceorganisatie (of het systeem) – De beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd teneinde de gebruikende entiteiten de diensten te verlenen die door het assurance-rapport van de accountant van de serviceorganisatie worden omvat. De beschrijving van de serviceorganisatie van haar systeem bestaat onder meer uit het onderkennen van: de diensten die worden verleend; de verslagperiode, of in het geval van een type 1 rapport de datum waarop de beschrijving betrekking heeft; interne beheersingsdoelstellingen; en daarmee verband houdende interne beheersingsmaatregelen. Bewering van een serviceorganisatie – De schriftelijke bewering over de aangelegenheden waarnaar in alinea 9(j)(ii) (of in het geval van een type 1 rapport in alinea 9 (k)(ii)) wordt verwezen. Subservice organisatie – Een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om sommige diensten uit te voeren die aan gebruikende entiteiten worden verleend die waarschijnlijk relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving. Toetsing van interne beheersingsmaatregelen – Een controlemaatregel die is opgezet om de werking van interne beheersingsmaatregelen voor het bereiken van de interne
In the case of a subservice organization, the service auditor of a service organization that uses the services of the subservice organization is also a user auditor.
7/45
(r) (s)
Requirements
Vereisten
ISAE 3000
Standaard 3000
10.
10.
The service auditor shall not represent compliance with this ISAE unless the service auditor has complied with the requirements of this ISAE and ISAE 3000.
beheersingsdoelstellingen, zoals vermeld in de beschrijving van het systeem van de serviceorganisatie, te evalueren. Accountant van de gebruiker – Een accountant die de financiële overzichten van een gebruikende entiteit controleert en daarover verslag uitbrengt14. Gebruikende entiteit – Een entiteit die gebruik maakt van een serviceorganisatie.
Ethical Requirements
De accountant van de serviceorganisatie zal niet aangeven conform deze standaard te hebben gewerkt, tenzij de accountant van de serviceorganisatie de vereisten van deze Standaard en Standaard 3000 heeft nageleefd. Ethische voorschriften
11.
11.
The service auditor shall comply with relevant ethical requirements, including those pertaining to independence, relating to assurance engagements. (Ref: Para. A5)
Management and Those Charged with Governance
De accountant van de serviceorganisatie dient de relevante ethische voorschriftenin relatie tot assurance-opdrachten na te leven, waaronder die voorschriften die betrekking hebben op de onafhankelijkheid. (Zie: alinea A5) Management en degenen belast met governance
12.
12.
Acceptance and Continuance
Waar op grond van deze Standaard van de accountant van de serviceorganisatie vereist wordt dat hij verzoekt om inlichtingen van, of bevestigingen verzoekt bij, communiceert met, of anderszins in interactie staat met de serviceorganisatie, dient de accountant van de serviceorganisatie de juiste persoon of personen binnen het management van de serviceorganisatie of governancestructuur met wie die interactie plaatsvindt te bepalen. Dit houdt onder meer in het beschouwen van welke persoon of personen de geschikte verantwoordelijkheden voor en kennis van de betrokken aangelegenheden hebben. (Zie: alinea A6) Aanvaarding en continuering
13.
13.
14
Where this ISAE requires the service auditor to inquire of, request representations from, communicate with, or otherwise interact with the service organization, the service auditor shall determine the appropriate person(s) within the service organization‟s management or governance structure with whom to interact. This shall include consideration of which person(s) have the appropriate responsibilities for and knowledge of the matters concerned. (Ref: Para. A6)
Before agreeing to accept, or continue, an engagement the service auditor shall: (a) Determine whether: (i) The service auditor has the capabilities and competence to perform the engagement; (Ref: Para. A7) (ii) The criteria to be applied by the service organization to prepare the description of its system will be suitable and available to user entities and their auditors; and (iii) The scope of the engagement and the service organization‟s description of its system will not be so limited that they are unlikely to be useful to user entities and their auditors. In the case of a subservice organization, the service auditor of a service organization that uses the services of the subservice organization is also a user auditor. (b) Obtain the agreement of the service organization that it acknowledges and understands its responsibility: (i) For the preparation of the description of its system, and accompanying service organization‟s assertion, including the completeness, accuracy and method of presentation of that description and assertion; (Ref: Para. A8) (ii) To have a reasonable basis for the service organization‟s assertion accompanying the description of its system; (Ref: Para. A9)
Alvorens de accountant van de serviceorganisatie een opdracht aanvaardt of continueert, dient hij: (a) Te bepalen of: (i) De accountant van de serviceorganisatie de capaciteiten en de competentie bezit om de opdracht uit te voeren; (Zie: alinea A7) (ii) De criteria, die bij de serviceorganisatie toegepast moeten worden teneinde de beschrijving van haar systeem op te stellen, voor de gebruikende entiteit en hun accountants geschikt en beschikbaar zijn; en (iii) De reikwijdte van de opdracht en de beschrijving van de serviceorganisatie van haar systeem niet dermate beperkt zullen zijn dat het onwaarschijnlijk is dat zij voor de gebruikende entiteiten en hun accountants nuttig zijn. Waneer er sprake is van een subserviceorganisaite, is de accountant van een serviceorganisatie die de diensten van de subserviceorganisatie gebruikt ook een accountant van de gebruiker. (b) Overeenstemming te verkrijgen van de serviceorganisatie dat zij haar verantwoordelijkheid erkent en begrijpt: (i) Voor het opstellen van de beschrijving van haar systeem en de bijgaande bewering van de serviceorganisatie, inclusief de volledigheid, het accuraat zijn en de methode van presentatie van die beschrijving en bewering; (Zie:
In het geval van een subservice organisatie, is de accountant van een serviceorganisatie die gebruik maakt van de diensten van een subserviceorganisatie tevens een accountant van een gebruiker.
8/45
(iii)
For stating in the service organization‟s assertion the criteria it used to prepare the description of its system; For stating in the description of its system: a. The control objectives; and, b. Where they are specified by law or regulation, or another party (for example, a user group or a professional body), the party who specified them; For identifying the risks that threaten achievement of the control objectives stated in the description of its system, and designing and implementing controls to provide reasonable assurance that those risks will not prevent achievement of the control objectives stated in the description of its system, and therefore that the stated control objectives will be achieved; and (Ref: Para. A10) To provide the service auditor with: a. Access to all information, such as records, documentation and other matters, including service level agreements, of which the service organization is aware that is relevant to the description of the service organization‟s system and the accompanying service organization‟s assertion; b. Additional information that the service auditor may request from the service organization for the purpose of the assurance engagement; and c. Unrestricted access to persons within the service organization from whom the service auditor determines it necessary to obtain evidence.
Acceptance of a Change in the Terms of the Engagement
alinea A8) Om een redelijke basis te hebben voor de bewering van de serviceorganisatie die met de beschrijving van haar systeem samengaat: (Zie: alinea A9) (iii) Voor het in de bewering van de serviceorganisatie aangeven van de criteria die zij hanteerde bij het beschrijven van haar systeem; (iv) Voor het in de beschrijving van haar systeem aangeven van: a. De interne beheersingsdoelstellingen; en b. De partij die deze doelstellingen specificeerde wanneer deze door wet- of regelgeving, of een andere partij (bijvoorbeeld een gebruikersgroep of een beroepsorganisatie), gespecificeerd zijn; (v) Voor het onderkennen van risico‟s die het bereiken van interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen, en het opzetten en implementeren van interne beheersingsmaatregelen teneinde een redelijke mate van zekerheid te verschaffen dat die risico‟s het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan aangegeven niet zullen verhinderen, en daarmee dat de aangegeven interne beheersingsdoelstellingen zullen worden bereikt; en (Zie: alinea A10) (vi) Om de accountant van de serviceorganisatie: a. Toegang te verschaffen tot alle informatie zoals vastleggingen, documentatie en andere aangelegenheden, met inbegrip van service level agreements waarvan de serviceorganisatie op de hoogte is dat deze relevant is voor de beschrijving van het systeem van de serviceorganisatie en de bijgaande bewering van de serviceorganisatie; b. Aanvullende informatie te verschaffen die de accountant kan verzoeken aan de serviceorganisatie voor de doeleinden van de assurance-opdracht; en c. Onbeperkte toegang te verschaffen tot de personen binnen de serviceorganisatie van wie accountant van de serviceorganisatie bepaalt dat het noodzakelijk is onderbouwende informatie te verkrijgen. De aanvaarding van een wijziging in de voorwaarden van de opdracht.
14.
14.
(iv)
(v)
(vi)
Assessing the Suitability of the Criteria
Indien de serviceorganisatie om een wijziging in de reikwijdte van de opdracht voor de afronding van de opdracht verzoekt, dient de accountant van de serviceorganisatie zich ervan te vergewissen dat er een redelijke rechtvaardiging bestaat voor die wijziging. (Zie: alinea A11 en A12) Het beoordelen van de geschiktheid van de criteria
15.
As required by ISAE 3000, the service auditor shall assess whether the service organization has used suitable criteria in preparing the description of its system, in evaluating whether controls are suitably designed, and, in the case of a type 2 report, in evaluating whether controls are operating effectively15.
15.
16.
In assessing the suitability of the criteria to evaluate the service organization‟s description of its system, the service auditor shall determine if the criteria encompass, at a minimum:
16.
15 16
If the service organization requests a change in the scope of the engagement before the completion of the engagement, the service auditor shall be satisfied that there is a reasonable justification for the change. (Ref: Para. A11-A12)
(ii)
Zoals op grond van Standaard 3000 wordt vereist, dient de accountant van de serviceorganisatie te beoordelen of de serviceorganisatie de geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van haar systeem, bij het evalueren of de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en, in het geval van een type 2 rapport, bij het evalueren of de interne beheersingsmaatregelen effectief werken,16. Bij het beoordelen van de geschiktheid van de criteria, teneinde de beschrijving van de serviceorganisatie van haar systeem te evalueren, dient de accountant van de
ISAE 3000, paragraph 19 Standaard 3000, alinea 19.
9/45
Whether the description presents how the service organization‟s system was designed and implemented, including, as appropriate: (i) The types of services provided, including, as appropriate, classes of transactions processed; (ii) The procedures, within both information technology and manual systems, by which services are provided, including, as appropriate, procedures by which transactions are initiated, recorded, processed, corrected as necessary, and transferred to the reports and other information prepared for user entities; (iii) The related records and supporting information, including, as appropriate, accounting records, supporting information and specific accounts that are used to initiate, record, process and report transactions; this includes the correction of incorrect information and how information is transferred to the reports and other information prepared for user entities; (iv) How the service organization‟s system deals with significant events and conditions, other than transactions; (v) The process used to prepare reports and other information for user entities; (vi) The specified control objectives and controls designed to achieve those objectives; (vii) Complementary user entity controls contemplated in the design of the controls; and (viii) Other aspects of the service organization‟s control environment, risk assessment process, information system (including the related business processes) and communication, control activities and monitoring controls that are relevant to the services provided. In the case of a type 2 report, whether the description includes relevant details of changes to the service organization‟s system during the period covered by the description. Whether the description omits or distorts information relevant to the scope of the service organization‟s system being described, while acknowledging that the description is prepared to meet the common needs of a broad range of user entities and their auditors and may not, therefore, include every aspect of the service organization‟s system that each individual user entity and its auditor may consider important in its particular environment. (a)
(b) (c)
17.
In assessing the suitability of the criteria to evaluate the design of controls, the service auditor shall determine if the criteria encompass, at a minimum, whether: (a) (b)
17.
serviceorganisatie te bepalen of de criteria ten minste het volgende bevatten: (a) Of de beschrijving weergeeft op welke wijze het systeem van de serviceorganisatie is opgezet en geïmplementeerd, met inbegrip van, in voorkomend geval: (i) De soorten diensten die worden verleend, met inbegrip van, in voorkomend geval de verwerkte transactiestromen; (ii) De procedures, binnen zowel de informatie technologie als handmatige systemen, waardoor diensten worden verleend, met inbegrip van, in voorkomend geval, , procedures waardoor transacties worden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages en overige informatie die voor gebruikende entiteiten is opgesteld; (iii) De daarmee verband houdende vastleggingen en ondersteunende informatie, met inbegrip van, in voorkomend geval, administratie, ondersteunende informatie en specifieke rekeningen die worden gebruikt om transacties te initiëren, vast te leggen, te verwerken en erover te rapporteren; dit omvat tevens het corrigeren van onjuiste informatie en op welke wijze informatie naar de rapporten wordt overgebracht en op welke wijze overige informatie voor gebruikende entiteiten is opgesteld; (iv) Op welke wijze het system van de serviceorganisatie significante gebeurtenissen en omstandigheden, anders dan de transacties, behandelt; (v) het proces dat wordt gehanteerd om rapportages en overige informatie voor gebruikende entiteiten op te stellen; (vi) De gespecificeerde interne beheersingsdoelstellingen en interne beheersingsmaatregelen om die doelstellingen te bereiken; (vii) Aanvullende interne beheersingsmaatregelen van de gebruikende entiteit beschouwd bij de opzet van de interne beheersingsmaatregelen; en (viii) Andere aspecten van de beheersingsomgeving van de entiteit, het risicoinschattingsproces, het informatiesysteem (inclusief daarmee verband houdende processen) en communicatie, de beheersingsactiviteiten en de monitoringsbeheersingsmaatregelen die relevant zijn voor de diensten die worden verleend. (b) In het geval van een type 2 rapport, over de vraag of de beschrijving relevante details bevat over wijzigingen aan het systeem van de serviceorganisatie gedurende de verslagperiode die door de beschrijving wordt omvat. (c) Of de beschrijving informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem van de serviceorganisatie dat wordt omschreven, terwijl erkend wordt dat de beschrijving is opgesteld teneinde aan de algemene behoeftes van een brede groep gebruikers en hun accountants te voldoen en dat de beschrijving daarom niet ieder aspect van het systeem van de serviceorganisatie kan bevatten dat iedere individuele gebruikende entiteit en haar accountant in diens bijzondere omgeving belangrijk kan achten. Bij het beoordelen van de geschiktheid van de criteria om de opzet van de interne beheersingsmaatregelen te evalueren, dient de accountant van de serviceorganisatie te bepalen of de criteria ten minste de vraag bevatten of:
The service organization has identified the risks that threaten achievement of the control objectives stated in the description of its system; and
(a)
The controls identified in that description would, if operated as described, provide reasonable assurance that those risks do not prevent the stated control objectives from being achieved.
De serviceorganisatie de risico‟s heeft onderkend die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen; en
(b)
De interne beheersingsmaatregelen die in die beschrijving zijn onderkend, indien zij werken zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico‟s het bereiken van de vermelde interne beheersingsdoelstellingen niet
10/45
verhinderen. 18.
In assessing the suitability of the criteria to evaluate the operating effectiveness of controls in providing reasonable assurance that the stated control objectives identified in the description will be achieved, the service auditor shall determine if the criteria encompass, at a minimum, whether the controls were consistently applied as designed throughout the specified period. This includes whether manual controls were applied by individuals who have the appropriate competence and authority. (Ref: Para. A13-A15)
Materiality
Bij het beoordelen van de geschiktheid van de criteria teneinde de werking van interne beheersingsmaatregelen te evalueren bij het verschaffen van een redelijke mate van zekerheid dat de vermelde interne beheersingsdoelstellingen die in de beschrijving staan onderkend bereikt zullen worden, dient de accountant van de serviceorganisatie te bepalen of de criteria ten minste bevatten of de interne beheersingsmaatregelen gedurende de gespecificeerde verslagperiode consistent zijn toegepast. Dit houdt onder meer in of er handmatige interne beheersingsmaatregelen zijn toegepast door personen die de geschikte competentie en bevoegdheid hebben. (Zie: alinea A13, A14 en A15) Materialiteit
19.
19.
When planning and performing the engagement, the service auditor shall consider materiality with respect to the fair presentation of the description, the suitability of the design of controls and, in the case of a type 2 report, the operating effectiveness of controls. (Ref: Para. A16A18)
Obtaining an Understanding of the Service Organization’s System 20.
The service auditor shall obtain an understanding of the service organization‟s system, including controls that are included in the scope of the engagement. (Ref: Para. A19-A20)
Obtaining Evidence Regarding the Description 21.
The service auditor shall obtain and read the service organization‟s description of its system, and shall evaluate whether those aspects of the description included in the scope of the engagement are fairly presented, including whether: (Ref: Para. A21-A22) (a) Control objectives stated in the service organization‟s description of its system are reasonable in the circumstances; (Ref: Para. A23) (b) Controls identified in that description were implemented; (c) Complementary user entity controls, if any, are adequately described; and (d) Services performed by a subservice organization, if any, are adequately described, including whether the inclusive method or the carve-out method has been used in relation to them.
22.
The service auditor shall determine, through other procedures in combination with inquiries, whether the service organization‟s system has been implemented. Those other procedures shall include observation, and inspection of records and other documentation, of the manner in which the service organization‟s system operates and controls are applied. (Ref: Para. A24)
Obtaining Evidence Regarding Design of Controls 23.
The service auditor shall determine which of the controls at the service organization are necessary to achieve the control objectives stated in the service organization‟s description of its system, and shall assess whether those controls were suitably designed. This determination shall include: (Ref: Para. A25-A27)
18.
Bij het plannen en het uitvoeren van de opdracht dient de accountant van de serviceorganisatie de materialiteit met betrekking tot de getrouwe weergave van de beschrijving, de geschiktheid van de opzet van de interne beheersingsmaatregelen en, in het geval van een type 2 rapport, de werking van interne beheersingsmaatregelen in aanmerking te nemen. (Zie: alinea A16, A17 en A18) Het verwerven van inzicht in het systeem van de serviceorgansatie 20.
De accountant van de serviceorganisatie dient inzicht in het systeem van de serviceorganisatie te verkrijgen, met inbegrip van interne beheersingsmaatregelen die bij de reikwijdte van de opdracht zijn inbegrepen. (Zie: alinea A19 en A20) Het verkrijgen van onderbouwende informatie met betrekking tot de beschrijving 21.
De accountant van de serviceorganisatie dient de beschrijving van de serviceorganisatie van haar system te verkrijgen en te lezen en dient te evalueren of die aspecten van de beschrijving die bij de reikwijdte van de opdracht zijn inbegrepen getrouw zijn weergegeven, met inbegrip van de vraag of: (Zie: alinea A21 en A22) (a) De interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld in de gegeven omstandigheden redelijk zijn; (Zie: alinea A23) (b) Interne beheersingsmaatregelen die in de beschrijving werden onderkend geïmplementeerd zijn; (c) Aanvullende interne beheersingsmaatregelen van de gebruikende entiteit, indien aanwezig, adequaat zijn beschreven; en (d) Diensten die door een subserviceorganisatie, indien aanwezig, zijn uitgevoerd adequaat zijn beschreven, met inbegrip van of de opname methode (inclusive methode) of de uitsluitingmethode (carve-out methode) zijn gehanteerd met betrekking tot die diensten. 22. De accountant van de serviceorganisatie dient middels overige werkzaamheden in combinatie met verzoeken om inlichtingen te bepalen of het systeem van de serviceorganisatie is geïmplementeerd. Die overige werkzaamheden dienen observatie en inspectie van vastleggingen en overige documentatie te bevatten van de manier waarop het systeem van de serviceorganisatie werkt en interne beheersingsmaatregelen zijn toegepast. (Zie: alinea A24) Het verkrijgen vanonderbouwende informatie met betrekking tot de opzet van interne beheersingsmaatregelen 23.
De accountant van de serviceorganisatie dient te bepalen welke van de interne beheersingsmaatregelen van de serviceorganisatie noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld te bereiken en dient te beoordelen of die interne beheersingsmaatregelen op
11/45
(a) (b)
Identifying the risks that threaten the achievement of the control objectives stated in the service organization‟s description of its system; and Evaluating the linkage of controls identified in the service organization‟s description of its system with those risks.
Obtaining Evidence Regarding Operating Effectiveness of Controls
afdoende wijze zijn opgezet. De bepaling hiervan dient het volgende te bevatten: (Zie: alinea A25, A26 en A27) (a) Het onderkennen van de risico‟s die het bereiken van de interne beheersingsdoelstellingen die de beschrijving van de serviceorganisatie van haar systeem staan vermeld in gevaar brengen; en (b) Het evalueren van de koppeling van interne beheersingsmaatregelen die in de beschrijving van de serviceorganisatie van haar systeem zijn onderkend aan deze risico‟s. Het verkrijgen van onderbouwende informatie met betrekking tot de werking van interne beheersingsmaatregelen
24.
When providing a type 2 report, the service auditor shall test those controls that the service auditor has determined are necessary to achieve the control objectives stated in the service organization‟s description of its system, and assess their operating effectiveness throughout the period. Evidence obtained in prior engagements about the satisfactory operation of controls in prior periods does not provide a basis for a reduction in testing, even if it is supplemented with evidence obtained during the current period. (Ref: Para. A28-A32)
24.
25.
When designing and performing tests of controls, the service auditor shall: (a) Perform other procedures in combination with inquiry to obtain evidence about: (i) How the control was applied; (ii) The consistency with which the control was applied; and (iii) By whom or by what means the control was applied; (b) Determine whether controls to be tested depend upon other controls (indirect controls) and, if so, whether it is necessary to obtain evidence supporting the operating effectiveness of those indirect controls; and (Ref: Para. A33-A34) (c) Determine means of selecting items for testing that are effective in meeting the objectives of the procedure. (Ref: Para. A35-A36)
25.
26.
When determining the extent of tests of controls, the service auditor shall consider matters including the characteristics of the population to be tested, which includes the nature of controls, the frequency of their application (for example, monthly, daily, a number of times per day), and the expected rate of deviation.
26.
Wanneer een type 2 rapport wordt verstrekt dient de accountant van de serviceorganisatie die interne beheersingsmaatregelen te toetsen waarvan de accountant van de serviceorganisatie heeft bepaald dat zij noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld te bereiken, en dient hij hun werking gedurende de verslagperiode vast te stellen. De informatie die in eerdere opdrachten is verkregen over de toereikende werking van interne beheersingsmaatregelen in eerdere verslagperiodes verschaft geen basis voor een vermindering van het toetsen, zelfs niet wanneer het is aangevuld met informatie die tijdens de lopende verslagperiode is verkregen. (Zie: alinea A28 tot en met A32) Bij het opzetten en het uitvoeren van de toetsing van interne beheersingsmaatregelen dient de accountant van de serviceorganisatie: (a) Overige werkzaamheden uit te voeren in combinatie met verzoeken om inlichtingen om onderbouwende informatie te verkrijgen over: (i) Op welke wijze de interne beheersingsmaatregel was toegepast; (ii) De consistentie waarmee de interne beheersingsmaatregel was toegepast; en (iii) De vraag door wie of met welke middelen de interne beheersingsmaatregel is toegepast; (b) Vast te stellen of de te toetsen interne beheersingsmaatregelen afhankelijk zijn van andere interne beheersingsmaatregelen (indirecte interne beheersingsmaatregelen) en, zo ja, of het noodzakelijk is om informatie te verkrijgen die de werking van die indirecte interne beheersingsmaatregelen onderbouwt; en (Zie: alinea A33 en A34) (c) Methodes te bepalen voor het selecteren van items ter toetsing die effectief zijn in het bereiken van de doelstellingen van de controlemaatregel. (Zie: alinea A35 en A36)
Sampling
Bij het bepalen van de omvang van de toetsing van interne beheersingsmaatregelen dient de accountant van de serviceorganisatie aangelegenheden, met inbegrip van de kenmerken van de te toetsen populatie te overwegen, hetgeen omvat de aard van de interne beheersingsmaatregelen, de frequentie van hun toepassing (bijvoorbeeld maandelijks, dagelijks, een aantal keren per dag), en de verwachte mate van deviatie. Het gebruiken van steekproeven
27.
27.
When the service auditor uses sampling, the service auditor shall: (Ref: Para. A35-A36) (a) Consider the purpose of the procedure and the characteristics of the population from which the sample will be drawn when designing the sample; (b) Determine a sample size sufficient to reduce sampling risk to an appropriately low level; (c) Select items for the sample in such a way that each sampling unit in the population has a chance of selection; (d) If a designed procedure is not applicable to a selected item, perform the procedure
Wanneer de accountant van de serviceorganisatie gebruik maakt van steekproeven dient de accountant van de serviceorganisatie: (Zie: alinea A35 en A36) (a) Het doel van de controlemaatregel en de kenmerken van de populatie van waaruit de steekproef zal worden genomen bij het opzetten van de steekproef te overwegen; (b) Een afdoende grootte van de steekproef te bepalen die het sampling risk tot een aanvaardbaar laag niveau verlaagt; (c) Items voor de steekproef te selecteren op een dergelijke manier dat iedere steekproefeenheid in de populatie een kans heeft om geselecteerd te worden;
12/45
Nature and Cause of Deviations
Indien een opgezette controlemaatregel niet van toepassing is op het geselecteerde item, de controlemaatregel op een vervangend item uit te voeren; en (e) Indien hij niet in staat is om de opgezette werkzaamheden, of geschikte andere werkzaamheden, op een geselecteerd item toe te passen, dat item als een deviatie te behandelen. Aard en oorzaak van deviaties
28.
The service auditor shall investigate the nature and cause of any deviations identified and shall determine whether: (a) Identified deviations are within the expected rate of deviation and are acceptable; therefore, the testing that has been performed provides an appropriate basis for concluding that the control is operating effectively throughout the specified period; (b) Additional testing of the control or of other controls is necessary to reach a conclusion on whether the controls relative to a particular control objective are operating effectively throughout the specified period; or (Ref: Para. A25) (c) The testing that has been performed provides an appropriate basis for concluding that the control did not operate effectively throughout the specified period.
28.
29.
In the extremely rare circumstances when the service auditor considers a deviation discovered in a sample to be an anomaly and no other controls have been identified that allow the service auditor to conclude that the relevant control objective is operating effectively throughout the specified period, the service auditor shall obtain a high degree of certainty that such deviation is not representative of the population. The service auditor shall obtain this degree of certainty by performing additional procedures to obtain sufficient appropriate evidence that the deviation does not affect the remainder of the population.
(e)
on a replacement item; and If unable to apply the designed procedures, or suitable alternative procedures, to a selected item, treat that item as a deviation.
(d)
The Work of an Internal Audit Function17
De accountant van de serviceorganisatie dient de aard en de oorzaak van de onderkende deviaties te onderzoeken en dient te bepalen of: (a) Onderkende deviaties binnen de verwachte mate van deviatie en aanvaardbaar zijn; daarom verschaft de reeds uitgevoerde toetsing een geschikte basis om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode effectief werkt; (b) Aanvullende toetsing van de interne beheersingsmaatregel of overige interne beheersingsmaatregelen noodzakelijk is teneinde tot een conclusie te komen dat de interne beheersingsmaatregelen met betrekking tot een bepaalde interne beheersingsdoelstelling gedurende de gespecificeerde verslagperiode effectief werken; of (Zie: alinea A25) (c) De uitgevoerde toetsing een geschikte basis verschaft om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode niet effectief werkte. 29. In de zeer zeldzame gevallen waar de accountant van de serviceorganisatie overweegt dat een ontdekte deviatie in een steekproef een a-typische fout is en er geen enkele andere interne beheersingsmaatregelen zijn onderkend die het voor de accountant van de serviceorganisatie mogelijk maken te concluderen dat de relevante interne beheersingsdoelstelling gedurende de gespecificeerde verslagperiode effectief werkt, dient de accountant van de serviceorganisatie een hoge mate van zekerheid te verkrijgen dat een dergelijk deviatie niet representatief is voor de populatie. De accountant van de serviceorganisatie dient deze mate van zekerheid te verkrijgen door aanvullende werkzaamheden uit te voeren teneinde voldoende geschikte informatie te verkrijgen dat de deviatie geen invloed heeft op het resterende deel van de populatie. De werkzaamheden van een interne auditfunctie18
Obtaining an Understanding of the Internal Audit Function
Het verwerven van inzicht in de interne auditfunctie
30.
30.
If the service organization has an internal audit function, the service auditor shall obtain an understanding of the nature of the responsibilities of the internal audit function and of the activities performed in order to determine whether the internal audit function is likely to be relevant to the engagement. (Ref: Para. A37)
Determining Whether and to What Extent to Use the Work of the Internal Auditors
17 18
Indien de serviceorganisatie een interne auditfunctie heeft, dient de accountant van de serviceorganisatie een inzicht in de aard van de verantwoordelijkheden van de interne auditfunctie te verwerven alsmede in de werkzaamheden die moeten worden uitgevoerd teneinde te bepalen of het waarschijnlijk is dat de interne auditfunctie relevant is voor de opdracht. (Zie: alinea A37) Bepalen of en in welke mate van de werkzaamheden van de interne auditors gebruik kan worden gemaakt
This ISAE does not deal with instances when individual internal auditors provide direct assistance to the service auditor in carrying out audit procedures. In deze Standaard worden geen gevallen behandeld waarbij de interne auditors directe hulp verlenen aan de accountant van de serviceorganisatie bij het uitvoeren van controlewerkzaamheden.
13/45
31.
The service auditor shall determine: (a) Whether the work of the internal auditors is likely to be adequate for purposes of the engagement; and (b) If so, the planned effect of the work of the internal auditors on the nature, timing or extent of the service auditor‟s procedures.
31.
De accountant van de serviceorganisatie dient te bepalen: (a) Of het waarschijnlijk is dat de werkzaamheden van de interne auditors adequaat zijn voor de doeleinden van de opdracht; en (b) Zo ja, wat de geplande invloed is van de werkzaamheden van de interne auditors op de aard, de timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie.
32.
In determining whether the work of the internal auditors is likely to be adequate for purposes of the engagement, the service auditor shall evaluate: (a) The objectivity of the internal audit function; (b) The technical competence of the internal auditors; (c) Whether the work of the internal auditors is likely to be carried out with due professional care; and (d) Whether there is likely to be effective communication between the internal auditors and the service auditor.
32.
Bij het bepalen of de werkzaamheden van de interne auditors waarschijnlijk adequaat zijn voor de doeleinden van de opdracht, dient de accountant van de serviceorganisatie het volgende te evalueren: (a) De objectiviteit van de interne auditfunctie; (b) De technische competentie van de interne auditors; (c) Of de werkzaamheden van de interne auditors waarschijnlijk met voldoende professionele zorgvuldigheid worden uitgevoerd; en (d) Of het waarschijnlijk is dat er effectieve communicatie zal plaatsvinden tussen de interne auditors en de accountant van de serviceorganisaties.
33.
In determining the planned effect of the work of the internal auditors on the nature, timing or extent of the service auditor‟s procedures, the service auditor shall consider: (Ref: Para. A38) (a) The nature and scope of specific work performed, or to be performed, by the internal auditors; (b) The significance of that work to the service auditor‟s conclusions; and (c) The degree of subjectivity involved in the evaluation of the evidence gathered in support of those conclusions.
33.
Bij het bepalen van de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie, dient de accountant van de serviceorganisatie te overwegen: (Zie: alinea A38) (a) De aard en de reikwijdte van de gespecificeerde werkzaamheden die door de interne auditors zijn uitgevoerd of uitgevoerd moeten worden; (b) De significantie van die werkzaamheden voor de conclusies van de accountant van de serviceorganisatie; en (c) De mate van subjectiviteit die is gehanteerd bij de evaluatie van de informatie die ter ondersteuning van die conclusies is verzameld.
Using the Work of the Internal Audit Function
Gebruik maken van de werkzaamheden van de interne auditfunctie
34.
In order for the service auditor to use specific work of the internal auditors, the service auditor shall evaluate and perform procedures on that work to determine its adequacy for the service auditor‟s purposes. (Ref: Para. A39)
34.
35.
To determine the adequacy of specific work performed by the internal auditors for the service auditor‟s purposes, the service auditor shall evaluate whether: (a) The work was performed by internal auditors having adequate technical training and proficiency; (b) The work was properly supervised, reviewed and documented; (c) Adequate evidence has been obtained to enable the internal auditors to draw reasonable conclusions; (d) Conclusions reached are appropriate in the circumstances and any reports prepared by the internal auditors are consistent with the results of the work performed; and (e) Exceptions relevant to the engagement or unusual matters disclosed by the internal auditors are properly resolved.
Effect on the Service Auditor’s Assurance Report
Om gebruik te maken van specifieke werkzaamheden van de interne auditors, dient de accountant van de serviceorganisatie die werkzaamheden te evalueren en daarop werkzaamheden uit te voeren om te bepalen of zij adequaat zijn voor de doeleinden van de accountant van de serviceorganisatie. (Zie: alinea A39) 35. Om het adequaat zijn van specifieke werkzaamheden die door de interne auditors zijn uitgevoerd voor de doeleinden van de accountant van de serviceorganisatie te bepalen, dient de accountant van de serviceorganisatie te evalueren of: (a) De werkzaamheden zijn uitgevoerd door interne auditors die beschikken over adequate vaktechnische training en vaardigheid; (b) Op de werkzaamheden naar behoren toezicht is uitgeoefend en of ze naar behoren werden beoordeeld en gedocumenteerd; (c) Adequate informatie is verkregen teneinde de interne auditors in staat te stellen redelijke conclusies te trekken; (d) De bereikte conclusies onder de gegeven omstandigheden passend zijn en of alle rapportages opgesteld door de interne auditors consistent zijn met de uitkomsten van de uitgevoerde werkzaamheden; en (e) Uitzonderingen die voor de opdracht of ongebruikelijke aangelegenheden die door de interne auditors naar voren zijn gebracht naar behoren worden opgelost. Effect op het assurance-rapport van de accountant van de serviceorganisatie
36.
36.
If the work of the internal audit function has been used, the service auditor shall make no reference to that work in the section of the service auditor‟s assurance report that contains the service auditor‟s opinion. (Ref: Para. A40)
Indien er gebruik is gemaakt van de werkzaamheden van de interne auditfunctie dient de accountant van de serviceorganisatie niet te verwijzen naar die werkzaamheden in de sectie van het assurance-rapport van de accountant van de serviceorganisatie dat het oordeel van de
14/45
accountant van de serviceorganisatie bevat. (Zie: alinea A40) 37.
In the case of a type 2 report, if the work of the internal audit function has been used in performing tests of controls, that part of the service auditor‟s assurance report that describes the service auditor‟s tests of controls and the results thereof shall include a description of the internal auditor‟s work and of the service auditor‟s procedures with respect to that work. (Ref: Para. A41)
37.
Written Representations
In het geval van een type 2 rapport, indien er gebruik is gemaakt van de werkzaamheden van de interne auditfunctie bij het toetsen van interne beheersingsmaatregelen, dient het onderdeel van het assurance-rapport van de accountant van de serviceorganisatie, dat de toetsing door de accountant van de serviceorganisatie van de interne beheersingsmaatregelen en de resultaten daarvan beschrijft, een beschrijving van het werk van de interne auditor en van de werkzaamheden van de accountant van de serviceorganisatie met betrekking tot die werkzaamheden te bevatten. (Zie: alinea A41) Schriftelijke bevestigingen
38.
The service auditor shall request the service organization to provide written representations: (Ref: Para. A42) (a) That reaffirm the assertion accompanying the description of the system; (b) That it has provided the service auditor with all relevant information and access agreed to19; and (c) That it has disclosed to the service auditor any of the following of which it is aware: (i) Non-compliance with laws and regulations, fraud, or uncorrected deviations attributable to the service organization that may affect one or more user entities; (ii) Design deficiencies in controls; (iii) Instances where controls have not operated as described; and (iv) Any events subsequent to the period covered by the service organization‟s description of its system up to the date of the service auditor‟s assurance report that could have a significant effect on the service auditor‟s assurance report.
38.
39.
The written representations shall be in the form of a representation letter addressed to the service auditor. The date of the written representations shall be as near as practicable to, but not after, the date of the service auditor‟s assurance report.
40.
If, having discussed the matter with the service auditor, the service organization does not provide one or more of the written representations requested in accordance with paragraph 38(a) and (b) of this ISAE, the service auditor shall disclaim an opinion. (Ref: Para. A43)
Other Information
De accountant van de serviceorganisatie dient bij de serviceorganisatie te verzoeken om schriftelijk bevestigingen te verschaffen die: (Zie: alinea 42) (a) De bewering opnieuw bevestigen die samengaat met de beschrijving van het systeem; (b) Vermelden dat de serviceorganisatie alle relevante informatie en overeengekomen toegang aan de accountant van de serviceorganisatie heeft verschaft20; en (c) Vermelden dat de serviceorganisatie de accountant van de serviceorganisatie heeft ingelicht over de volgende zaken waarvan de serviceorganisatie op de hoogte is: (i) Het niet-naleven van wet- en regelgeving, fraude, ongecorrigeerde deviaties die toe te schrijven zijn aan de serviceorganisatie die één of meer gebruikende entiteiten kunnen beïnvloeden; (ii) Tekortkomingen in de opzet van interne beheersingsmaatregelen; (iii) Gevallen waarin interne beheersingsmaatregelen niet hebben gewerkt zoals stond beschreven; en (iv) Alle gebeurtenissen na de einddatum van de verslagperiode, die de beschrijving van de serviceorganisatie van haar systeem omvat tot aan de datum van het assurance-rapport van de accountant van de serviceorganisatie, die een significantie invloed zouden kunnen hebben op het assurance-rapport van de accountant van de serviceorganisatie. 39. De schriftelijke bevestigingen dienen in de vorm van een bevestigingsbrief geadresseerd aan de accountant van de serviceorganisatie te zijn. De datum van de schriftelijke bevestigingen dient zo dicht als uitvoerbaar is bij, maar niet na, de datum van het assurance-rapport van de accountant van de serviceorganisatie te liggen. 40. Indien, na de aangelegenheid met de accountant van de serviceorganisatie te hebben besproken, de serviceorganisatie niet één of meerdere schriftelijke bevestigingen verschaft die in overeenstemming met alinea 38(a) en (b) van deze Standaard zijn verzocht, dient de accountant van de serviceorganisatie een oordeelonthouding te formuleren. (Zie: alinea A43) Overige informatie
41.
41.
19 20
The service auditor shall read the other information, if any, included in a document containing the service organization‟s description of its system and the service auditor‟s assurance report, to identify material inconsistencies, if any, with that description. While reading the other information for the purpose of identifying material inconsistencies, the service auditor may become aware of an apparent misstatement of fact in that other information.
De accountant van de serviceorganisatie dient de eventuele overige informatie te lezen die is inbegrepen bij een document dat de beschrijving van de serviceorganisatie van haar systeem en het assurance-rapport van de accountant van de serviceorganisatie bevat, om met die beschrijving eventuele van materieel belang zijnde inconsistenties te onderkennen. De accountant van de serviceorganisatie kan tijdens het lezen van de overige informatie met als doel de van materieel belang zijnde inconsistenties te onderkennen, kennis krijgen van een duidelijke afwijking van de feiten in die overige informatie.
Paragraph 13(b)(v) of this ISAE. Alinea 13(b)(v) van deze Standaard.
15/45
42.
If the service auditor becomes aware of a material inconsistency or an apparent misstatement of fact in the other information, the service auditor shall discuss the matter with the service organization. If the service auditor concludes that there is a material inconsistency or a misstatement of fact in the other information that the service organization refuses to correct, the service auditor shall take further appropriate action. (Ref: Para. A44-A45)
42.
Subsequent Events
Indien de accountant van de serviceorganisatie kennis krijgt van een van materieel belang zijnde inconsistentie of een duidelijke afwijking van de feiten, dient de accountant van de serviceorganisatie de aangelegenheid met de serviceorganisatie te bespreken. Indien de accountant van de serviceorganisatie concludeert dat er in de overige informatie een van materieel belang zijnde inconsistentie of een afwijking van de feiten bestaat waarvan de serviceorganisatie weigert deze te corrigeren, dient de accountant van de serviceorganisatie verder geschikte actie te ondernemen. (Zie: alinea A44 en A45) Gebeurtenissen na de einddatum van de verslagperiode
43.
The service auditor shall inquire whether the service organization is aware of any events subsequent to the period covered by the service organization‟s description of its system up to the date of the service auditor‟s assurance report that could have a significant effect on the service auditor‟s assurance report. If the service auditor is aware of such an event, and information about that event is not disclosed by the service organization, the service auditor shall disclose it in the service auditor‟s assurance report.
43.
44.
The service auditor has no obligation to perform any procedures regarding the description of the service organization‟s system, or the suitability of design or operating effectiveness of controls, after the date of the service auditor‟s assurance report.
Documentation
De accountant van de serviceorganisatie dient te verzoeken om inlichtingen of de serviceorganisatie op de hoogte is van gebeurtenissen na de einddatum van de verslagperiode die door de beschrijving van de serviceorganisatie van haar systeem is omvat tot aan de datum van het assurance-rapport van de accountant van de serviceorganisatie die een significante invloed zouden kunnen hebben op het assurance-rapport van de accountant van de serviceorganisatie. Indien de accountant van de serviceorganisatie kennis heeft van een dergelijke gebeurtenis, en informatie over die gebeurtenis niet door de serviceorganisatie is toegelicht, dient de accountant van de serviceorganisatie het in het assurance-rapport van de accountant van de serviceorganisatie toe te lichten. 44. De accountant van de serviceorganisatie heeft geen verplichting om werkzaamheden uit te voeren met betrekking tot de beschrijving van het systeem van de serviceorganisatie, of de geschiktheid van de opzet of de werking van de interne beheersingsmaatregelen, na de datum van het assurance-rapport van de accountant van de serviceorganisatie. Documentatie
45.
The service auditor shall prepare documentation that is sufficient to enable an experienced service auditor, having no previous connection with the engagement, to understand: (a) The nature, timing, and extent of the procedures performed to comply with this ISAE and applicable legal and regulatory requirements; (b) The results of the procedures performed, and the evidence obtained; and (c) Significant matters arising during the engagement, and the conclusions reached thereon and significant professional judgments made in reaching those conclusions.
45.
46.
In documenting the nature, timing and extent of procedures performed, the service auditor shall record: (a) The identifying characteristics of the specific items or matters being tested; (b) Who performed the work and the date such work was completed; and (c) Who reviewed the work performed and the date and extent of such review.
46.
47.
If the service auditor uses specific work of the internal auditors, the service auditor shall document the conclusions reached regarding the evaluation of the adequacy of the work of the internal auditors, and the procedures performed by the service auditor on that work.
47.
48.
The service auditor shall document discussions of significant matters with the service organization and others including the nature of the significant matters discussed and when and with whom the discussions took place.
48.
De accountant van de serviceorganisatie dient documentatie zo op te stellen dat die voldoende is om een ervaren accountant van een serviceorganisatie die voorheen niet bij de opdracht betrokken was, in staat te stellen inzicht te verwerven in: (a) De aard, timing en omvang van de uitgevoerde werkzaamheden die zijn uitgevoerd overeenkomstig deze Standaard en in overeenstemming met de van toepassing zijnde door wet- en regelgeving gestelde eisen; (b) De uitkomsten van de uitgevoerde werkzaamheden en de verkregen onderbouwende informatie; en (c) Significante aangelegenheden voortgekomen uit de opdracht, de daaruit getrokken conclusies en significante professionele oordelen die zijn gemaakt om tot die conclusies te komen. Bij het documenteren van de aard, timing en omvang van de uitgevoerde werkzaamheden dient de accountant het volgende vast te leggen: (a) De onderscheidende kenmerken van de specifieke items of aangelegenheden die worden getoetst; (b) Wie de werkzaamheden heeft uitgevoerd en de datum waarop dergelijke werkzaamheden zijn voltooid; en (c) Wie de werkzaamheden heeft beoordeeld en de datum en omvang van een dergelijke beoordeling. Indien de accountant van de serviceorganisatie gebruik maakt van de werkzaamheden van de interne accountants, dient de accountant van de serviceorganisatie de conclusies die getrokken zijn met betrekking tot de evaluatie van het adequaat zijn van de werkzaamheden van de interne auditors, en de door de accountant van de serviceorganisaties uitgevoerde werkzaamheden met betrekking tot die werkzaamheden, te documenteren. De accountant van de serviceorganisatie dient de besprekingen met de serviceorganisatie en overigen over significante aangelegenheden te documenteren met inbegrip van de aard van de besproken significante aangelegenheden en wanneer en met wie deze besprekingen
16/45
plaatsvonden. 49.
If the service auditor has identified information that is inconsistent with the service auditor‟s final conclusion regarding a significant matter, the service auditor shall document how the service auditor addressed the inconsistency.
50.
The service auditor shall assemble the documentation in an engagement file and complete the administrative process of assembling the final engagement file on a timely basis after the date of the service auditor‟s assurance report21.
51.
After the assembly of the final engagement file has been completed, the service auditor shall not delete or discard documentation before the end of its retention period. (Ref: Para. A46)
Preparing the Service Auditor’s Assurance Report
Indien de accountant informatie heeft onderkend die inconsistent is met de uiteindelijke conclusie van de accountant van de serviceorganisatie met betrekking tot een significante aangelegenheid, dient de accountant van de serviceorganisatie te documenteren op welke wijze de accountant van de serviceorganisatie de inconsistentie heeft behandeld. 50. De accountant van de serviceorganisatie dient de documentatie in een opdrachtdossier samen te stellen en het administratieve proces van het defintitieve dossier samen te stellen tijdig na de datum van het assurance-rapport van de accountant van de serviceorganisatie te voltooien22. 51. Nadat het samenstellen van het definitieve opdrachtdossier is voltooid, dient de accountant van de serviceorganisatie geen documentatie te vernietigen of te verwijderen voordat de bewaarperiode is afgelopen. (Zie: alinea A46) 52. Indien de accountant van de serviceorganisatie het noodzakelijk acht om bestaande opdrachtdocumentatie aan te passen of nieuwe documentatie nadat de samenstelling van het defintieve opdrachtdossier is voltooid, toe te voegen en die documentatie geen invloed heeft op de rapportage van de accountant van de serviceorganisatie, dient de accountant van de serviceorganisatie, ongeacht de aard van de aanpassingen of de toevoegingen, het volgende te documenteren: (a) De specifieke redenen voor het aanbrengen daarvan; en (b) Wanneer en door wie ze werden aangebracht en beoordeeld. Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie
Content of the Service Auditor’s Assurance Report
De inhoud van het assurance-rapport van de accountant van de serviceorganisatie
52. If the service auditor finds it necessary to modify existing engagement documentation or add new documentation after the assembly of the final engagement file has been completed and that documentation does not affect the service auditor‟s report, the service auditor shall, regardless of the nature of the modifications or additions, document: (a) The specific reasons for making them; and (b) When and by whom they were made and reviewed.
53.
21 22
The service auditor‟s assurance report shall include the following basic elements: (Ref: Para. A47) (a) A title that clearly indicates the report is an independent service auditor‟s assurance report. (b) An addressee. (c) Identification of: (i) The service organization‟s description of its system, and the service organization‟s assertion, which includes the matters described in paragraph 9(k)(ii) for a type 2 report, or paragraph 9(j)(ii) for a type 1 report. (ii) Those parts of the service organization‟s description of its system, if any, that are not covered by the service auditor‟s opinion. (iii) If the description refers to the need for complementary user entity controls, a statement that the service auditor has not evaluated the suitability of design or operating effectiveness of complementary user entity controls, and that the control objectives stated in the service organization‟s description of its system can be achieved only if complementary user entity controls are suitably designed or operating effectively, along with the controls at the service organization. (iv) If services are performed by a subservice organization, the nature of activities performed by the subservice organization as described in the service organization‟s description of its system and whether the inclusive method or the carve-out method has been used in relation to them. Where the carve-out method has been used, a statement that the service
49.
53.
Het assurance-rapport van de accountant van de serviceorganisatie dient de volgende basiselementen te bevatten: (Zie: alinea A47) (a) Een titel die duidelijk aangeeft dat de rapportage een assurance-rapport is van een onafhankelijke accountant. (b) Een geadresseerde. (c) Het aanduiden van: (i) De beschrijving van de serviceorganisatie van haar systeem en de bewering van de serviceorganisatie die de aangelegenheden bevatten die beschreven zijn in alinea 9(k)(ii) voor een type 2 rapport, of alinea 9(j)(ii) voor een type 1 rapport. (ii) De eventuele onderdelen van de beschrijving van de serviceorganisatie van haar systeem die niet door het oordeel van de accountant van de serviceorganisatie worden omvat. (iii) Indien de beschrijving naar de behoefte aan aanvullende interne beheersingsmaatregelen van een gebruikende entiteit verwijst, een vermelding dat de accountant van de serviceorganisatie de geschiktheid van de opzet of de werking van aanvullende interne beheersingsmaatregelen van een gebruikende entiteit niet heeft geëvalueerd, en dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld alleen maar kunnen worden bereikt indien de aanvullende interne beheersingsmaatregelen van een gebruikende entiteit samen met de interne beheersingsmaatregelen van de serviceorganisatie op afdoende wijze zijn opgezet of werken.
International Standard on Quality Control (ISQC) 1, paragraphs A54–A55, provide further guidance. International Standard on Quality Control (ISQC) 1, alineaalinea‟s A54 en A55 verschaffen verdere leidraden (nog aanpassen aan Nederlandse situatie).
17/45
(d) (e)
(f)
(g)
(h)
(i)
(j)
(k)
organization‟s description of its system excludes the control objectives and related controls at relevant subservice organizations, and that the service auditor‟s procedures do not extend to controls at the subservice organization. Where the inclusive method has been used, a statement that the service organization‟s description of its system includes control objectives and related controls at the subservice organization, and that the service auditor‟s procedures extended to controls at the subservice organization. Identification of the criteria, and the party specifying the control objectives. A statement that the report and, in the case of a type 2 report, the description of tests of controls are intended only for user entities and their auditors, who have a sufficient understanding to consider it, along with other information including information about controls operated by user entities themselves, when assessing the risks of material misstatements of user entities‟ financial statements. (Ref: Para. A48) A statement that the service organization is responsible for: (i) Preparing the description of its system, and the accompanying assertion, including the completeness, accuracy and method of presentation of that description and that assertion; (ii) Providing the services covered by the service organization‟s description of its system; (iii) Stating the control objectives (where not identified by law or regulation, or another party, for example, a user group or a professional body); and (iv) Designing and implementing controls to achieve the control objectives stated in the service organization‟s description of its system. A statement that the service auditor‟s responsibility is to express an opinion on the service organization‟s description, on the design of controls related to the control objectives stated in that description and, in the case of a type 2 report, on the operating effectiveness of those controls, based on the service auditor‟s procedures. A statement that the engagement was performed in accordance with ISAE 3402, “Assurance Reports on Controls at a Service Organization,” which requires that the service auditor comply with ethical requirements and plan and perform procedures to obtain reasonable assurance about whether, in all material respects, the service organization‟s description of its system is fairly presented and the controls are suitably designed and, in the case of a type 2 report, are operating effectively. A summary of the service auditor‟s procedures to obtain reasonable assurance and a statement of the service auditor‟s belief that the evidence obtained is sufficient and appropriate to provide a basis for the service auditor‟s opinion, and, in the case of a type 1 report, a statement that the service auditor has not performed any procedures regarding the operating effectiveness of controls and therefore no opinion is expressed thereon. A statement of the limitations of controls and, in the case of a type 2 report, of the risk of projecting to future periods any evaluation of the operating effectiveness of controls. The service auditor‟s opinion, expressed in the positive form, on whether, in all material respects, based on suitable criteria: (i) In the case of a type 2 report: a. The description fairly presents the service organization‟s system that had been designed and implemented throughout the specified period; b. The controls related to the control objectives stated in the service organization‟s description of its system were suitably designed throughout the specified period; and
(iv)
(d) (e)
(f)
(g)
(h)
Indien diensten door een subserviceorganisatie worden uitgevoerd, de aard van de activiteiten die door de subserviceorganisatie worden uitgevoerd zoals die staan beschreven in de beschrijving van de serviceorganisatie van haar systeem en of er van de opname methode (inclusive methode) of de uitsluitingmethode (carve-out methode) met betrekking tot die diensten gebruik is gemaakt. Waar er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, een vermelding dat de beschrijving van de serviceorganisatie van haar systeem de interne beheersingsdoelstellingen en daarmee verband houdende interne beheersingsmaatregelen van relevante subserviceorganisaties uitsluit en dat werkzaamheden van de accountant van de serviceorganisatie zich niet uitstrekken tot de interne beheersingsmaatregelen van de subserviceorganisatie. Waar er gebruik is gemaakt van de opname methode (inclusive methode), een vermelding dat de beschrijving van de subserviceorganisatie van haar systeem de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de serviceorganisatie omvat, en dat de werkzaamheden van de accountant van de serviceorganisatie zich uitstrekten tot de interne beheersingsmaatregelen van de subserviceorganisatie. Aanduiding van de criteria en de partij die de interne beheersingsdoelstellingen specificeert. Een vermelding dat de rapportage en, in het geval van een type 2 rapport, de beschrijving van toetsingen van interne beheersingsmaatregelen alleen voor gebruikende entiteiten en hun accountants, die afdoende inzicht hebben om deze te beschouwen zijn bedoeld, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door gebruikende entiteiten zelf worden uitgevoerd, wanneer zij de risico‟s op afwijkingen van materieel belang in de financiële overzichten van gebruikende entiteiten inschatten. (Zie: alinea A48) Een vermelding dat de serviceorganisatie verantwoordelijk is voor: (i) Het opstellen van de beschrijving van haar systeem en de bijgaande bewering, met inbegrip van de volledigheid, het accuraat zijn en de methode van de weergave van die beschrijving en die bewering; (ii) Het verlenen van de diensten die door de beschrijving van de serviceorganisatie van haar systeem wordt omvat; (iii) het vermelden van de interne beheersingsdoelstellingen (waar zij niet zijn onderkend door wet- of regelgeving, of een andere partij bijvoorbeeld een gebruikersgroep of een beroepsorganisatie); en (iv) Het opzetten en implementeren van interne beheersingsmaatregelen om de interne beheersingsdoelstellingen te bereiken die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld. een vermelding dat de verantwoordelijkheid van de accountant van de serviceorganisatie ligt bij het tot uitdrukking brengen van een oordeel over de beschrijving van de serviceorganisatie, over de opzet van interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen die in die beschrijving staan vermeld, en, in het geval van een type 2 rapport, over de werking van die interne beheersingsmaatregelen op basis van de werkzaamheden van de accountant van de serviceorganisatie. Een vermelding dat de opdracht overeenkomstig Standaard 3402 „Assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie‟ is uitgevoerd, op grond waarvan van de accountant wordt vereist dat hij de ethische voorschriften naleeft en werkzaamheden uitvoert teneinde een redelijke mate van zekerheid te verkrijgen of, in alle van materieel belang zijnde opzichten, de
18/45
c.
(l)
(m)
54.
The controls tested, which were those necessary to provide reasonable assurance that the control objectives stated in the description were achieved, operated effectively throughout the specified period. (ii) In the case of a type 1 report: a. The description fairly presents the service organization‟s system that had been designed and implemented as at the specified date; and b. The controls related to the control objectives stated in the service organization‟s description of its system were suitably designed as at the specified date. The date of the service auditor‟s assurance report, which shall be no earlier than the date on which the service auditor has obtained sufficient appropriate evidence on which to base the opinion. The name of the service auditor, and the location in the jurisdiction where the service auditor practices.
In the case of a type 2 report, the service auditor‟s assurance report shall include a separate section after the opinion, or an attachment, that describes the tests of controls that were performed and the results of those tests. In describing the tests of controls, the service auditor shall clearly state which controls were tested, identify whether the items tested represent all or a selection of the items in the population, and indicate the nature of the tests in sufficient detail to enable user auditors to determine the effect of such tests on their risk assessments. If deviations have been identified, the service auditor shall include the extent of testing performed that led to identification of the deviations (including the sample size where
54.
beschrijving van de serviceorganisatie van haar systeem een getrouwe weergave is en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en, in het geval van een type 2 rapport, effectief werken. (i) Een samenvatting van de werkzaamheden van de accountant van de serviceorganisatie om een redelijke mate van zekerheid te verkrijgen en een vermelding dat de accountant aanneemt dat de verkregen informatie voldoende en geschikt is om een basis voor het oordeel van de accountant van de serviceorganisatie te verschaffen en, in het geval van een type 1 rapport, een vermelding dat de accountant van de serviceorganisatie geen werkzaamheden met betrekking tot de werking van interne beheersingsmaatregelen heeft uitgevoerd en er daarom daarover geen oordeel over tot uitdrukking wordt gebracht. (j) Een vermelding van de beperkingen van interne beheersingsmaatregelen en, in het geval van een type 2 rapport, van het risico van het projecteren naar toekomstige verslagperiodes van een evaluatie betreffende de werking van interne beheersingsmaatregelen. (k) Het oordeel van de accountant van de serviceorganisatie, dat in de positieve vorm tot uitdrukking is gebracht, over of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria: (i) In het geval van een type 2 rapport: a. De beschrijving het systeem van de serviceorganisatie, dat gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd, getrouw weergeeft; b. De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en c. De getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving staan vermeld,, zijn bereikt gedurende de gespecificeerde verslagperiode effectief werkten. (ii) In het geval van een type 1 rapport: a. De beschrijving het systeem van de serviceorganisatie, dat op de gespecificeerde datum is opgezet en geïmplementeerd, getrouw weergeeft; b. De interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet. (l) De datum van het assurance-rapport van de accountant van de serviceorganisatie, die niet eerder zal zijn dan de datum waarop de accountant van de serviceorganisatie voldoende en geschikte informatie heeft verkregen waar hij zijn oordeel op baseert. (m) De naam van de accountant van de serviceorganisatie en de locatie in het rechtsgebied waarin de accountant van de serviceorganisatie werkzaam is. In het geval van een type 2 rapport dient het assurance-rapport van de accountant van de serviceorganisatie een separate sectie na het oordeel, of een bijlage, te bevatten die de uitgevoerde toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan beschrijft. Bij het beschrijven van die toetsingen dient de accountant van de serviceorganisatie duidelijk te vermelden welke interne beheersingsmaatregelen zijn getoetst, aan te duiden of de getoetste items alle of een selectie van de items in de populatie weergeven en de aard van de getoetste items op afdoende gedetailleerde wijze aan te geven teneinde de gebruikende accountant in staat te stellen de invloed van dergelijke toetsingen op hun risico-
19/45
sampling has been used), and the number and nature of the deviations noted. The service auditor shall report deviations even if, on the basis of tests performed, the service auditor has concluded that the related control objective was achieved. (Ref: Para. A18 and A49)
Modified Opinions
inschattingen te bepalen. Indien er deviaties zijn onderkend, dient de accountant van de serviceorganisatie de omvang van de uitgevoerde toetsen die leidde naar het onderkennen van de deviaties, erbij te betrekken (met inbegrip van de grootte van de steekproef waar er van een steekproef gebruik werd gemaakt), en het aantal en de aard van de geconstateerde deviaties. De accountant van de serviceorganisatie dient deviaties te rapporteren zelfs als, op basis van de uitgevoerde toetsingen, de accountant van de serviceorganisatie geconcludeerd heeft dat de gerelateerde beheersingdoelstelling was bereikt. (Zie: alinea A18 en A49) Aangepaste oordelen
55.
55.
If the service auditor concludes that: (Ref: Para. A50-A52) (a) The service organization‟s description does not fairly present, in all material respects, the system as designed and implemented; (b) The controls related to the control objectives stated in the description were not suitably designed, in all material respects; (c) In the case of a type 2 report, the controls tested, which were those necessary to provide reasonable assurance that the control objectives stated in the service organization‟s description of its system were achieved, did not operate effectively, in all material respects; or (d) The service auditor is unable to obtain sufficient appropriate evidence, the service auditor‟s opinion shall be modified, and the service auditor‟s assurance report shall contain a clear description of all the reasons for the modification.
Other Communication Responsibilities
Indien de accountant van de serviceorganisatie concludeert dat: (Zie: alinea A50, A51 en A52) (a) De beschrijving van de serviceorganisatie het systeem, zoals dit is opgezet en geïmplementeerd, in alle van materieel belang zijnde aspecten, niet getrouw weergeeft; (b) De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld, niet op afdoende wijze zijn opgezet, in alle van materieel belang zijnde opzichten; (c) In het geval van een type 2 rapport waren de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie staan vermeld, in alle van materieel belang zijnde opzichten, niet effectief werkten; of (d) De accountant van de serviceorganisatie niet in staat is om voldoende en geschikte informatie te verkrijgen, dient het oordeel van de accountant van de serviceorganisatie te worden aangepast en dient het assurance-rapport van de accountant van de serviceorganisatie een duidelijke beschrijving van alle redenen voor die aanpassing te bevatten. Overige communicatieverantwoordelijkheden
56.
56.
If the service auditor becomes aware of non-compliance with laws and regulations, fraud, or uncorrected errors attributable to the service organization that are not clearly trivial and may affect one or more user entities, the service auditor shall determine whether the matter has been communicated appropriately to affected user entities. If the matter has not been so communicated and the service organization is unwilling to do so, the service auditor shall take appropriate action. (Ref: Para. A53)
***
Indien de accountant van de serviceorganisatie kennis krijgt van het niet-naleven van wet-en regelgeving, fraude of niet-gecorrigeerde fouten die toe te schrijven zijn aan de serviceorganisatie en die duidelijk niet onbeduidend zijn en een of meerdere gebruikende entiteiten kunnen beïnvloeden, dient de accountant van de serviceorganisatie te bepalen of de aangelegenheid op de geschikte wijze is gecommuniceerd aan de getroffen gebruikende entiteiten. Indien de aangelegenheid niet op die manier is besproken en de serviceorganisatie niet bereid is om dat te doen, dient de accountant van de serviceorganisatie passende actie te ondernemen. (Zie: alinea A53) ***
20/45
Application and other explanatory material
Toepassingsgerichte en overige verklarende teksten
Scope of this ISAE (Ref: Para. 1 and 3)
Reikwijdte van deze Standaard (Zie: alinea 1 en 3)
A1.
Internal control is a process designed to provide reasonable assurance regarding the achievement of objectives related to the reliability of financial reporting, effectiveness and efficiency of operations and compliance with applicable laws and regulations. Controls related to a service organization‟s operations and compliance objectives may be relevant to a user entity‟s internal control as it relates to financial reporting. Such controls may pertain to assertions about presentation and disclosure relating to account balances, classes of transactions or disclosures, or may pertain to evidence that the user auditor evaluates or uses in applying auditing procedures. For example, a payroll processing service organization‟s controls related to the timely remittance of payroll deductions to government authorities may be relevant to a user entity as late remittances could incur interest and penalties that would result in a liability for the user entity. Similarly, a service organization‟s controls over the acceptability of investment transactions from a regulatory perspective may be considered relevant to a user entity‟s presentation and disclosure of transactions and account balances in its financial statements. The determination of whether controls at a service organization related to operations and compliance are likely to be relevant to user entities‟ internal control as it relates to financial reporting is a matter of professional judgment, having regard to the control objectives set by the service organization and the suitability of the criteria.
A1.
A2.
The service organization may not be able to assert that the system is suitably designed when, for example, the service organization is operating a system that has been designed by a user entity or is stipulated in a contract between a user entity and the service organization. Because of the inextricable link between the suitable design of controls and their operating effectiveness, the absence of an assertion with respect to the suitability of design will likely preclude the service auditor from concluding that the controls provide reasonable assurance that the control objectives have been met and thus from opining on the operating effectiveness of controls. As an alternative, the practitioner may choose to accept an agreedupon procedures engagement to perform tests of controls, or an assurance engagement under ISAE 3000 to conclude on whether, based on tests of controls, the controls have operated as described.
Definitions (Ref: Para. 9(d) and 9(g)) A3.
The definition of “controls at the service organization” includes aspects of user entities‟ information systems maintained by the service organization, and may also include aspects of one or more of the other components of internal control at a service organization. For example, it may include aspects of a service organization‟s control environment, monitoring,
Interne beheersing is een proces dat is opgezet om een redelijke mate van zekerheid te verschaffen betreffende het bereiken van de doelstellingen die verband houden met de betrouwbaarheid van de financiële verslaggeving, de effectitiviteit en efficiency van activiteiten en het naleven van toepasselijke wet- en regelgeving. Interne beheersingsmaatregelen met betrekking tot doelstellingen met betrekking tot de activiteiten en het naleven van wet- en regelgeving van een serviceorganisatie kunnen relevant zijn voor de interne beheersing van een gebruikende entiteit in relatie tot de financiële verslaggeving. Dergelijke interne beheersingsmaatregelen maken deel uit van de beweringen betreffende de presentatie en toelichting met betrekking tot saldi, transactiestromen of toelichtingen, of zij maken deel uit van informatie die de gebruikende accountant evalueert of hier gebruik van maakt bij het toepassen van de controlewerkzaamheden. De interne beheersingsmaatregelen, bijvoorbeeld, van een serviceorganisatie die de loonkosten verwerkt, die betrekking hebben op het tijdig overschrijven van de wettelijke inhoudingen op het loon aan overheidsautoriteiten zijn mogelijk relevant voor een gebruikende entiteit aangezien late overschrijvingen op rente en boetes kunnen uitlopen die voor een gebruikende entiteit zouden resulteren in een schuld. Op vergelijkbare wijze worden de interne beheersingsmaatregelen betreffende de aanvaardbaarheid van investeringstransacties vanuit een regelgevend perspectief mogelijk gezien als relevant voor de presentatie en toelichting van de transacties en rekeningsaldi van een gebruikende entiteit in haar financiële overzichten. De bepaling of de interne beheersingsmaatregelen bij een serviceorganisatie die verband houden met activiteiten en naleving waarschijnlijk relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming, waarbij de interne beheersingsdoelstellingen die door de serviceorganisatie zijn opgezet en de geschiktheid van de criteria in acht moeten worden genomen. A2. De serviceorganisatie kan niet in staat zijn om te beweren dat het systeem op afdoende wijze is opgezet wanneer, bijvoorbeeld, de serviceorganisatie met een systeem werkt dat door een gebruikende entiteit is opgezet of in een contract tussen de gebruikende entiteit en de serviceorganisatie is vastgelegd. Vanwege de onlosmakelijke verbinding tussen de geschikte opzet van de interne beheersingsmaatregelen en hun werking, zal het ontbreken van een bewering met betrekking tot de geschiktheid van de opzet de accountant van de serviceorganisatie waarschijnlijk beletten te concluderen dat de interne beheersingsmaatregelen een redelijke mate van zekerheid verschaffen dat de interne beheersingsdoelstellingen zijn bereikt en bijgevolg de accountant van de serviceorganisatie beletten te oordelen over de werking van interne beheersingsmaatregelen. Als andere mogelijkheid kan de beroepsbeoefenaar ervoor kiezen een opdracht tot het verrichten van overeengekomen specifieke werkzaamheden te aanvaarden teneinde de toetsingen van interne beheersingsmaatregelen of een assurance-opdracht op basis van Standaard 3000 uit te voeren om te kunnen concluderen of, op basis van toetsingen van interne beheersingsmaatregelen, de interne beheersingsmaatregelen werken zoals staat beschreven. Definities (Zie: alinea 9(d) en 9(g)) A3.
De definitie van “interne beheersingsmaatregelen bij een serviceorganisatie” omvat aspecten van informatiesystemen van gebruikende entiteiten die door de serviceorganisatie zijn onderhouden en kunnen ook aspecten van een of meer van de componenten van interne beheersing van een serviceorganisatie bevatten. Het kan bijvoorbeeld aspecten bevatten van
21/45
and control activities when they relate to the services provided. It does not, however, include controls at a service organization that are not related to the achievement of the control objectives stated in the service organization‟s description of its system, for example, controls related to the preparation of the service organization‟s own financial statements.
Ethical Requirements (Ref: Para. 11)
de beheersingsomgeving, het monitoren en beheersingsactiviteiten van een serviceorganisatie wanneer deze verband houden met de verleende diensten. Het bevat echter geen interne beheersingsmaatregelen van een serviceorganisatie die geen verband houden met het bereiken van de beheersingdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, zoals interne beheersingsmaatregelen die verband houden met het opstellen van de financiële overzichten van de serviceorganisatie zelf. A4. Wanneer er van de opname methode (inclusive methode) gebruik wordt gemaakt, zijn de vereisten in deze Standaard ook van toepassing op de diensten die door de subserviceorganisatie worden verleend, met inbegrip van het verkrijgen van overeenstemming met betrekking tot de aangelegenheden in alinea 13 (b)(i)-(v) zoals die op de subserviceorganisatie in plaats van de serviceorganisatie zijn toegepast. Het uitvoeren van werkzaamheden bij de subserviceorganisatie leidt tot coördinatie en communicatie tussen de serviceorganisatie, de subserviceorganisatie en de accountant van de serviceorganisatie. De opname methode (inclusive methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de subserviceorganisatie hierin voorziet. Ethische voorschriften (Zie: alinea 11)
A5.
A5.
A4.
When the inclusive method is used, the requirements in this ISAE also apply to the services provided by the subservice organization, including obtaining agreement regarding the matters in paragraph 13(b)(i)-(v) as applied to the subservice organization rather than the service organization. Performing procedures at the subservice organization entails coordination and communication between the service organization, the subservice organization, and the service auditor. The inclusive method generally is feasible only if the service organization and the subservice organization are related, or if the contract between the service organization and the subservice organization provides for its use.
The service auditor is subject to relevant independence requirements, which ordinarily comprise Parts A and B of the IFAC Code together with national requirements that are more restrictive. In performing an engagement in accordance with this ISAE, the IFAC Code does not require the service auditor to be independent from each user entity.
Management and Those Charged with Governance (Ref: Para. 12)
De accountant van de serviceorganisatie is onderhevig aan de relevante onafhankelijkheidsvereisten die gewoonlijk onderdeel A en B van de Verordening gedragscode bevatten. Bij het uitvoeren van een opdracht overeenkomstig deze Standaard wordt op grond van de Verordening gedragscode niet van de accountant van de serviceorganisatie vereist dat hij onafhankelijk is van elke gebruikende entiteit. Management en degenen belast met governance (Zie: alinea 12)
A6.
A6.
Management and governance structures vary by jurisdiction and by entity, reflecting influences such as different cultural and legal backgrounds, and size and ownership characteristics. Such diversity means that it is not possible for this ISAE to specify for all engagements the person(s) with whom the service auditor is to interact regarding particular matters. For example, the service organization may be a segment of a third-party organization and not a separate legal entity. In such cases, identifying the appropriate management personnel or those charged with governance from whom to request written representations may require the exercise of professional judgment.
Acceptance and Continuance
De structuren van het management en degenen belast met governance lopen per rechtsgebied en per entiteit uiteen, waardoor ze invloeden zoals verschillende culturele en juridische achtergronden en kenmerken van grootte en eigendom weerspiegelen. Een dergelijke verscheidenheid houdt in dat het voor deze Standaard niet mogelijk is om voor alle opdrachten de personen te specificeren met wie de accountant van de serviceorganisatie in interactie moet staan met betrekking tot bepaalde aangelegenheden. De serviceorganisatie kan bijvoorbeeld een segment zijn van een derde-partij organisatie en geen gescheiden juridische entiteit. In dergelijke gevallen is het mogelijk dat voor het identificeren van geschikt managementpersoneel of degenen belast met governance bij wie de schriftelijke bevestigingen moeten worden verzocht, het toepassen van professionele oordeelsvorming is vereist. Aanvaarding en continuering
Capabilities and Competence to Perform the Engagement (Ref: Para. 13(a)(i))
Capaciteiten en competentie om de opdracht uit te kunnen voeren (Zie: alinea 13(a)(i))
A7.
A7.
Relevant capabilities and competence to perform the engagement include matters such as the following: Knowledge of the relevant industry; An understanding of information technology and systems; Experience in evaluating risks as they relate to the suitable design of controls; and Experience in the design and execution of tests of controls and the evaluation of the results.
Relevante capaciteiten en competentie om de opdracht uit te voeren bevatten onder meer de volgende aangelegenheden: Kennis van de betreffende sector; Inzicht in informatietechnologie en systemen; Ervaring met het evalueren van risico‟s aangezien deze verband houden met de geschikte opzet van interne beheersingsmaatregelen; en Ervaring met het opzetten en het uitvoeren van toetsingen van interne beheersingsmaatregelen en met het evalueren van de resultaten.
22/45
Service Organization’s Assertion (Ref: Para. 13(b)(i))
De bewering van een serviceorganisatie (Zie: alinea 13(b)(i))
A8.
A8.
Refusal, by a service organization, to provide a written assertion, subsequent to an agreement by the service auditor to accept, or continue, an engagement, represents a scope limitation that causes the service auditor to withdraw from the engagement. If law or regulation does not allow the service auditor to withdraw from the engagement, the service auditor disclaims an opinion.
Reasonable Basis for Service Organization’s Assertion (Ref: Para. 13(b)(ii)) A9.
In the case of a type 2 report, the service organization‟s assertion includes a statement that the controls related to the control objectives stated in the service organization‟s description of its system operated effectively throughout the specified period. This assertion may be based on the service organization‟s monitoring activities. Monitoring of controls is a process to assess the effectiveness of controls over time. It involves assessing the effectiveness of controls on a timely basis, identifying and reporting deficiencies to appropriate individuals within the service organization, and taking necessary corrective actions. The service organization accomplishes monitoring of controls through ongoing activities, separate evaluations, or a combination of both. The greater the degree and effectiveness of ongoing monitoring activities, the less need for separate evaluations. Ongoing monitoring activities are often built into the normal recurring activities of a service organization and include regular management and supervisory activities. Internal auditors or personnel performing similar functions may contribute to the monitoring of a service organization‟s activities. Monitoring activities may also include using information communicated by external parties, such as customer complaints and regulator comments, which may indicate problems or highlight areas in need of improvement. The fact that the service auditor will report on the operating effectiveness of controls is not a substitute for the service organization‟s own processes to provide a reasonable basis for its assertion.
De weigering door een serviceorganisatie om een schriftelijke bewering te verschaffen, volgende op een overeenkomst van de accountant van de serviceorganisatie om een opdracht te aanvaarden of te continueren, geeft een beperking in reikwijdte aan die ertoe leidt dat de accountant van de serviceorganisatie zich terugtrekt van de opdracht. Indien wet- of regelgeving de accountant van de serviceorganisatie niet toestaat zich terug te trekken van de opdracht, formuleert de accountant van de serviceorganisatie een oordeelonthouding. Een redelijke basis voor de bewering van de serviceorganisatie (Zie: alinea 13(b)(i))
Identification of Risks (Ref: Para. 13(b)(iv))
In het geval van een type 2 rapport, houdt de bewering van de serviceorganisatie onder meer een vermelding in dat de interne beheersingsmaatregelen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld gedurende de gespecificeerde verslagperiode effectief werkten. Deze bewering kan gebaseerd zijn op de monitoringactiviteiten van de serviceorganisatie. Het monitoren van interne beheersingsmaatregelen is een proces om de effectiviteit van interne beheersingsmaatregelen in de loop van de tijd vast te stellen. Het houdt onder meer het tijdig bepalen van de effectiviteit van de interne beheersingsmaatregelen in, het onderkennen en rapporteren van tekortkomingen aan geschikte personen binnen de serviceorganisatie en het nemen van de noodzakelijke corrigerende acties. De serviceorganisatie brengt het monitoren van interne beheersingsmaatregelen tot stand middels voortdurende activiteiten, separate evaluaties of een combinatie van beiden. Hoe groter de mate van effectiviteit van voortdurende monitoringactiviteiten, des te kleiner de behoefte aan separate evaluaties. Voortdurende monitoringactiviteiten zijn vaak opgenomen in de normale terugkerende activiteiten van een serviceorganisatie en bevatten regelmatige leidinggevende en toezichthoudende activiteiten. Interne accountants of personeelsleden die vergelijkbare functies bekleden kunnen een bijdrage leveren aan het monitoren van de activiteiten van de serviceorganisatie. Monitoringactiviteiten kunnen ook het gebruik maken van informatie die door externe partijen wordt gecommuniceerd, inhouden, zoals klachten van cliënten en commentaar van regelgevers of toezichthouders die mogelijk op problemen wijzen of de nadruk leggen op gebieden die behoefte hebben aan verbetering. Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar bewering te verschaffen. Het onderkennen van risico’s (Zie: alinea 13(b)(iv))
A10.
A10.
As noted in paragraph 9(c), control objectives relate to risks that controls seek to mitigate. For example, the risk that a transaction is recorded at the wrong amount or in the wrong period can be expressed as a control objective that transactions are recorded at the correct amount and in the correct period. The service organization is responsible for identifying the risks that threaten achievement of the control objectives stated in the description of its system. The service organization may have a formal or informal process for identifying relevant risks. A formal process may include estimating the significance of identified risks, assessing the likelihood of their occurrence, and deciding about actions to address them. However, since control objectives relate to risks that controls seek to mitigate, thoughtful identification of control objectives when designing and implementing the service organization‟s system may itself comprise an informal process for identifying relevant risks.
A9.
Zoals staat vermeld in alinea 9(c), houden interne beheersingsdoelstellingen verband met risico‟s waar de interne beheersingsmaatregelen ernaar streven deze te mitigeren. Het risico dat een transactie bijvoorbeeld op het verkeerde bedrag of in de verkeerde verslagperiode wordt vastgelegd kan als een interne beheersingsdoelstelling tot uidrukking worden gebracht dat transacties op het juiste bedrag en in de juiste verslagperiode worden vastgelegd. De serviceorganisatie is verantwoordelijk voor het onderkennen van de risico‟s die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen. De serviceorganisatie kan een formeel of informeel proces hebben om relevante risico‟s te onderkennen. Een formeel proces kan het inschatten van de significantie van onderkende risico‟s inhouden, het inschatten van de waarschijnlijkheid dat zij zullen voorkomen en het besluiten welke acties moeten worden ondernomen om op die risico‟s in te spelen. Daar de interne beheersingsdoelstellingen echter verband houden met risico‟s waar interne beheersingsmaatregelen naar streven deze te mitigeren, kan weldoordachte onderkenning van interne beheersingsdoelstellingen bij het opzetten en implementeren het systeem van de serviceorganisatie zelf bestaan uit een informeel proces
23/45
voor het onderkennen van relevante risico‟s. Acceptance of a Change in the Terms of the Engagement (Ref: Para. 14)
Aanvaarding van een wijziging in de voorwaarden van de opdracht (Zie: alinea 14)
A11.
A request to change the scope of the engagement may not have a reasonable justification when, for example, the request is made to exclude certain control objectives from the scope of the engagement because of the likelihood that the service auditor‟s opinion would be modified; or the service organization will not provide the service auditor with a written assertion and the request is made to perform the engagement under ISAE 3000.
A11.
A12.
A request to change the scope of the engagement may have a reasonable justification when, for example, the request is made to exclude from the engagement a subservice organization when the service organization cannot arrange for access by the service auditor, and the method used for dealing with the services provided by that subservice organization is changed from the inclusive method to the carve-out method.
Assessing the Suitability of the Criteria (Ref: Para. 15-18)
Een verzoek tot het wijzigen van de reikwijdte van de opdracht kan geen redelijke rechtvaardiging hebben wanneer het verzoek bijvoorbeeld is gedaan teneinde bepaalde interne beheersingsdoelstellingen uit te sluiten van de reikwijdte van de opdracht vanwege de waarschijnlijkheid dat het oordeel van de accountant van de serviceorganisatie aangepast zou worden; of de serviceorganisatie zal de auditor geen schriftelijke bewering verschaffen en het verzoek wordt gedaan om de opdracht onder Standaard 3000 uit te voeren. A12. Een verzoek tot het wijzigen van de reikwijdte van de opdracht kan een redelijke rechtvaardiging hebben wanneer het verzoek bijvoorbeeld is gedaan teneinde een serviceorganisatie van de opdracht uit te sluiten wanneer de serviceorganisatie geen toegang voor de accountant van de serviceorganisatie kan regelen, en de methode waarvan gebruik wordt gemaakt bij het behandelen van de diensten die door die subserviceorganisatie worden verleend is gewijzigd van de opname methode (inclusive methode) naar de uitsluitingmethode (carve-out methode). Het beoordelen van de geschiktheid van de criteria (Zie: alinea 15 tot en met 18)
A13.
Criteria need to be available to the intended users to allow them to understand the basis for the service organization‟s assertion about the fair presentation of its description of the system, the suitability of the design of controls and, in the case of a type 2 report, the operating effectiveness of the controls related to the control objectives.
A13.
A14.
ISAE 3000 requires the service auditor, among other things, to assess the suitability of criteria, and the appropriateness of the subject matter23. The subject matter is the underlying condition of interest to intended users of an assurance report. The following table identifies the subject matter and minimum criteria for each of the opinions in type 2 and type 1 reports.
A14.
Opinion about the fair presentation of the description of the service organization’s system (type 1 and type 2 reports)
23 24 25
Subject Matter
Criteria
Comment
The service organization‟s system that is likely to be relevant to user entities‟ internal control as it relates to financial reporting and is covered by the service auditor‟s assurance report.
The description is fairly presented if it: (a) presents how the service organization‟s system was designed and implemented including, as appropriate, the matters identified in paragraph 16(a)(i)(viii); (b) in the case of a type 2 report, includes relevant
The specific wording of the criteria for this opinion may need to be tailored to be consistent with criteria established by, for example, law or regulation, user groups, or a professional body. Examples of criteria for this opinion are provided in the illustrative service organization‟s assertion in Appendix 1. Paragraphs A21-A24 offer further guidance on determining whether these criteria are met. (In terms of the requirements of ISAE 3000, the subject matter information25
Criteria moeten voor de beoogde gebruikers beschikbaar zijn om het hen mogelijk te maken inzicht te verkrijgen in de basis voor de bewering van de serviceorganisatie betreffende de getrouwe weergave van haar systeem, de geschiktheid van het opzetten van interne beheersingsmaatregelen en, in het geval van een type 2 rapport, de werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen. Op grond van Standaard 3000 wordt er van de accountant vereist dat hij, onder andere, de geschiktheid van criteria en de toepasselijkheid van het object van onderzoek beoordeelt 24. Het object van onderzoek is de onderliggende conditie van belang voor de beoogde gebruikers van een assurance-rapport. De volgende tabel onderkent het object van onderzoek en minimale criteria voor elk van de oordelen in type 1 en type 2 rapporten. Object van Criteria Commentaar onderzoek
Oordeel over de getrouwe weer-gave van de beschrijvin g van de serviceorganisatie van haar systeem (type 1 en type 2 rapporten)
Het systeem van de serviceorganisat ie dat waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteit in relatie tot de financiële verslaggeving en door het assurancerapport van de
De beschrijving is een getrouwe weergave indien hij: (a) weergeeft op welke wijze het systeem van de serviceorganisatie is opgezet en geïmplementeerd, met inbegrip van, in voorkomend geval, de aange-legenheden die in alinea 16(a)(i)-(viii) zijn onderkend; (b), in het geval van een type 2 rapport, de relevante
De specifieke bewoording van de criteria voor dit oordeel moet mogelijk op maat worden ge-sneden om con-sistent te zijn met de criteria die bijvoorbeeld door wet- of regelgeving, gebruikersgroepen of een beroepsorganisatie zijn opgesteld. Voorbeelden van criteria voor dit oordeel worden in de voorbeeld bewering van de serviceorganisatie in bijlage 1 verschaft. Alinea‟s A21 tot en A24 verschaffen ver-dere leidraden bij het bepalen of er aan deze criteria wordt voldaan. (Aangaande de
ISAE 3000, paragraphs 18-19. Standaard 3000, alineaalinea‟s 18 en 19. The “subject matter information” is the outcome of the evaluation or measurement of the subject matter that results from applying the criteria to the subject matter.
24/45
Opinion about suitability of design, and operating effectiveness (type 2 reports)
26
The suitability of the design and Operating effectiveness of those controls that are necessary to achieve the control objectives stated in the service organization‟s description of its system.
details of changes to the service organization‟s system during the period covered by the description; and (c) does not omit or distort information relevant to the scope of the service organization‟s system being described, while acknowledging that the description is prepared to meet the common needs of a broad range of user entities and may not, therefore, include every aspect of the service organization‟s system that each individual user entity may consider important in its own particular environment. The controls are suitably designed and operating effectively if: (a) the service organization has identified the risks that threaten achievement of the control objectives stated in the description of its system; (b) the controls identified in that description would, if operated as described, provide reasonable assurance that those risks do not prevent the stated control objectives from
for this opinion is the service organization‟s description of its system and the service organization‟s assertion that the description is fairly presented.)
When the criteria for this opinion are met, controls will have provided reasonable assurance that the related control objectives were achieved throughout the specified period. (In terms of the requirements of ISAE 3000, the subject matter
The control objectives, which are stated in the service organization‟s description of its system, are part of the criteria for these opinions. The stated control objectives will differ from engagement to engagement. If, as part of forming the opinion on the description, the service auditor concludes the
accountant van de serviceorganisat ie wordt omvat.
Oordeel over de geschikthei d van de opzet en de werking (type 2 rapporten)
De geschiktheid van de opzet en werking van de interne beheersingsmaa tregelen die noodzakelijk zijn om de beheersingsdoelstellin gen te bereiken die in de beschrijving van de serviceorganisa tie staan vermeld.
details van wijzigingen in het systeem van de serviceorganisatie omvat gedurende de verslagperiode die door de beschrijving wordt omvat bevat; en (c) voor de reikwijdte van het systeem van de serviceorganisatie dat is beschreven relevante informatie niet weglaat of verkeerd voorstelt, terwijl erkend wordt dat de beschrijving is opgesteld teneinde aan de algemene behoeftes van een brede groep gebruikende entiteiten te voldoen en kan daarom niet ieder aspect van het systeem van de serviceorganisatie bevatten dat iedere individuele gebruikende entiteit in diens eigen bijzondere omgeving belangrijk kan achten. De interne beheersingsmaatre-gelen zijn op afdoende wijze opgezet en doel-treffend werkzaam indien: (a) de serviceorganisatie de risico‟s die het bereiken van de beheersingsdoelstellingen die in de beschrij-ving van haar systeem staan vermeld heeft benoemd; (b) de onderkende interne beheersingsmaatrege-len die in die beschrijving, indien ze werken zoals be-schreven, een redelijke mate van zekerheid zouden verschaffen dat die risico‟s het bereiken van de vermelde
vereisten van Standaard 3000, betreft de informatie26 over het object van onderzoek voor dit oordeel de beschrijving van de serviceorganisatie van haar systeem en de bewering van de serviceorganisatie dat de beschrijving getrouw is weergegeven
Wanneer er aan de criteria voor dit oordeel is voldaan, hebben de interne beheersingsmaatregele n een redelijke mate van zekerheid verschaft dat de verbonden beheersingsdoelstelling -en gedurende de gespecificeerde verslagperiode zijn bereikt. (aangaande de vereisten van Standaard 3000,
De beheersingsdoel -stellingen, die in de beschrijving van de serviceorganisat ie van haar systeem staan vermeld, zijn onderdeel van de criteria voor deze oordelen. De ver-melde beheersingsdoelstellingen zullen per opdracht verschillen. Indien, als onderdeel van het vormen
De informatie over het object van onderzoek is de uitkomst van de evaluatie of meting van het object van onderzoek dat het resultaat is van het toepassen van de criteria op het object van onderzoek.
25/45
Opinion about suitability of design (type 1 reports)
The suitability of the design of those controls that are necessary to achieve the control objectives stated in the service organization‟s description of its system.
being achieved; and (c) the controls were consistently applied as designed throughout the specified period. This includes whether manual controls were applied by individuals who have the appropriate competence and authority.
information for this opinion is the service organization‟s assertion that controls are suitably designed and that they are operating effectively.)
The controls are suitably designed if: (a) the service organization has identified the risks that threaten achievement of the control objectives stated in the description of its system; and (b) the controls identified in that description would, if operated as described, provide reasonable assurance that those risks do not prevent the stated control objectives from being achieved.
Meeting these criteria does not, of itself, provide any assurance that the related control objectives were achieved because no assurance has been obtained about the operation of controls. (In terms of the requirements of ISAE 3000, the subject matter information for this opinion is the service organization‟s assertion that controls are suitably designed.)
stated control objectives are not fairly presented then those control objectives would not be suitable as part of the criteria for forming an opinion on either the design or operating effectiveness of controls.
Oordeel over de geschiktheid van de opzet (type 1 rapporten)
De geschiktheid van de opzet van die interne beheersingsmaatregelen die noodzakelijk zijn om de beheersingsdoelstellin gen die in de beschrij-ving van de serviceorganisatie van haar systeem zijn vermeld te bereiken.
beheersingsdoelstellingen niet verhinderen; en (c) de interne beheersingsmaatregelen consistent zijn toegepast zoals ze gedurende de gespecificeerde verslagperiode zijn opgezet. Dit houdt in of handmatige interne beheer-singsmaatregelen zijn toegepast door personen die de geschikte com-petentie en be-voegdheid hebben.
betreft de informatie over het object van onderzoek voor dit oordeel de bewering van de serviceorganisati e dat de interne beheersingsmaat -regelen op afdoende wijze zijn opgezet en dat zij effectief werken.
De interne beheersingsmaatregelen zijn op afdoende wijze opgezet indien: (a) de serviceorganisatie de risico‟s die het bereiken van de beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld heeft onderkend; en (b) de interne beheersingsmaatregelen die in die beschrijving zijn onderkend, indien ze werken zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico‟s niet verhinderen dat de vermelde beheersings-
Het voldoen aan deze criteria verschaft niet uit zich zelf enige zekerheid dat de verbonden beheersingsmaat -regelen zijn bereikt omdat er geen enkele zekerheid over de werking van interne beheersingsmaatregele n is verkregen. (Aangaande de vereisten van Standaard 3000, betreft de informatie over het object van onderzoek voor dit oordeel de
van het oordeel over de beschrijving, de accountant van de serviceorganisat ie concludeert dat de vermelde beheersingsdoelstellingen niet getrouw zijn weergegeven, zouden die beheersingsdoelstellingen niet geschikt zijn als onderdeel van de criteria voor het vormen van een oordeel over de opzet of de doeltreffende werking van interne beheersingsmaa tregelen.
26/45
doelstellingen worden bereikt.
Materiality (Ref: Para. 19 and 54)
bewering van de serviceorganisati e dat de interne beheersingsmaat -regelen op afdoende wijze zijn opgezet.) A15. Alinea 16(a) onderkent een aantal elementen die in voorkomend geval bij de beschrijving van de serviceorganisatie van haar systeem zijn inbegrepen. Deze elementen kunnen niet geschikt zijn indien het beschreven systeem geen systeem is dat transacties verwerkt, indien het systeem bijvoorbeeld verband houdt met algemene interne beheersingsmaatregelen (general controls) met betrekking tot de hosting van een IT-applicatie, maar niet met de interne beheersingsmaatregelen die in de applicatie zelf zijn verankerd. Materialiteit (Zie: alinea 19 en 54)
A16.
In an engagement to report on controls at a service organization, the concept of materiality relates to the system being reported on, not the financial statements of user entities. The service auditor plans and performs procedures to determine whether the service organization‟s description of its system is fairly presented in all material respects, whether controls at the service organization are suitably designed in all material respects and, in the case of a type 2 report, whether controls at the service organization are operating effectively in all material respects. The concept of materiality takes into account that the service auditor‟s assurance report provides information about the service organization‟s system to meet the common information needs of a broad range of user entities and their auditors who have an understanding of the manner in which that system has been used.
A16.
A17.
Materiality with respect to the fair presentation of the service organization‟s description of its system, and with respect to the design of controls, includes primarily the consideration of qualitative factors, for example: whether the description includes the significant aspects of processing significant transactions; whether the description omits or distorts relevant information; and the ability of controls, as designed, to provide reasonable assurance that control objectives would be achieved. Materiality with respect to the service auditor‟s opinion on the operating effectiveness of controls includes the consideration of both quantitative and qualitative factors, for example, the tolerable rate and observed rate of deviation (a quantitative matter), and the nature and cause of any observed deviation (a qualitative matter).
A17.
A18.
The concept of materiality is not applied when disclosing, in the description of the tests of controls, the results of those tests where deviations have been identified. This is because, in the particular circumstances of a specific user entity or user auditor, a deviation may have significance beyond whether or not, in the opinion of the service auditor, it prevents a control from operating effectively. For example, the control to which the deviation relates may be particularly significant in preventing a certain type of error that may be material in the particular circumstances of a user entity‟s financial statements.
A18.
A15.
Paragraph 16(a) identifies a number of elements that are included in the service organization‟s description of its system as appropriate. These elements may not be appropriate if the system being described is not a system that processes transactions, for example, if the system relates to general controls over the hosting of an IT application but not the controls embedded in the application itself.
Bij een opdracht om verslag uit te brengen over de interne beheersingsmaatregelen bij een serviceorganisatie houdt het begrip materialiteit verband met het systeem waarover gerapporteerd wordt, niet met de financiële overzichten van gebruikende entiteiten. De accountant van de serviceorganisatie plant werkzaamheden en voert deze uit teneinde te bepalen of de beschrijving van de serviceorganisatie van haar systeem in alle van materieel belang zijnde opzichten getrouw is weergegeven, of de interne beheersingsmaatregelen bij de serviceorganisatie op afdoende wijze en in alle van materieel belang zijnde opzichten zijn opgezet en, in het geval van een type 2 rapport, of de interne beheersingsmaatregelen in alle van materieel belang zijnde opzichten effectief werken. Het begrip materialiteit houdt rekening met het feit dat het assurance-rapport van de accountant van de serviceorganisatie informatie over het systeem van de serviceorganisatie verschaft teneinde aan de algemene informatiebehoefte van een brede groep gebruikende entiteiten en hun accountants te voldoen die inzicht hebben in de manier waarop er gebruik is gemaakt van dat systeem. Materialiteit met betrekking tot de getrouwe weergave van de beschrijving van de serviceorganisatie van haar systeem, en met betrekking tot de opzet van interne beheersingsmaatregelen, houdt voornamelijk het in overweging nemen van kwalitatieve factoren in, bijvoorbeeld: of de beschrijving de significante aspecten van het verwerken van significante transacties omvat; of de beschrijving relevante informatie weglaat of verkeerd voorstelt; en het vermogen van interne beheersingsmaatregelen, zoals ze zijn opgezet, om een redelijke mate van zekerheid te verschaffen dat interne beheersingsdoelstellingen zouden worden bereikt. Materialiteit met betrekking tot het oordeel van de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen houdt het in overweging nemen van zowel kwantitatieve als kwalitatieve factoren in, bijvoorbeeld: de toelaatbare mate en waargenomen mate waarin wordt afgeweken (een kwantitatieve aangelegenheid) en de aard en oorzaak van een waargenomen deviatie (een kwalitatieve aangelegenheid). Het begrip materialiteit wordt niet toegepast bij het, in de beschrijving van de toetsingen van interne beheersingmaatregelen, openbaar maken van de resultaten van die toetsingen wanneer deviaties zijn onderkend. Dit is zo omdat, in de bijzondere omstandigheden van een specifieke gebruikende entiteit of accountant van de gebruiker, de deviatie significantie kan hebben naast het feit dat hij, naar het oordeel van de accountant van de serviceorganisatie, voorkomt dat een interne beheersingsmaatregel effectief werkt. De interne beheersingsmaatregel waarmee de deviatie verband houdt, kan bijvoorbeeld bijzonder significant zijn bij het voorkomen dat een bepaald soort fout die mogelijk in bepaalde omstandigheden in de omstandigheden van de financiële overzichten van een gebruikende entiteit van materieel belang zou kunnen zijn.
27/45
Obtaining an Understanding of the Service Organization’s System (Ref: Para. 20) A19.
Obtaining an understanding of the service organization‟s system, including controls, included in the scope of the engagement, assists the service auditor in: Identifying the boundaries of that system, and how it interfaces with other systems. Assessing whether the service organization‟s description fairly presents the system that has been designed and implemented. Determining which controls are necessary to achieve the control objectives stated in the service organization‟s description of its system. Assessing whether controls were suitably designed. Assessing, in the case of a type 2 report, whether controls were operating effectively.
A20. The service auditor‟s procedures to obtain this understanding may include: Inquiring of those within the service organization who, in the service auditor‟s judgment, may have relevant information. Observing operations and inspecting documents, reports, printed and electronic records of transaction processing. Inspecting a selection of agreements between the service organization and user entities to identify their common terms. Reperforming control procedures.
Obtaining Evidence Regarding the Description (Ref: Para. 21-22) A21.
27 28
Considering the following questions may assist the service auditor in determining whether those aspects of the description included in the scope of the engagement are fairly presented in all material respects: Does the description address the major aspects of the service provided (within the scope of the engagement) that could reasonably be expected to be relevant to the common needs of a broad range of user auditors in planning their audits of user entities‟ financial statements? Is the description prepared at a level of detail that could reasonably be expected to provide a broad range of user auditors with sufficient information to obtain an understanding of internal control in accordance with ISA 31527? The description need not address every aspect of the service organization‟s processing or the services provided to user entities, and need not be so detailed as to potentially allow a reader to compromise security or other controls at the service organization. Is the description prepared in a manner that does not omit or distort information that may affect the common needs of a broad range of user auditors‟ decisions, for example, does the description contain any significant omissions or inaccuracies in processing of which the service auditor is aware? Where some of the control objectives stated in the service organization‟s description of its system have been excluded from the scope of the engagement, does the description clearly identify the excluded objectives?
Het verwerven van inzicht in het systeem van de serviceorganisatie (Zie: alinea 20) A19.
Het verwerven van inzicht in het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen die bij de reikwijdte van de opdracht zijn opgenomen, ondersteunt de accountant van de serviceorganisatie bij: Het aanduiden van de grenzen van dat systeem en hoe het met andere systemen is gekoppeld. Het vaststellen of de beschrijving van de serviceorganisatie het systeem dat is opgezet en geïmplementeerd, getrouw weergeeft. Het bepalen welke interne beheersingsmaatregelen noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, te bereiken. Het vaststellen of de interne beheersingsmaatregelen op afdoende wijze zijn opgezet. Het, in het geval van een type 2 rapport, vaststellen of interne beheersingsmaatregelen effectief werkten. A20. De werkzaamheden van de accountant van de serviceorganisatie om dit inzicht te verkrijgen kunnen omvatten: Het verzoeken om inlichtingen bij personen binnen de serviceorganisatie die, naar het oordeel van de accountant van de serviceorganisatie, relevante informatie kunnen hebben. Het observeren van activiteiten en het inspecteren van documenten, rapportages, uitgeprinte en elektronische vastleggingen van de verwerking van transacties. Het inspecteren van een selectie van overeenkomsten tussen de serviceorganisatie en gebruikende entiteiten om hun gemeenschappelijke voorwaarden te onderkennen. Het herhalen van de uitvoering van de interne beheersingsmaatregelen. Het verkrijgen van onderbouwende informatie met betrekking tot de beschrijving (Zie: alinea 21 en 22) A21.
Het in overweging nemen van de volgende vragen kan de accountant van de serviceorganisatie ondersteunen bij het bepalen of die aspecten van de beschrijving die bij de reikwijdte van de opdracht zijn inbegrepen in alle van materieel belang zijnde opzichten getrouw zijn weergegeven: Behandelt de beschrijving de belangrijkste aspecten van de verleende dienst (binnen de reikwijdte van de opdracht) waarvan redelijkerwijs zou kunnen worden verwacht dat zij relevant zijn voor de algemene behoeftes van een brede groep accountants van de gebruiker bij het plannen van hun controles van de financiële overzichten van gebruikende entiteiten? Is de beschrijving op een gedetailleerd niveau opgesteld waarvan redelijkerwijs zou kunnen worden verwacht dat die aan een brede groep accountants van de gebruiker voldoende informatie verschaft om inzicht te verwerven in de interne beheersing overeenkomstig Standaard 315 28? De beschrijving hoeft niet op ieder aspect van de verwerking van de serviceorganisatie of de aan gebruikende entiteiten verleende diensten in te spelen en hoeft niet dermate gedetailleerd te zijn om het een lezer mogelijk te maken de veiligheid of overige interne beheersingsmaatregelen bij de serviceorganisatie in gevaar te brengen Is de beschrijving op een zodanige manier opgesteld dat die geen informatie weglaat of verkeerd voorstelt die de algemene behoeftes van besluiten van een brede groep van accountant van de gebruikers kan beïnvloeden? Bevat de beschrijving bijvoorbeeld
ISA 315, “Identifying and Assessing Risks of Material Misstatement through Understanding the Entity and Its Environment.” Standaard 315, “Het onderkennen en inschatten van de risico‟s van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving.”
28/45
Have the controls identified in the description been implemented? Are complementary user entity controls, if any, described adequately? In most cases, the description of control objectives is worded such that the control objectives are capable of being achieved through effective operation of controls implemented by the service organization alone. In some cases, however, the control objectives stated in the service organization‟s description of its system cannot be achieved by the service organization alone because their achievement requires particular controls to be implemented by user entities. This may be the case where, for example, the control objectives are specified by a regulatory authority. When the description does include complementary user entity controls, the description separately identifies those controls along with the specific control objectives that cannot be achieved by the service organization alone. If the inclusive method has been used, does the description separately identify controls at the service organization and controls at the subservice organization? If the carve-out method is used, does the description identify the functions that are performed by the subservice organization? When the carve-out method is used, the description need not describe the detailed processing or controls at the subservice organization.
A22. The service auditor‟s procedures to evaluate the fair presentation of the description may include: Considering the nature of user entities and how the services provided by the service organization are likely to affect them, for example, whether user entities are from a particular industry and whether they are regulated by government agencies. Reading standard contracts, or standard terms of contracts, (if applicable) with user entities to gain an understanding of the service organization‟s contractual obligations. Observing procedures performed by service organization personnel. Reviewing the service organization‟s policy and procedure manuals and other systems documentation, for example, flowcharts and narratives.
A22.
A23.
A23.
Paragraph 21(a) requires the service auditor to evaluate whether the control objectives stated in the service organization‟s description of its system are reasonable in the circumstances. Considering the following questions may assist the service auditor in this evaluation: Have the stated control objectives been designated by the service organization or by outside parties such as a regulatory authority, a user group, or a professional body that follows a transparent due process? Where the stated control objectives have been specified by the service organization, do they relate to the types of assertions commonly embodied in the broad range of user
significante omissies of onnauwkeurigheden bij het verwerken waarvan de accountant van de serviceorganisatie op de hoogte is? Waar sommige vermelde interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem van de reikwijdte van de opdracht zijn uitgesloten, onderkent de beschrijving daar duidelijk die uitgesloten doelstellingen? Zijn de interne beheersingsmaatregelen die in beschrijving worden onderkend geïmplementeerd? Zijn aanvullende interne beheersingsmaatregelen van de gebruikende entiteit , indien aanwezig, adequaat beschreven? In de meeste gevallen is de beschrijving van interne beheersingsdoelstellingen dermate verwoord dat het mogelijk is dat de interne beheersingsdoelstellingen worden bereikt middels de werking van interne beheersingsmaatregelen die alleen door de serviceorganisatie zijn geïmplementeerd. Echter, in sommige gevallen kunnen de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld niet door de serviceorganisatie alleen worden bereikt, omdat het bereiken daarvan bepaalde interne beheersingsmaatregelen vereist die door gebruikende entiteiten moeten worden geïmplementeerd. Dit kan het geval zijn waar de interne beheersingsdoelstellingen bijvoorbeeld door een regelgevende of toezichthoudende instantie zijn gespecificeerd. Wanneer de beschrijving inderdaad aanvullende interne beheersingsmaatregelen van de gebruikende entiteit bevat, onderkent de beschrijving separaat die interne beheersingsmaatregelen samen met de specifieke interne beheersingsdoelstellingen die niet alleen door de serviceorganisatie bereikt kunnen worden Indien er van de opname methode (inclusive methode) gebruik is gemaakt, onderkent de beschrijving dan separaat interne beheersingsmaatregelen bij de serviceorganisatie en interne beheersingsmaatregelen bij de subserviceorganisatie? Indien er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, onderkent de beschrijving de functies die door de subserviceorganisatie zijn uitgevoerd? Wanneer er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, hoeft de beschrijving niet de gedetailleerde verwerking of interne beheersingsmaatregelen bij de subserviceorganisatie te beschrijven. De werkzaamheden van de accountant van de serviceorganisatie om de getrouwe weergave van de beschrijving te evalueren, kunnen omvatten: Het in overweging nemen van de aard van gebruikende entiteiten en op welke wijze de diensten die door de serviceorganisatie zijn verleend deze waarschijnlijk beïnvloeden, bijvoorbeeld of gebruikende entiteiten afkomstig zijn uit een bepaalde sector en of zij door instanties binnen de overheid worden gereguleerd. Het lezen van standaardcontracten, of standaardvoorwaarden van contracten, (indien van toepassing) met gebruikende entiteiten om inzicht te krijgen in de contractuele verplichtingen van de serviceorganisatie. Het waarnemen van procedures die door het personeel van de serviceorganisatie zijn uitgevoerd. Het beoordelen van beleidslijnen en procedurehandleidingen en overige documentatie van de systemen zoals stroomschema‟s en beschrijvingen. Op grond van alinea 21(a) wordt er van de accountant van de serviceorganisatie vereist dat hij evalueert of de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, redelijk zijn in de omstandigheden. Het in overweging nemen van de volgende vragen kan de accountant van de serviceorganisatie ondersteunen bij deze evaluatie: Zijn de vermelde interne beheersingsdoelstellingen aangegeven door de serviceorganisatie of door externe partijen zoals een regelgevende of toezichthoudende instantie, een gebruikersgroep of een beroepsorganisatie die een transparant zorgvuldig
29/45
entities‟ financial statements to which controls at the service organization could reasonably be expected to relate? Although the service auditor ordinarily will not be able to determine how controls at a service organization specifically relate to the assertions embodied in individual user entities‟ financial statements, the service auditor‟s understanding of the nature of the service organization‟s system, including controls, and services being provided is used to identify the types of assertions to which those controls are likely to relate. Where the stated control objectives have been specified by the service organization, are they complete? A complete set of control objectives can provide a broad range of user auditors with a framework to assess the effect of controls at the service organization on the assertions commonly embodied in user entities‟ financial statements.
A24.
The service auditor‟s procedures to determine whether the service organization‟s system has been implemented may be similar to, and performed in conjunction with, procedures to obtain an understanding of that system. They may also include tracing items through the service organization‟s system and, in the case of a type 2 report, specific inquiries about changes in controls that were implemented during the period. Changes that are significant to user entities or their auditors are included in the description of the service organization‟s system.
Obtaining Evidence Regarding Design of Controls (Ref: Para. 23 and 28(b))
proces volgt ? Waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, houden zij daar verband met de soorten beweringen die doorgaans zijn vastgelegd in de financiële overzichten van een brede groep gebruikende entiteiten waarmee, naar redelijke verwachting, de interne beheersingsmaatregelen bij de serviceorganisatie verband houden? Alhoewel de accountant van de serviceorganisatie doorgaans niet in staat is te bepalen op welke wijze interne beheersingsmaatregelen bij een serviceorganisatie specifiek verband houden met de beweringen die in de financiële overzichten van individuele gebruikende entiteiten zijn vastgelegd, wordt gebruik gemaakt van het inzicht van de accountant van de serviceorganisatie in de aard van het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen, en in verleende diensten om de soorten beweringen te onderkennen waarmee de interne beheersingsmaatregelen waarschijnlijk verband houden. Waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, zijn zij daar volledig? Een complete set van interne beheersingsdoelstellingen kan aan een brede groep van accountants van de gebruiker een stelsel verschaffen om het effect van interne beheersingsmaatregelen bij de serviceorganisatie op de beweringen te beoordelen die doorgaans in de financiële overzichten van de gebruikende entiteiten zijn vastgelegd. A24. De werkzaamheden van de accountant van de serviceorganisatie om te bepalen of het systeem van de serviceorganisatie geïmplementeerd is, kan gelijk zijn aan, en uitgevoerd worden in samenhang met, werkzaamheden om een inzicht in dat systeem te verwerven. Zij kunnen ook het traceren van items door het systeem van de serviceorganisatie inhouden en, in het geval van een type 2 rapport, specifieke verzoeken om inlichtingen over de wijzigingen in interne beheersingsmaatregelen die gedurende die verslagperiode zijn geïmplementeerd. Wijzigingen die significant zijn voor gebruikende entiteiten of hun accountants zijn bij de beschrijving van de serviceorganisatie van haar systeem inbegrepen. Het verkrijgen vanonderbouwende informatie met betrekking tot de opzet van interne beheersingsmaatregelen (Zie: alinea 23 en 28(b))
A25.
From the viewpoint of a user entity or a user auditor, a control is suitably designed if, individually or in combination with other controls, it would, when complied with satisfactorily, provide reasonable assurance that material misstatements are prevented, or detected and corrected. A service organization or a service auditor, however, is not aware of the circumstances at individual user entities that would determine whether or not a misstatement resulting from a control deviation is material to those user entities. Therefore, from the viewpoint of a service auditor, a control is suitably designed if, individually or in combination with other controls, it would, when complied with satisfactorily, provide reasonable assurance that control objectives stated in the service organization‟s description of its system are achieved.
A25.
A26.
A service auditor may consider using flowcharts, questionnaires, or decision tables to facilitate understanding the design of the controls.
A26.
A27.
Controls may consist of a number of activities directed at the achievement of a control objective. Consequently, if the service auditor evaluates certain activities as being ineffective in achieving a particular control objective, the existence of other activities may allow the service auditor to conclude that controls related to the control objective are suitably designed.
A27.
Vanuit het oogpunt van een gebruikende entiteit of een accountant van de gebruiker is een interne beheersingsmaatregel op afdoende wijze opgezet indien, individueel of in combinatie met overige interne beheersingsmaatregelen, zij naar tevredenheid wordt nageleefd, een redelijke mate van zekerheid zou verschaffen dat afwijkingen van materieel belang worden voorkomen of zijn ontdekt of gecorrigeerd. Een serviceorganisatie of een accountant van de serviceorganisatie is echter niet op de hoogte van de omstandigheden bij individuele gebruikende entiteiten die zouden bepalen of een afwijking van het materieel belang die het gevolg is van een deviatie van een interne beheersingsmaatregel voor die gebruikende entiteiten van materieel belang is. Derhalve is, vanuit het oogpunt van een accountant van de serviceorganisatie, een interne beheersingsmaatregel op afdoende wijze opgezet, indien, individueel of in combinatie van overige interne beheersingsmaatregelen, zij naar tevredenheid wordt nageleefd, een redelijke mate van zekerheid zou verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, worden bereikt. Een accountant van de serviceorganisatie kan overwegen gebruik te maken van stroomschema‟s, vragenlijsten of beslissingstabellen teneinde het inzicht in de opzet van interne beheersingsmaatregelen te bevorderen. Interne beheersingsmaatregelen kunnen uit een aantal activiteiten bestaan die bedoeld zijn om een interne beheersingsdoelstelling te bereiken. Derhalve is het mogelijk dat, indien de accountant van de serviceorganisatie bepaalde activiteiten niet effectief acht voor het behalen van een bepaalde interne beheersingsdoelstelling, het bestaan van overige activiteiten het voor de accountant van de serviceorganisatie mogelijk maakt dat hij concludeert dat de
30/45
interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstelling op afdoende wijze zijn opgezet. Obtaining Evidence Regarding Operating Effectiveness of Controls
Het verkrijgen van onderbouwende informatie met betrekking tot de werking van interne beheersingsmaatregelen
Assessing Operating Effectiveness (Ref: Para. 24)
Het vaststellen van de werking (Zie: alinea 24)
A28.
From the viewpoint of a user entity or a user auditor, a control is operating effectively if, individually or in combination with other controls, it provides reasonable assurance that material misstatements, whether due to fraud or error, are prevented, or detected and corrected. A service organization or a service auditor, however, is not aware of the circumstances at individual user entities that would determine whether a misstatement resulting from a control deviation had occurred and, if so, whether it is material. Therefore, from the viewpoint of a service auditor, a control is operating effectively if, individually or in combination with other controls, it provides reasonable assurance that control objectives stated in the service organization‟s description of its system are achieved. Similarly, a service organization or a service auditor is not in a position to determine whether any observed control deviation would result in a material misstatement from the viewpoint of an individual user entity.
A28.
A29.
Obtaining an understanding of controls sufficient to opine on the suitability of their design is not sufficient evidence regarding their operating effectiveness, unless there is some automation that provides for the consistent operation of the controls as they were designed and implemented. For example, obtaining information about the implementation of a manual control at a point in time does not provide evidence about operation of the control at other times. However, because of the inherent consistency of IT processing, performing procedures to determine the design of an automated control, and whether it has been implemented, may serve as evidence of that control‟s operating effectiveness, depending on the service auditor‟s assessment and testing of other controls, such as those over program changes.
A29.
A30.
To be useful to user auditors, a type 2 report ordinarily covers a minimum period of six months. If the period is less than six months, the service auditor may consider it appropriate to describe the reasons for the shorter period in the service auditor‟s assurance report. Circumstances that may result in a report covering a period of less than six months include when (a) the service auditor is engaged close to the date by which the report on controls is to be issued; (b) the service organization (or a particular system or application) has been in operation for less than six months; or (c) significant changes have been made to the controls and it is not practicable either to wait six months before issuing a report or to issue a report covering the system both before and after the changes.
A30.
A31.
Certain control procedures may not leave evidence of their operation that can be tested at a later date and, accordingly, the service auditor may find it necessary to test the operating effectiveness of such control procedures at various times throughout the reporting period.
A31.
Vanuit het oogpunt van een gebruikende entiteit of een accountant van de gebruiker werkt een interne beheersingsmaatregel effectief indien, individueel of in combinatie met overige interne beheersingsmaatregelen, zij een redelijke mate van zekerheid verschaft dat de afwijkingen van materieel belang, als gevolg van fraude of van fouten, worden voorkomen, of ontdekt en gecorrigeerd. Een serviceorganisatie of een accountant van de serviceorganisatie, is echter niet op de hoogte van de omstandigheden bij individuele entiteiten die zouden bepalen of een afwijking die het gevolg is van een deviatie van een interne beheersingsmaatregel voor is gekomen en, zo ja, of deze van materieel belang is. Daarom werkt, vanuit het oogpunt van de accountant van de serviceorganisatie een interne beheersingsmaatregel effectief indien, individueel of in combinatie met overige interne beheersingsmaatregelen, zij een redelijke mate van zekerheid verschaft dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, worden bereikt. Op vergelijkbare wijze bevindt een serviceorganisatie of een accountant van de serviceorganisatie zich niet in een positie om te bepalen of een waargenomen deviatie van een interne beheersingsmaatregel zou resulteren in een afwijking van materieel belang vanuit het oogpunt van een individuele gebruikende entiteit. Het verkrijgen van inzicht ininterne beheersingsmaatregelen dat voldoende is om een oordeel te vormen over de geschiktheid van hun opzet is niet voldoende onderbouwende informatie met betrekking tot hun werking, tenzij er een bepaald automatisme bestaat dat zorgt voor de consistente werking van de interne beheersingsmaatregelen zoals deze zijn opgezet en geïmplementeerd. Het verkrijgen van informatie over bijvoorbeeld het implementeren van een handmatige interne beheersingsmaatregel op een gegeven tijdstip verschaft geen informatie over de werking van interne beheersingsmaatregelen op andere tijdstippen. Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking, kan het uitvoeren van werkzaamheden teneinde de opzet van een geautomatiseerd interne beheersingsmaatregel te bepalen, en of deze geïmplementeerd is, mogelijk als onderbouwende informatie dienen die de werking van de interne beheersingsmaatregelen aantoont, afhankelijk van de beoordeling en toetsing van overige interne beheersingsmaatregelen zoals die over de wijzigingen in programma‟s. Om nuttig te zijn voor de accountant van de gebruiker, omvat een type 2 rapport doorgaans een minimale verslagperiode van zes maanden. Indien die verslagperiode korter is dan zes maanden, kan de accountant van de serviceorganisatie het gepast achten om de redenen voor die kortere verslagperiode in het assurance-rapport van de accountant van de serviceorganisatie te beschrijven. Bij de omstandigheden die kunnen resulteren in een rapportage die een verslagperiode van minder dan zes maanden omvat, zijn onder meer inbegrepen wanneer (a)de accountant van de serviceorganisatie tot dicht bij de datum waarop de rapportage over de interne beheersingsmaatregelen wordt uitgebracht een opdracht heeft; (b) de serviceorganisatie (of een bepaald systeem of toepassing) minder dan zes maanden heeft gewerkt; of (c) wanneer er significante wijzigingen in de interne beheersingsmaatregelen hebben plaatsgevonden en het niet praktisch is om zes maanden te wachten voordat de rapportage wordt uitgebracht of een rapportage uit te brengen die zowel de verslagperiodes voor als na de wijzigingen omvat. Bepaalde interne beheersingsmaatregelen kunnen geen informatie achterlaten over hun werking die op een latere datum kan worden getoetst en derhalve kan de accountant van de serviceorganisatie het noodzakelijk achten om op verschillende tijdstippen gedurende de
31/45
verslagperiode de werking van dergelijke interne beheersingsmaatregelen te toetsen. A32.
The service auditor provides an opinion on the operating effectiveness of controls throughout each period, therefore, sufficient appropriate evidence about the operation of controls during the current period is required for the service auditor to express that opinion. Knowledge of deviations observed in prior engagements may, however, lead the service auditor to increase the extent of testing during the current period.
A32.
Testing of Indirect Controls (Ref: Para. 25(b))
De accountant van de serviceorganisatie verschaft een oordeel over de werking van interne beheersingsmaatregelen gedurende iedere verslagperiode en daarom is er voldoende geschikte informatie over de werking van interne beheersingsmaatregelen gedurende de lopende verslagperiode vereist, zodat de accountant van de serviceorganisatie dat oordeel kan verschaffen. Kennis van deviaties die in eerdere opdrachten zijn waargenomen kan er echter toe leiden dat de accountant van de serviceorganisatie de omvang van het toetsen gedurende de lopende verslagperiode vergroot. Het toetsen van indirecte beheersingsmaatregelen (Zie: alinea 25(b))
A33.
In some circumstances, it may be necessary to obtain evidence supporting the effective operation of indirect controls. For example, when the service auditor decides to test the effectiveness of a review of exception reports detailing sales in excess of authorized credit limits, the review and related follow up is the control that is directly of relevance to the service auditor. Controls over the accuracy of the information in the reports (for example, the general IT controls) are described as “indirect” controls.
A33.
A34.
Because of the inherent consistency of IT processing, evidence about the implementation of an automated application control, when considered in combination with evidence about the operating effectiveness of the service organization‟s general controls (in particular, change controls), may also provide substantial evidence about its operating effectiveness.
Means of Selecting Items for Testing (Ref: Para. 25(c) and 27)
In sommige omstandigheden kan het noodzakelijk zijn om informatie te verkrijgen die de werking van indirecte beheersingsmaatregelen ondersteunt. Wanneer de accountant van de serviceorganisatie bijvoorbeeld besluit om de effectiviteit van een beoordeling van uitzonderingsrapportages te toetsen die verkopen boven de toegestane kredietlimieten gedetailleerd beschrijven, is die beoordeling en de daarmee verband houdende follow-up de interne beheersingsmaatregel die voor de accountant van de serviceorganisatie direct relevant is. Interne beheersingsmaatregelen betreffende het accuraat zijn van de informatie in de rapportages (bijvoorbeeld, de algemene interne beheersingsmaatregelen met betrekking tot IT (general IT controls) worden beschreven als “indirecte” interne beheersingsmaatregelen. A34. Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking, kan informatie over het implementeren van een geautomatiseerde interne beheersingsmaatregel op het niveau van de applicatie (application control), in combinatie met informatie over de werking van de algemene interne beheersingsmaatregelen van de serviceorganisatie (in het bijzonder, interne beheersingsmaatregelen betreffende wijzigingen) ook substantiële informatie over die werking verschaffen. Manieren om items voor het toetsen te selecteren (Zie: alinea 25(c) en 27)
A35.
The means of selecting items for testing available to the service auditor are: (a) Selecting all items (100% examination). This may be appropriate for testing controls that are applied infrequently, for example, quarterly, or when evidence regarding application of the control makes 100% examination efficient; (b) Selecting specific items. This may be appropriate where 100% examination would not be efficient and sampling would not be effective, such as testing controls that are not applied sufficiently frequently to render a large population for sampling, for example, controls that are applied monthly or weekly; and (c) Sampling. This may be appropriate for testing controls that are applied frequently in a uniform manner and which leave documentary evidence of their application.
A35.
A36.
While selective examination of specific items will often be an efficient means of obtaining evidence, it does not constitute sampling. The results of procedures applied to items selected in this way cannot be projected to the entire population; accordingly, selective examination of specific items does not provide evidence concerning the remainder of the population. Sampling, on the other hand, is designed to enable conclusions to be drawn about an entire population on the basis of testing a sample drawn from it.
A36.
De manieren om items voor het toetsen te selecteren die voor de accountant van de serviceorganisatie beschikbaar zijn: (a) Het selecteren van alle items (100% onderzoek). Dit kan geschikt zijn bij het toetsen van interne beheersingsmaatregelen die niet frequent worden toegepast, ieder kwartaal bijvoorbeeld, of wanneer informatie met betrekking to het toepassen van de interne beheersingsmaatregel het onderzoek 100% effectief maakt; (b) Het selecteren van specifieke items. Dit kan van toepassing zijn waar 100% onderzoek niet efficiënt zou zijn en een steekproef niet effectief zou zijn, zoals bij het toetsen van interne beheersingsmaatregelen die niet afdoende frequent zijn toegepast teneinde een grote populatie voor een steekproef op te leveren, zoals interne beheersingsmaatregelen die maandelijks of wekelijks worden toegepast; en (c) Het gebruiken van steekproeven. Dit kan van toepassing zijn bij het toetsen van interne beheersingsmaatregelen die frequent op een uniforme manier worden toegepast en die via documenten onderbouwde informatie van hun toepassing achterlaten. Terwijl selectief onderzoek van specifieke items vaak een effectieve manier zal zijn om onderbouwende informatie te verkrijgen, vertegenwoordigt het niet het gebruiken van steekproeven. De resultaten van werkzaamheden die worden toegepast op items die op deze manier zijn geselecteerd, kunnen niet op de gehele populatie worden geprojecteerd; dienovereenkomstig verschaft selectief onderzoek van specifieke items geen informatie met betrekking tot het restant van de populatie. Het gebruiken van steekproeven, aan de andere kant, is opgezet om het mogelijk te maken dat er conclusies worden getrokken over een gehele populatie op basis van het toetsen van een steekproef die daaruit genomen is.
32/45
The Work of an Internal Audit Function
De werkzaamheden van een interne auditfunctie
Obtaining an Understanding of the Internal Audit Function (Ref: Para. 30)
Het verwerven van inzicht in de interne auditfunctie (Zie: alinea 30)
A37.
A37.
An internal audit function may be responsible for providing analyses, evaluations, assurances, recommendations, and other information to management and those charged with governance. An internal audit function at a service organization may perform activities related to the service organization‟s own system of internal control, or activities related to the services and systems, including controls, that the service organization is providing to user entities.
Determining Whether and to What Extent to Use the Work of the Internal Auditors (Ref: Para. 33) A38.
In determining the planned effect of the work of the internal auditors on the nature, timing or extent of the service auditor‟s procedures, the following factors may suggest the need for different or less extensive procedures than would otherwise be the case: The nature and scope of specific work performed, or to be performed, by the internal auditors is quite limited. The work of the internal auditors relates to controls that are less significant to the service auditor‟s conclusions. The work performed, or to be performed, by the internal auditors does not require subjective or complex judgments.
Using the Work of the Internal Audit Function (Ref: Para. 34) A39.
The nature, timing and extent of the service auditor‟s procedures on specific work of the internal auditors will depend on the service auditor‟s assessment of the significance of that work to the service auditor‟s conclusions (for example, the significance of the risks that the controls tested seek to mitigate), the evaluation of the internal audit function and the evaluation of the specific work of the internal auditors Such procedures may include: Examination of items already examined by the internal auditors; Examination of other similar items; and Observation of procedures performed by the internal auditors.
Effect on the Service Auditor’s Assurance Report (Ref: Para. 36-37)
Een interne auditfunctie kan verantwoordelijk zijn voor het verschaffen van analyses, evaluatie, zekerheid, aanbevelingen en overige informatie voor het management en degenen belast met governance. Een interne auditfunctie bij een serviceorganisatie kan activiteiten uitvoeren die verband houden met het interne beheersingssysteem van de serviceorganisatie zelf of activiteiten die verband houden met de diensten en systemen, met inbegrip van interne beheersingsmaatregelen, die de serviceorganisatie aan gebruikende entiteiten verschaft. Bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt (Zie: alinea 33) A38.
Bij het bepalen van de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie, kunnen de volgende factoren wijzen op de behoefte aan andere of minder uitgebreide werkzaamheden dan anders het geval zou zijn geweest: De aard en de reikwijdte van de door de accountant uitgevoerde, of nog uit te voeren, specifieke werkzaamheden, is nogal beperkt. De werkzaamheden van de interne auditors die verband houden met interne beheersingsmaatregelen die voor de conclusies van de accountant van de serviceorganisatie minder significant zijn. Op grond van de werkzaamheden die door de interne auditors zijn uitgevoerd, of nog uitgevoerd moeten worden, worden geen subjectieve of complexe oordelen vereist. Gebruik maken van de werkzaamheden van de interne auditfunctie (Zie: alinea 34) A39.
De aard, timing en omvang van de werkzaamheden van de accountant van de serviceorganisatie betreffende specifieke werkzaamheden van de interne auditors zal afhankelijk zijn van de inschatting van de significantie van die werkzaamheden op de conclusies van de accountant van de serviceorganisatie (bijvoorbeeld de significantie van de risico‟s waar de getoetste interne beheersingsmaatregelen ernaar streven deze te mitigeren), de evaluatie van de interne auditfunctie en de evaluatie van de specifieke werkzaamheden van de interne auditors. Dergelijke werkzaamheden kunnen omvatten: Het onderzoeken van items die reeds door interne auditor zijn onderzocht; Het onderzoeken van andere soortgelijke items; en Het observeren van werkzaamheden die door de interne auditors zijn uitgevoerd. Het effect op het assurance-rapport van de accountant van de serviceorganisatie. (Zie: alinea 36 en 37)
A40.
Irrespective of the degree of autonomy and objectivity of the internal audit function, such function is not independent of the service organization as is required of the service auditor when performing the engagement. The service auditor has sole responsibility for the opinion expressed in the service auditor‟s assurance report, and that responsibility is not reduced by the service auditor‟s use of the work of the internal auditors.
A40.
A41.
The service auditor‟s description of work performed by the internal audit function may be presented in a number of ways, for example: By including introductory material to the description of tests of controls indicating that certain work of the internal audit function was used in performing tests of controls. Attribution of individual tests to internal audit.
A41.
Ongeacht de mate van autonomie en objectiviteit van de interne auditfunctie is een dergelijke functie niet onafhankelijk van de serviceorganisatie zoals van de accountant van de serviceorganisatie bij het uitvoeren van de opdracht wel wordt verwacht. De accountant van de serviceorganisatie heeft de ongedeelde verantwoordelijkheid voor het oordeel dat in het assurance-rapport van de accountant van de serviceorganisatie tot uitdrukking wordt gebracht en die verantwoordelijkheid wordt niet verminderd doordat de accountant van de serviceorganisatie gebruik maakt van de werkzaamheden van de interne auditors. De beschrijving van de accountant van de serviceorganisatie van de werkzaamheden die door de interne auditfunctie worden uitgevoerd kan op meerdere manier worden weergegeven, zoals: Door introductiemateriaal op te nemen in de beschrijving van de toetsing van interne beheersingsmaatregelen die erop wijst dat er van bepaalde werkzaamheden van de
33/45
Written Representations (Ref: Para. 38 and 40)
interne auditfunctie gebruik werd gemaakt bij het uitvoeren van toetsingen van interne beheersingsmaatregelen. De toeschrijving van individuele toetsingen aan de interne auditafdeling. Schriftelijke bevestigingen (Zie: alinea 38 en 40)
A42.
The written representations required by paragraph 38 are separate from, and in addition to, the service organization‟s assertion, as defined at paragraph 9(o).
A42.
A43.
If the service organization does not provide the written representations requested in accordance with paragraph 38(c) of this ISAE, it may be appropriate for the service auditor‟s opinion to be modified in accordance with paragraph 55(d) of this ISAE.
Other Information (Ref: Para. 42)
De schriftelijke bevestigingen die op grond van alinea 38 worden vereist staan los van, en zijn een aanvulling op, de bewering van de serviceorganisatie zoals die in alinea 9(o) staat beschreven. A43. Indien de serviceorganisatie de schriftelijke bevestigingen die overeenkomstig alinea 38 (c) van deze Standaard worden vereist niet verschaft, kan het voor het oordeel van de accountant van de serviceorganisatie van toepassing zijn om overeenkomstig alinea 55(d) van deze Standaard te worden aangepast. Overige Informatie (Zie: alinea 42)
A44.
A44.
The IFAC Code requires that a service auditor not be associated with information where the service auditor believes that the information: (a) Contains a materially false or misleading statement; (b) Contains statements or information furnished recklessly; or (c) Omits or obscures information required to be included where such omission or obscurity would be misleading29. If other information included in a document containing the service organization‟s description of its system and the service auditor‟s assurance report contains future-oriented information such as recovery or contingency plans, or plans for modifications to the system that will address deviations identified in the service auditor‟s assurance report, or claims of a promotional nature that cannot be reasonably substantiated, the service auditor may request that information be removed or restated.
If the service organization refuses to remove or restate the other information, further actions that may be appropriate include, for example: Requesting the service organization to consult with its legal counsel as to the appropriate course of action. Describing the material inconsistency or material misstatement of fact in the assurance report. Withholding the assurance report until the matter is resolved. Withdrawing from the engagement. Documentation (Ref: Para. 51)
Op grond van de Verordening gedragscode wordt er van de accountant van de serviceorganisatie vereist dat hij niet met informatie mag worden geassocieerd waarvan de accountant van de serviceorganisatie aanneemt dat de informatie: (a) Een materieel valse of misleidende vermelding bevat; (b) Onzorgvuldig verschafte vermeldingen of informatie bevat; of (c) Informatie weglaat of verbergt waarvan is vereist dat die informatie is toegevoegd waar een dergelijke weglating of verberging misleidend zou kunnen zijn30. Indien overige informatie die bij een document is ingesloten dat de beschrijving van de serviceorganisatie van haar systeem bevat en het assurance-rapport van de accountant van de serviceorganisatie toekomstgerichte informatie bevat zoals herstel en uitwijk, rampen (bestrijdings) -plannen of plannen voor aanpassingen aan het systeem die zullen inspelen op deviaties die in het assurance-rapport van de accountant van de serviceorganisatie zijn onderkend of claims van een promotionele aard die niet op een aanvaardbare manier kunnen worden gestaafd, kan de accountant van de serviceorganisatie erom verzoeken dat die informatie wordt verwijderd of wordt aangepast. A45. Indien de serviceorganisatie weigert om de overige informatie te verwijderen of aan te passen, kunnen aanvullende activiteiten die van toepassing zijn het volgende omvatten: De serviceorganisatie verzoeken om met haar juridische adviseurs overleg te plegen met betrekking tot de handelswijzen. Het beschrijven van de van materieel belang zijnde inconsistentie of afwijking van materieel belang van feiten in het assurance-rapport. Het niet verstrekken van het assurance-rapport totdat de aangelegenheid is opgelost. Zich terugtrekken uit de opdracht. Documentatie (Zie: alinea. 51)
A46.
A46.
A45.
ISQC 1 (or national requirements that are at least as demanding) requires firms to establish policies and procedures for the timely completion of the assembly of engagement files31. An appropriate time limit within which to complete the assembly of the final engagement file is ordinarily not more than 60 days after the date of the service auditor‟s report32.
In de wet- en regelgeving op het gebied van kwaliteitsbeheersing wordt er vereist dat er beleidslijnen en procedures worden opgezet voor het tijdig afronden van het samenstellen van opdrachtdossiers33. Een geschikte tijdslimiet waarbinnen het definitieve opdrachtdossier moet zijn samengesteld bedraagt doorgaans niet meer dan 60 dagen na de datum van de rapportage van de accountant van de serviceorganisatie34.
29
IFAC Code, paragraph 110.2. IFAC Code, alinea 110.2 (aanpassen voor VGC). ISQC 1, paragraph 45. 32 ISQC 1, paragraph A54. 33 ISQC 1, alinea 45 (aanpassen voor Nederlandse situatie). 34 ISQC 1, alinea A54 (aanpassen voor Nederlandse situatie). 30 31
34/45
Preparing the Service Auditor’s Assurance Report
Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie
Content of the Service Auditor’s Assurance Report (Ref: Para. 53)
Inhoud van het assurance-rapport van de accountant van de serviceorganisatie (Zie: alinea 53)
A47.
Illustrative examples of service auditors‟ assurance reports and related service organizations‟ assertions are contained in Appendices 1 and 2.
A47.
Voorbeelden ter illustratie van assurance-rapporten van accountant van de serviceorganisatie en daarmee verband houdende beweringen van serviceorganisaties staan in bijlagen 1en 2.
Intended Users and Purposes of the Service Auditor’s Assurance Report (Ref: Para. 53(e))
Beoogde gebruikers en doeleinden van het assurance-rapport van de accountant van de serviceorganisatie (Zie: alinea 53(e))
A48.
A48.
The criteria used for engagements to report on controls at a service organization are relevant only for the purposes of providing information about the service organization‟s system, including controls, to those who have an understanding of how the system has been used for financial reporting by user entities. Accordingly this is stated in the service auditor‟s assurance report. In addition, the service auditor may consider it appropriate to include wording that specifically restricts distribution of the assurance report other than to intended users, its use by others, or its use for other purposes.
Description of the Tests of Controls (Ref: Para. 54)
De criteria waarvan gebruik wordt gemaakt voor opdrachten om te rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie zijn alleen relevant voor de doeleinden van het verschaffen van informatie over het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen, aan degenen die inzicht hebben op welke wijze er van het systeem gebruik is gemaakt bij de financiële verslaggeving door gebruikende entiteiten. Dienovereenkomstig staat dit in het assurance-rapport van de accountant van de serviceorganisatie vermeld. De accountant van de serviceorganisatie kan het passend achten om bewoordingen op te nemen die de specifieke verspreiding van het assurance-rapport onder anderen dan de beoogde gebruikers, of het gebruik ervan voor andere doeleinden, beperkt. Beschrijving van de toetsingen van interne beheersingsmaatregelen (Zie: alinea 54)
A49.
A49.
In describing the nature of the tests of controls for a type 2 report, it assists readers of the service auditor‟s assurance report if the service auditor includes: The results of all tests where deviations have been identified, even if other controls have been identified that allow the service auditor to conclude that the relevant control objective has been achieved or the control tested has subsequently been removed from the service organization‟s description of its system. Information about causative factors for identified deviations, to the extent the service auditor has identified such factors.
Modified Opinions (Ref: Para. 55)
Bij het beschrijven van de aard van de toetsingen van interne beheersingsmaatregelen voor een type 2 rapport, worden de lezers van het assurance-rapport van de accountant van de serviceorganisatie ondersteund als de accountant van de serviceorganisatie het volgende opneemt: De resultaten van alle toetsingen waar deviaties zijn onderkend, zelfs als er overige interne beheersingsmaatregelen zijn onderkend die de accountant van de serviceorganisatie in staat stellen te concluderen dat de relevante interne beheersingsdoelstelling is bereikt of de getoetste interne beheersingsmaatregel nadien van de beschrijving van de serviceorganisatie van haar systeem is verwijderd. Informatie over de veroorzakende factoren van onderkende deviaties, tot de mate waarin de accountant van de serviceorganisatie die factoren heeft onderkend. Aangepaste oordelen (Zie: alinea 55)
A50.
Illustrative examples of elements of modified service auditor‟s assurance reports are contained in Appendix 3.
A50.
Voorbeelden ter illustratie van elementen van aangepaste assurance-rapporten van de accountant van de serviceorganisatie staan in bijlage 3.
A51.
Even if the service auditor has expressed an adverse opinion or disclaimed an opinion, it may be appropriate to describe in the basis for modification paragraph the reasons for any other matters of which the service auditor is aware that would have required a modification to the opinion, and the effects thereof.
A51.
A52.
When expressing a disclaimer of opinion because of a scope limitation, it is not ordinarily appropriate to identify the procedures that were performed nor include statements describing the characteristics of a service auditor‟s engagement; to do so might overshadow the disclaimer of opinion.
A52.
Zelfs als de accountant van de serviceorganisatie een afkeurend oordeel tot uitdrukking heeft gebracht of een oordeelonthouding heeft geformuleerd, kan het gepast zijn in de paragraaf voor de onderbouwing van het aangepaste oordeel de redenen voor overige aangelegenheden te beschrijven waarvan de accountant van de serviceorganisatie weet dat op grond daarvan een aanpassing van het oordeel zou zijn vereist, alsmede de effecten daarvan. Wanneer een oordeelonthouding wordt geformuleerd vanwege een beperking in de reikwijdte, is het doorgaans niet passend om de uitgevoerde werkzaamheden te onderkennen noch om vermeldingen die de kenmerken van de opdracht van een accountant van de serviceorganisatie beschrijven op te nemen; door dit wel te doen zou de oordeelonthouding kunnen worden overschaduwd.
35/45
Other Communication Responsibilities (Ref: Para. 56)
Overige communicatieverantwoordelijkheden (Zie: alinea 56)
A53.
A53.
Appropriate actions to respond to the circumstances identified in paragraph 56 may include: Obtaining legal advice about the consequences of different courses of action. Communicating with those charged with governance of the service organization. Communicating with third parties (for example, a regulator) when required to do so. Modifying the service auditor‟s opinion, or adding an Other Matter paragraph. Withdrawing from the engagement.
APPENDIX 1
Geschikte activiteiten om in te spelen op de omstandigheden die alinea 56 zijn onderkend kunnen omvatten: Het verkrijgen van juridisch advies over de consequenties van verschillende handelswijzen. Communicatie met degenen belast met governance van de serviceorganisatie. Communicatie met derden (bijvoorbeeld, een regelgever of toezichthouder) wanneer dit vereist is. Het aanpassen van het oordeel van de accountant van de serviceorganisatie of het toevoegen van een paragraaf inzake overige aangelegenheden. Het terugtrekken uit de opdracht. BIJLAGE 1
(Ref. Para. A47)
(Zie: alinea A47)
EXAMPLE SERVICE ORGANIZATION’S ASSERTIONS
VOORBEELD VAN DE BEWERINGEN VAN DE SERVICEORGANISATIE
The following examples of service organization‟s assertions are for guidance only and are not intended to be exhaustive or applicable to all situations.
De volgende voorbeelden van de beweringen van een serviceorganisatie zijn bestemd als leidraden en dienen niet op uitputtende wijze te worden gebruikt en zijn niet op alle situaties van toepassing.
Example 1: Type 2 Service Organization’s Assertion
Voorbeeld 1: Type 2 bewering van een serviceorganisatie
Assertion by the Service Organization
Bewering door een serviceorganisatie
The accompanying description has been prepared for customers who have used [the type or name of] system and their auditors who have a sufficient understanding to consider the description, along with other information including information about controls operated by customers themselves, when assessing the risks of material misstatements of customers‟ financial statements. [Entity‟s name] confirms that: (a) The accompanying description at pages [bb-cc] fairly presents [the type or name of] system for processing customers‟ transactions throughout the period [date] to [date]. The criteria used in making this assertion were that the accompanying description: (i) Presents how the system was designed and implemented, including: The types of services provided, including, as appropriate, classes of transactions processed. The procedures, within both information technology and manual systems, by which those transactions were initiated, recorded, processed, corrected as necessary, and transferred to the reports prepared for customers. The related accounting records, supporting information and specific accounts that were used to initiate, record, process and report transactions; this includes the correction of incorrect information and how information was transferred to the reports prepared for customers. How the system dealt with significant events and conditions, other than transactions. The process used to prepare reports for customers. Relevant control objectives and controls designed to achieve those objectives. Controls that we assumed, in the design of the system, would be implemented by user entities, and which, if necessary to achieve control objectives stated in the accompanying description, are identified in the description along with the
De bijgaande beschrijving is voor cliënten opgesteld die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd, te beschouwen wanneer zij de risico‟s van afwijkingen van materieel belang van de financiële overzichten van de cliënten inschatten. [Naam van de entiteit] bevestigt dat: (a) De bijgaande beschrijving op de pagina‟s [bb-cc] het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode van [datum] tot [datum] getrouw weergeeft. De criteria waarvan gebruik wordt gemaakt bij het maken van deze bewering hielden in dat de bijgaande beschrijving: (i) Weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van: De soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval de verwerkte transactiestromen. De procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld. De verbonden administratie, de ondersteunende informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initïeren, te verwerken en vast te leggen; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld. Op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld.
36/45
specific control objectives that cannot be achieved by ourselves alone. Other aspects of our control environment, risk assessment process, information system (including the related business processes) and communication, control activities and monitoring controls that were relevant to processing and reporting customers‟ transactions. (ii) Includes relevant details of changes to the service organization‟s system during the period [date] to [date]. (iii) Does not omit or distort information relevant to the scope of the system being described, while acknowledging that the description is prepared to meet the common needs of a broad range of customers and their auditors and may not, therefore, include every aspect of the system that each individual customer may consider important in its own particular environment. The controls related to the control objectives stated in the accompanying description were suitably designed and operated effectively throughout the period [date] to [date]. The criteria used in making this assertion were that: (i) The risks that threatened achievement of the control objectives stated in the description were identified; (ii) The identified controls would, if operated as described, provide reasonable assurance that those risks did not prevent the stated control objectives from being achieved; and (iii) The controls were consistently applied as designed, including that manual controls were applied by individuals who have the appropriate competence and authority, throughout the period [date] to [date].
Example 2: Type 1 Service Organization’s Assertion
Het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten. Relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken. Interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikende entiteiten zouden worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden behaald,, zijn onderkend. Overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen in het kader van het monitoren die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten. (ii) Relevante details bevat van wijzigingen in het system van de serviceorganisatie gedurende de verslagperiode van [datum] tot [datum]. (iii) Geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het system dat is beschreven onderwijl erkennende dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en kan daarom niet ieder aspect van het systeem bevatten dat iedere individuele cliënt in diens eigen bijzonder omgeving belangrijk kan achten. (b) De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet en zij gedurende de verslagperiode van [datum] tot [datum] effectief werkten. De criteria waarvan bij het maken van deze bewering gebruik werd gemaakt hielden in dat : (i) De risico‟s die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld in gevaar brengen, werden onderkend; (ii) De onderkende interne beheersingsmaatregelen zouden, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico‟s het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen; en (iii) De interne beheersingsmaatregelen gedurende de verslagperiode van [datum] tot [datum] consistent zijn toegepast zoals opgezet, met inbegrip van die handmatige interne beheersingsmaatregelen zijn toegepast door personen die de geschikte competentie en bevoegdheid hebben. Voorbeeld 2: Type 1 Bewering van een serviceorganisatie
The accompanying description has been prepared for customers who have used [the type or name of] system and their auditors who have a sufficient understanding to consider the description, along with other information including information about controls operated by customers themselves, when obtaining an understanding of customers‟ information systems relevant to financial reporting. [Entity‟s name] confirms that: (a) The accompanying description at pages [bb-cc] fairly presents [the type or name of] system for processing customers‟ transactions as at [date]. The criteria used in making this assertion were that the accompanying description: (i) Presents how the system was designed and implemented, including: The types of services provided, including, as appropriate, classes of transactions processed. The procedures, within both information technology and manual systems, by which those transactions were initiated, recorded, processed, corrected as
De bijgaande beschrijving is opgesteld voor cliënten die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving te beschouwen, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden beheerd, wanneer zij inzicht verwerven in de informatiesystemen van cliënten die relevant zijn voor financiële verslaggeving. [Naam van de entiteit] bevestigt dat: (a) De bijgaande beschrijving op de pagina‟s [bb-cc] geeft het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode op [datum] getrouw weer. De criteria waarvan gebruik wordt gemaakt bij het maken van deze bewering hielden in dat de bijgaande beschrijving: (i) Weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van: De soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval,
(b)
37/45
APPENDIX 2
de verwerkte transactiestromen. De procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld. De verbonden administratie, die de informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initïeren, verwerken, vast te leggen en rapporteren; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld. Op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld. Het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten. Relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken. Interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikende entiteiten zouden worden geïmplementeerd en die, indien noodzakelijk teneinde de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden behaald zijn onderkend. Overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen betreffende monitoring die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten. (ii) Geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het system dat is beschreven onderwijl erkennende dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en kan daarom niet ieder aspect van het systeem bevatten dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten. (b) De interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet, per [datum]. De criteria waarvan bij het maken van deze bewering gebruik werd gemaakt hielden in dat: (i) De risico‟s die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld werden onderkend; en (ii) De onderkende interne beheersingsmaatregelen zouden, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico‟s het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen. BIJLAGE 2
(Ref. Para. A47)
(Zie: alinea A47)
Example Service Auditor’s Assurance Reports
Voorbeelden van de assurance-rapporten van de accountant van de serviceorganisatie
The following examples of reports are for guidance only and are not intended to be exhaustive or applicable to all situations.
De volgende voorbeelden van rapporten zijn bestemd als leidraden en dienen niet op uitputtende wijze te worden gebruikt en zijn niet op alle situaties van toepassing.
(b)
necessary, and transferred to the reports prepared for customers. The related accounting records, supporting information and specific accounts that were used to initiate, record, process and report transactions; this includes the correction of incorrect information and how information is transferred to the reports prepared customers. How the system dealt with significant events and conditions, other than transactions. The process used to prepare reports for customers. Relevant control objectives and controls designed to achieve those objectives. Controls that we assumed, in the design of the system, would be implemented by user entities, and which, if necessary to achieve control objectives stated in the accompanying description, are identified in the description along with the specific control objectives that cannot be achieved by ourselves alone. Other aspects of our control environment, risk assessment process, information system (including the related business processes) and communication, control activities and monitoring controls that were relevant to processing and reporting customers‟ transactions. (ii) Does not omit or distort information relevant to the scope of the system being described, while acknowledging that the description is prepared to meet the common needs of a broad range of customers and their auditors and may not, therefore, include every aspect of the system that each individual customer may consider important in its own particular environment. The controls related to the control objectives stated in the accompanying description were suitably designed as at [date]. The criteria used in making this assertion were that: (i) The risks that threatened achievement of the control objectives stated in the description were identified; and (ii) The identified controls would, if operated as described, provide reasonable assurance that those risks did not prevent the stated control objectives from being achieved.
38/45
Example 1: Type 2 Service Auditor’s Assurance Report
Voorbeeld 1: Type 2 assurance-rapport van de accountant van de serviceorganisatie.
Independent Service Auditor‟s Assurance Report on the Description of Controls, their Design and Operating Effectiveness
Assurance-rapport van de onafhankelijke accountant van de serviceorganisatie over de beschrijving van interne beheersingsmaatregelen, hun opzet en werking.
To: XYZ Service Organization
Aan: XYZ Serviceorganisatie
Scope
Reikwijdte
We have been engaged to report on XYZ Service Organization‟s description at pages [bb-cc] of its [type or name of] system for processing customers‟ transactions throughout the period [date] to [date] (the description), and on the design and operation of controls related to the control objectives stated in the description35.
Wij hebben opdracht gekregen om te rapporten over de beschrijving van het [het soort of de naam van] systeem voor het verwerken van de transacties van cliënten gedurende de verslagperiode van [datum] tot [datum] van XYZ serviceorganisatie op de pagina‟s [bb-cc] (de beschrijving), en over de opzet en werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld36. Verantwoordelijkheden van XYZ serviceorganisatie
XYZ Service Organization’s Responsibilities XYZ Service Organization is responsible for: preparing the description and accompanying assertion at page [aa], including the completeness, accuracy and method of presentation of the description and assertion; providing the services covered by the description; stating the control objectives; and designing, implementing and effectively operating controls to achieve the stated control objectives. Service Auditor’s Responsibilities Our responsibility is to express an opinion on XYZ Service Organization‟s description and on the design and operation of controls related to the control objectives stated in that description, based on our procedures. We conducted our engagement in accordance with International Standard on Assurance Engagements 3402, “Assurance Reports on Controls at a Service Organization,” issued by the International Auditing and Assurance Standards Board. That standard requires that we comply with ethical requirements and plan and perform our procedures to obtain reasonable assurance about whether, in all material respects, the description is fairly presented and the controls are suitably designed and operating effectively. An assurance engagement to report on the description, design and operating effectiveness of controls at a service organization involves performing procedures to obtain evidence about the disclosures in the service organization‟s description of its system, and the design and operating effectiveness of controls. The procedures selected depend on the service auditor‟s judgment, including the assessment of the risks that the description is not fairly presented, and that controls are not suitably designed or operating effectively. Our procedures included testing the operating effectiveness of those controls that we consider necessary to provide reasonable assurance that the control objectives stated in the description were achieved. An assurance engagement of this type also includes evaluating the overall presentation of the description, the suitability of the objectives stated therein, and the suitability of the criteria specified by the service organization and described at page [aa].
35 36
XYZ serviceorganisatie is verantwoordelijk voor: het opstellen van de beschrijving en bijgaande bewering op pagina [aa], met inbegrip van de volledigheid, het accuraat zijn en methode van het weergeven van de beschrijving en bewering; het verlenen van diensten die door de beschrijving worden omvat; het vermelden van de interne beheersingsdoelstellingen; opzet, bestaan en effectieve werking van interne beheersingsmaatregelen om de vermelde interne beheersingsdoelstellingen te bereiken. Verantwoordelijkheden van de accountant van de serviceorganisatie Onze verantwoordelijkheid is, op basis van onze werkzaamheden, het geven van een oordeel over de beschrijving van XYZ serviceorganisatie en over de opzet en werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld. We hebben onze opdracht overeenkomstig Standaard 3402 “Assurancerapporten over interne beheersingsmaatregelen bij een serviceorganisatie” uitgevoerd. Op grond van die standaard wordt er van ons vereist dat wij de ethische voorschriften naleven en onze werkzaamheden plannen en uitvoeren om een redelijke mate van zekerheid te verkrijgen over de vraag of, in alle van materieel belang zijnde opzichten, de beschrijving getrouw is weergegeven en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en effectief werken. Een assurance-opdracht om over de beschrijving, opzet en werking van interne beheersingsmaatregelen bij een serviceorganisatie te rapporteren omvat het uitvoeren van werkzaamheden teneinde informatie te verkrijgen over de toelichtingen in de beschrijving van de serviceorganisatie van haar systeem en de opzet en werking van interne beheersingsmaatregelen. De geselecteerde werkzaamheden zijn afhankelijk van de beoordeling van de accountant van de serviceorganisatie, met inbegrip van het inschatten van de risico‟s dat de beschrijving niet getrouw is weergegeven en dat interne beheersingsmaatregelen niet op afdoende wijze zijn opgezet of effectief werken. Onze werkzaamheden bevatten het toetsen van de werking van die interne beheersingsmaatregelen die wij noodzakelijk achten bij het verschaffen van een redelijke mate van zekerheid dat de interne beheersingsdoelstellingen die in de beschrijving staan vermeld werden bereikt. Een assurance-opdracht van dit type omvat ook een evaluatie van de algehele weergave van de beschrijving, de geschiktheid van de doelstellingen die erin staan vermeld en de geschiktheid van de criteria die door de serviceorganisatie zijn gespecificeerd en beschreven staan op pagina [aa].
If some elements of the description are not included in the scope of the engagement, this is made clear in the assurance report. Indien sommige elementen van de beschrijving niet bij de reikwijdte van de opdracht zijn inbegrepen, wordt dit in het assurance-rapport duidelijk gemaakt.
39/45
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our opinion.
Wij zijn ervan overtuigd dat de door ons verkregen informatie voldoende en geschikt is om daarop ons oordeel te baseren.
Limitations of Controls at a Service Organization
Beperkingen van interne beheersingsmaatregelen bij een serviceorganisatie
XYZ Service Organization‟s description is prepared to meet the common needs of a broad range of customers and their auditors and may not, therefore, include every aspect of the system that each individual customer may consider important in its own particular environment. Also, because of their nature, controls at a service organization may not prevent or detect all errors or omissions in processing or reporting transactions. Also, the projection of any evaluation of effectiveness to future periods is subject to the risk that controls at a service organization may become inadequate or fail.
De beschrijving van XYZ serviceorganisatie is opgezet om aan de algemene behoeftes van een brede groep van cliënten en hun accountants te voldoen en kan daarom niet ieder aspect van het systeem dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten, bevatten. Bovendien kunnen interne beheersingsmaatregelen bij een serviceorganisatie, vanwege hun aard, niet alle fouten of omissies bij het verwerken of rapporteren van transacties voorkomen of ontdekken. Bovendien is de projectie van een eventuele evaluatie van de effectiviteit van toekomstige verslagperiodes onderhevig aan het risico dat interne beheersingsmaatregelen bij een serviceorganisatie inadequaat kunnen worden of falen. Oordeel
Opinion Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion are those described at page [aa]. In our opinion, in all material respects: (a) The description fairly presents the [the type or name of] system as designed and implemented throughout the period from [date] to [date]; (b) The controls related to the control objectives stated in the description were suitably designed throughout the period from [date] to [date]; and (c) The controls tested, which were those necessary to provide reasonable assurance that the control objectives stated in the description were achieved, operated effectively throughout the period from [date] to [date].
Description of Tests of Controls
Ons oordeel is gevormd op basis van de aangelegenheden die in deze rapportage uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn de criteria die staan beschreven op pagina [aa]. Naar ons oordeel, in alle van materieel belang zijnde opzichten: (a) Geeft de beschrijving het [het soort of de naam] systeem getrouw weer zoals deze gedurende de verslagperiode van [datum] tot [datum]is opgezet en geïmplementeerd; (b) Zijn de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld gedurende de verslagperiode van [datum] tot [datum]op afdoende wijze opgezet; en (c) Werkten de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving vermeld stonden, waren bereikt gedurende de verslagperiode van [datum] tot [datum] effectief. Beschrijving van getoetste interne beheersingsmaatregelen
The specific controls tested and the nature, timing and results of those tests are listed on pages [yy-zz].
De specifieke getoetste interne beheersingsmaatregelen en de aard, timing en resultaten van die toetsingen zijn opgenomen op pagina‟s [yy-zz].
Intended Users and Purpose
Beoogde gebruikers en doel
This report and the description of tests of controls on pages [yy-zz] are intended only for customers who have used XYZ Service Organization‟s [type or name of] system, and their auditors, who have a sufficient understanding to consider it, along with other information including information about controls operated by customers themselves, when assessing the risks of material misstatements of customers‟ financial statements.
Deze rapportage en de beschrijving van toetsingen van interne beheersingsmaatregelen op pagina‟s [yy-zz] zijn alleen voor cliënten die gebruik hebben gemaakt van het [het soort of naam van] systeem van de XYZ serviceorganisatie en hun accountants, die voldoende inzicht hebben om het te beschouwen, bedoeld samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door cliënten zelf worden uitgevoerd bij het inschatten van de risico‟s op afwijkingen van het materieel belang in de financiële overzichten van de cliënten.
40/45
[Service auditor’s signature]
[Handtekening van accountant van de serviceorganisatie]
[Date of the service auditor’s assurance report]
[Datum van het assurance-rapport van de accountant van de serviceorganisatie]
[Service auditor’s address]
[Het adres van de accountant van de serviceorganisatie]
Example 2: Type 1 Service Auditor’s Assurance Report
Voorbeeld 2: Type 1 assuranceraport van de accountant van de serviceorganisatie
Independent Service Auditor’s Assurance Report on the Description of Controls and their Design To: XYZ Service Organization
Assurance-rapport van de onafhankelijke accountant van de serviceorganisatie over de beschrijving van interne beheersingsmaatregelen en hun opzet Aan XYZ Serviceorganisatie
Scope
Reikwijdte
We have been engaged to report on XYZ Service Organization‟s description at pages [bb-cc] of its [type or name of] system for processing customers‟ transactions as at [date] (the description), and on the design of controls related to the control objectives stated in the description 37.
Wij hebben opdracht gekregen om te rapporten over de beschrijving van het [het soort of de naam van] systeem voor het verwerken van de transacties van klanten gedurende de verslagperiode op [datum] van XYZ serviceorganisatie op de pagina‟s [bb-cc] (de beschrijving), en over de opzet van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld38. Wij hebben geen werkzaamheden uitgevoerd met betrekking tot de werking van interne beheersingsmaatregelen die bij de beschrijving zijn inbegrepen en brengen daarover geen oordeel tot uitdrukking. Verantwoordelijkheden van XYZ Serviceorganisatie
We did not perform any procedures regarding the operating effectiveness of controls included in the description and, accordingly, do not express an opinion thereon. XYZ Service Organization’s Responsibilities XYZ Service Organization is responsible for: preparing the description and accompanying assertion at page [aa], including the completeness, accuracy and method of presentation of the description and the assertion; providing the services covered by the description; stating the control objectives; and designing, implementing and effectively operating controls to achieve the stated control objectives. Service Auditor’s Responsibilities Our responsibility is to express an opinion on XYZ Service Organization‟s description and on the design of controls related to the control objectives stated in that description, based on our procedures. We conducted our engagement in accordance with International Standard on Assurance Engagements 3402, “Assurance Reports on Controls at a Service Organization,” issued by the International Auditing and Assurance Standards Board. That standard requires that we comply with ethical requirements and plan and perform our procedures to obtain reasonable assurance about whether, in all material respects, the description is fairly presented and the controls are suitably designed in all material respects. An assurance engagement to report on the description and design of controls at a service organization involves performing procedures to obtain evidence about the disclosures in the service organization‟s description of its system, and the design of controls. The procedures selected depend on the service auditor‟s judgment, including the assessment that the description is not fairly presented, and that controls are not suitably designed. An assurance engagement of this type also includes evaluating the 37 38
XYZ serviceorganisatie is verantwoordelijk voor: het opstellen van de beschrijving en bijgaande bewering op pagina [aa], met inbegrip van de volledigheid, het accuraat zijn en methode van het weergeven van de beschrijving en de bewering; het verlenen van diensten die door de beschrijving worden omvat; het vermelden van de interne beheersingsdoelstellingen; opzet, bestaan en effectieve werking van interne beheersingsmaatregelen om de vermelde interne beheersingsdoelstellingen te bereiken. Verantwoordelijkheden van de accountant van de serviceorganisatie Onze verantwoordelijkheid is, op basis van onze werkzaamheden, het geven van een oordeel over de beschrijving van XYZ serviceorganisatie en over de opzet en werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld. We hebben onze opdracht overeenkomstig Standaard 3402 “Assurancerapporten over interne beheersingsmaatregelen bij een serviceorganisatie” uitgevoerd. Op grond van die standaard wordt er van ons vereist dat wij de ethische voorschriften naleven en onze werkzaamheden plannen en uitvoeren om een redelijke mate van zekerheid te verkrijgen over de vraag of de beschrijving getrouw is weergegeven en de interne beheersingsmaatregelen, in alle van materieel belang zijnde opzichten, op afdoende wijze zijn opgezet. Een assurance-opdracht om te rapporteren over de beschrijving en opzet van interne beheersingsmaatregelen bij een serviceorganisatie omvat het uitvoeren van werkzaamheden teneinde informatie over de toelichtingen in de beschrijving van de serviceorganisatie van haar systeem en de opzet van interne beheersingsmaatregelen te verkrijgen. De geselecteerde werkzaamheden zijn afhankelijk van de beoordeling van de accountant van de serviceorganisatie, met inbegrip van het
If some elements of the description are not included in the scope of the engagement, this is made clear in the assurance report. Indien sommige elementen van de beschrijving niet bij de reikwijdte van de opdracht zijn inbegrepen, wordt dit in het assurance-rapport duidelijk gemaakt.
41/45
overall presentation of the description, the suitability of the control objectives stated therein, and the suitability of the criteria specified by the service organization and described at page [aa].
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our opinion.
vaststellen dat de beschrijving niet getrouw is weergegeven en dat interne beheersingsmaatregelen niet op afdoende wijze zijn opgezet. Een assurance-opdracht van dit type omvat ook het evalueren van de algehele weergave van de beschrijving, de geschiktheid van de interne beheersingsdoelstellingen die daarin staan vermeld en de geschiktheid van de criteria die door de serviceorganisatie zijn gespecificeerd en die staan beschreven op pagina [aa]. Zoals hierboven staat vermeld, hebben wij geen werkzaamheden met betrekking tot de werking van interne beheersingsmaatregelen die bij de beschrijving waren inbegrepen uitgevoerd en, overeenkomstig, hebben wij daar geen oordeel over tot uitdrukking gebracht. Wij zijn ervan overtuigd dat de door ons verkregen informatie voldoende en geschikt is om daarop ons oordeel te baseren.
Limitations of Controls at a Service Organization
Beperkingen van interne beheersingsmaatregelen bij een serviceorganisatie
XYZ Service Organization‟s description is prepared to meet the common needs of a broad range of customers and their auditors and may not, therefore, include every aspect of the system that each individual customer may consider important in its own particular environment. Also, because of their nature, controls at a service organization may not prevent or detect all errors or omissions in processing or reporting transactions. Opinion
De beschrijving van XYZ serviceorganisatie is opgezet om aan de algemene behoeftes van een brede groep van cliënten en hun accountants te voldoen en kan daarom niet ieder aspect van het systeem dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten, bevatten. Bovendien kunnen interne beheersingsmaatregelen bij een serviceorganisatie, vanwege hun aard, niet alle fouten of omissies bij het verwerken of rapporteren van transacties voorkomen of ontdekken. Oordeel
Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion are those described at page [aa]. In our opinion, in all material respects: (a) The description fairly presents the [the type or name of] system as designed and implemented as at [date]; and (b) The controls related to the control objectives stated in the description were suitably designed as at [date].
Ons oordeel is gevormd op basis van de aangelegenheden die in deze rapportage uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn degenen die staan beschreven op pagina [aa]. Naar ons oordeel, in alle van materieel belang zijnde opzichten: (a) Geeft de beschrijving het [het soort of de naam van] systeem getrouw weer zoals deze per [datum] is opgezet en geïmplementeerd; (b) Zijn de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld op [datum] op afdoende wijze opgezet. Beoogde gebruikers en doel
As noted above, we did not perform any procedures regarding the operating effectiveness of controls included in the description and, accordingly, do not express an opinion thereon.
Intended Users and Purpose This report is intended only for customers who have used XYZ Service Organization‟s [type or name of] system, and their auditors, who have a sufficient understanding to consider it, along with other information including information about controls operated by customers themselves, when obtaining an understanding of customers‟ information systems relevant to financial reporting. [Service auditor’s signature]
Deze rapportage is alleen voor cliënten die gebruik hebben gemaakt van het [het soort of naam van] systeem van de XYZ serviceorganisatie en hun accountants, die voldoende inzicht hebben om het te beschouwen, bedoeld samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door cliënten zelf worden uitgevoerd bij het verwerven van inzicht in de informatiesystemen van cliënten die relevant zijn voor financiële verslaggeving. [Handtekening van de accountant van de serviceorganisatie]
[Date of the service auditor’s assurance report]
[Datum van het assurance-rapport van de accountant van de serviceorganisatie]
[Service auditor’s address]
[Het adres van de accountant van de serviceorganisatie]
Appendix 3
Bijlage 3
(Ref. Para. A50)
(Zie: alinea A50)
Example Modified Service Auditor’s Assurance Reports
Voorbeeld aangepast assurance-rapport van de accountant van de serviceorganisatie
The following examples of modified reports are for guidance only and are not intended to be exhaustive or applicable to all situations. They are based on the examples of reports in Appendix 2.
De volgende voorbeelden van aangepaste rapporten zijn bestemd als leidraden en zijn niet uitputtend of van toepassing op alle situaties. Zij zijn gebaseerd op de voorbeelden van rapportages in Bijlage 2.
42/45
Example 1: Qualified opinion – the service organization’s description of the system is not fairly presented in all material respects
Voorbeeld 1: Oordeel met beperking – de beschrijving van het systeem van de serviceorganisatie is niet getrouw weergegeven in alle van materieel belang zijnde opzichten
…
…
Service Auditor’s Responsibilities
Verantwoordelijkheden van de accountant van de serviceorganisatie
…
…
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our qualified opinion.
We zijn ervan overtuigd dat de door ons verkregen informatie voldoende en geschikt is om daarop ons oordeel met beperking te baseren.
Basis for Qualified Opinion
Onderbouwing van het oordeel met beperking
The accompanying description states at page [mn] that XYZ Service Organization uses operator identification numbers and passwords to prevent unauthorized access to the system. Based on our procedures, which included inquiries of staff personnel and observation of activities, we have determined that operator identification numbers and passwords are employed in Applications A and B but not in Applications C and D. Qualified Opinion
De bijgaande beschrijving vermeldt op pagina [mn] dat XYZ serviceorganisatie gebruik maakt van operator identificatienummers en wachtwoorden om onbevoegde toegang tot het systeem te voorkomen. Op basis van onze werkzaamheden, die onder meer onderzoek van het stafpersoneel en waarneming van activiteiten inhouden, hebben wij bepaald dat operator identificatienummers en wachtwoorden in Applicatie A en B, maar niet in Applicatie C en D worden gebruikt. Oordeel met beperking
Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion were those described in XYZ Service Organization‟s assertion at page [aa]. In our opinion, except for the matter described in the Basis for Qualified Opinion paragraph:
Ons oordeel is gevormd op de basis van de aangelegenheden die in deze rapportage uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel waren degenen die in de bewering op pagina [aa] van XYZ serviceorganisatie beschreven staan. Naar ons oordeel, behalve voor de aangelegenheid die in de paragraaf „Onderbouwing van het oordeel met beperking‟ staat beschreven (a) …
(a)
…
Example 2: Qualified opinion – the controls are not suitably designed to provide reasonable assurance that the control objectives stated in the service organization’s description of its system will be achieved if the controls operate effectively …
Voorbeeld 2: Oordeel met beperking – de interne beheersingsmaatregelen zijn niet op afdoende wijze opgezet om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, bereikt zullen worden indien de interne beheersingsmaatregelen effectief werken. …
Service Auditor’s Responsibilities
Verantwoordelijkheden van de accountant van de serviceorganisatie
…
…
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our qualified opinion.
We zijn ervan overtuigd dat de door ons verkregen informatie voldoende en geschikt is om daarop ons oordeel met beperking te baseren.
Basis for Qualified Opinion
Basis voor een oordeel met beperking
As discussed at page [mn] of the accompanying description, from time to time XYZ Service Organization makes changes in application programs to correct deficiencies or to enhance capabilities. The procedures followed in determining whether to make changes, in designing the changes and in implementing them, do not include review and approval by authorized individuals who are independent from those involved in making the changes. There are also no specified requirements to test such changes or provide test results to an authorized reviewer prior to implementing the changes.
Zoals op pagina [mn] van de bijgaande beschrijving wordt besproken, brengt de XYZ serviceorganisatie zo nu en dan wijzigingen aan in applicatieprogramma‟s om tekortkomingen te corrigeren of om capaciteiten te verbeteren. De procedures die worden gevolgd bij het bepalen of er wijzigingen moeten worden aangebracht, bij het opstellen van de wijzigingen en het implementeren ervan, houden geen beoordeling en goedkeuring in door bevoegde personen die onafhankelijk zijn van de personen die betrokken zijn bij het aanbrengen van die wijzigingen. Er bestaan geen gespecificeerde vereisten om dergelijke wijzigingen te toetsen of om de toetsingsresultaten aan een
43/45
bevoegde beoordelaar te verschaffen voordat de wijzigingen worden geïmplementeerd. Qualified Opinion
Oordeel met beperking
Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion were those described in XYZ Service Organization‟s assertion at page [aa]. In our opinion, except for the matter described in the Basis for Qualified Opinion paragraph:
Ons oordeel is gevormd op basis van de aangelegenheden die in deze rapportage uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn degenen die in de bewering van de XYZ serviceorganisatie op pagina [aa] zijn beschreven. Naar ons oordeel, behalve voor de aangelegenheid die in de paragraaf „Onderbouwing van het oordeel met beperking‟ staat beschreven: (a) …
(a)
…
Example 3: Qualified opinion – the controls did not operate effectively throughout the specified period (type 2 report only)
Voorbeeld 3: Oordeel met beperking – de interne beheersingsmaatregelen werkten gedurende de gespecificeerde verslagperiode niet effectief (alleen type 2 rapport)
…
…
Service Auditor’s Responsibilities
Verantwoordelijkheden van de accountant van de serviceorganisatie
…
…
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our qualified opinion.
We zijn ervan overtuigd dat de door ons verkregen informatie voldoende en geschikt is om daarop ons oordeel met beperking te baseren.
Basis for Qualified Opinion
Onderbouwing voor oordeel met beperking
XYZ Service Organization states in its description that it has automated controls in place to reconcile loan payments received with the output generated. However, as noted at page [mn] of the description, this control was not operating effectively during the period from dd/mm/yyyy to dd/mm/yyyy due to a programming error. This resulted in the non-achievement of the control objective “Controls provide reasonable assurance that loan payments received are properly recorded” during the period from dd/mm/yyyy to dd/mm/yyyy. XYZ implemented a change to the program performing the calculation as of [date], and our tests indicate that it was operating effectively during the period from dd/mm/yyyy to dd/mm/yyyy.
XYZ serviceorganisatie vermeldt in haar beschrijving dat zij geautomatiseerde interne beheersingsmaatregelen heeft die geschikt zijn om ontvangen uitbetalingen van loon met de gegenereerde output overeen te stemmen. Zoals echter genoemd op pagina [mn] van de beschrijving, werkte deze interne beheersingsmaatregel gedurende de verslagperiode van dd/mm/jjjj tot dd/mm/jjjj niet effectief als gevolg van een fout in het programma. Dit resulteerde in het niet-behalen van de interne beheersingsdoelstelling “Interne beheersingsmaatregelen verschaffen een redelijke mate van zekerheid dat de ontvangen uitbetalingen van loon behoorlijk worden vastgelegd” gedurende de verslagperiode van dd/mm/jjjj tot dd/mm/jjjj XYZ heeft een wijziging in het programma geïmplementeerd bij het uitrekenen per [datum] en onze toetsingen wijzen erop dat het gedurende de verslagperiode van dd/mm/jjjj tot dd/mm/jjjj effectief werkte. Oordeel met beperking
Qualified Opinion Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion were those described in XYZ Service Organization‟s assertion at page [aa]. In our opinion, except for the matter described in the Basis for Qualified Opinion paragraph: …
Ons oordeel is gevormd op basis van de aangelegenheden die in deze rapportage uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn de criteria die in de bewering van de XYZ serviceorganisatie op pagina [aa] zijn beschreven. In ons oordeel, behalve voor de aangelegenheid die in de paragraaf „Onderbouwing van het oordeel met beperking‟, staat beschreven: …
Example 4: Qualified opinion – the service auditor is unable to obtain sufficient appropriate evidence …
Voorbeeld 4: Oordeel met beperking – de accountant van de serviceorganisatie is niet in staat tot het verkrijgen van voldoende en geschikte informatie …
44/45
Service Auditor’s Responsibilities
Verantwoordelijkheden van de accountant van de serviceorganisatie
…
…
We believe that the evidence we have obtained is sufficient and appropriate to provide a basis for our qualified opinion.
We zijn ervan overtuigd dat de door ons verkegen informatie voldoende en geschikt is om daarop ons oordeel met beperking te baseren.
Basis for Qualified Opinion
Basis voor oordeel met beperking
XYZ Service Organization states in its description that it has automated controls in place to reconcile loan payments received with the output generated. However, electronic records of the performance of this reconciliation for the period from dd/mm/yyyy to dd/mm/yyyy were deleted as a result of a computer processing error, and we were therefore unable to test the operation of this control for that period. Consequently, we were unable to determine whether the control objective “Controls provide reasonable assurance that loan payments received are properly recorded” operated effectively during the period from dd/mm/yyyy to dd/mm/yyyy.
XYZ serviceorganisatie vermeldt in haar beschrijving dat zij geautomatiseerde interne beheersingsmaatregelen heeft die geschikt zijn om ontvangen uitbetalingen van loon met de gegenereerde output overeen te stemmen. De elektronische vastleggingen van de uitvoering van deze aansluiting voor de verslagperiode van dd/mm/jjjj tot dd/mm/jjjj zijn als resultaat van een computerverwerkingfout verwijderd en om die reden waren wij niet in staat de werking van deze interne beheersingsmaatregel voor die verslagperiode te toetsen. Bijgevolg waren wij niet in staat te bepalen of de interne beheersingsdoelstelling “Interne beheersingsmaatregelen verschaffen een redelijke mate van zekerheid dat de ontvangen uitbetalingen van loon behoorlijk worden vastgelegd” gedurende de verslagperiode van dd/mm/jjjj tot dd/mm/jjjj effectief werkte. Oordeel met beperking
Qualified Opinion Our opinion has been formed on the basis of the matters outlined in this report. The criteria we used in forming our opinion were those described in XYZ Service Organization‟s assertion at page [aa]. In our opinion, except for the matter described in the Basis for Qualified Opinion paragraph: (a)
…
Ons oordeel is gevormd op basis van de aangelegenheden die in de rapportages uiteen zijn gezet. De criteria waarvan wij gebruik hebben gemaakt bij het vormen van ons oordeel zijn degenene die in de bewering van de XYZ serviceorganisatie op pagina [aa]. Naar ons oordeel, behalve voor de aangelegenheid die in de paragraaf „Onderbouwing van het oordeel met beperking‟ staat beschreven: (a) … 13-21.]
45/45
