ISAE 3402 en de internal auditor

ISAE 3402 en de internal auditor Praktijkhandreiking

Instituut van Internal Auditors Nederland

ISAE 3402 en de internal auditor Praktijkhandreiking

Instituut van Internal Auditors Nederland

Disclosure Het IIA publiceert dit document voor informatieve en educatieve doeleinden. Deze praktijkhandreiking is niet bedoeld om definitieve antwoorden te geven voor specifieke individuele omstandigheden en is als zodanig slechts bedoeld als gids. IIA beveelt aan om altijd onafhankelijk deskundig advies in te winnen omtrent een specifieke situatie. Het IIA accepteert geen verantwoordelijkheid voor eenieder die uitsluitend vertrouwt op deze handreiking.

Copyright Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor reproductie kunt u per e-mailaanvragen bij IIA via [email protected].

Voorwoord De missie van IIA Nederland is om het beroep en vak “internal audit” in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal auditfunctie. Wij stellen ons ten doel de internal auditor op de hoogte te houden van de nieuwste ontwikkelingen binnen het vakgebied, zodat hij of zij daar vaktechnisch goed op in kan spelen. Begin 2008 hebben wij een praktijkhandreiking uitgebracht onder de titel “SAS 70 en de interne auditor”. Nu de ISAE (International Standard on Assurance Engagements) 3402 per 15 juni 2011 het oude SAS 70 rapport heeft vervangen was er voor IIA Nederland alle aanleiding tot een update te komen. Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep hier invulling aan gegeven, resulterend in een nieuwe praktijkhandreiking “ ISAE 3402 en de internal auditor”. De werkgroep ISAE 3402 bestond uit René Ewals, Jan Ite Muller, Bas van Meegeren, Nicolette Nuijs (voorzitter) en Dennis Stabel. Wij willen de werkgroepleden bedanken voor hun inzet om de leden van IIA Nederland bekend te maken met de gevolgen van de nieuwe ISAE-standaard voor de internal auditor. Wij bevelen kennisneming van de inhoud van deze praktijkhandreiking van harte aan.

drs. Sander Weisz RO CIA CCSA Voorzitter IIA Nederland

drs. Harrie de Poot RA Bestuurslid IIA Nederland

IIA werkgroep ISAE 3402 drs. René Ewals RE Jan Ite Muller RA RE drs. Bas van Meegeren RA RO CIA drs. Nicolette Nuijs RA (voorzitter) drs. Dennis Stabel RE CIA 5

Inhoud 1. Inleiding 2. 2.1 2.2 2.3 2.4 2.5 2.6 2.7

ISAE 3402 De aanleiding: uitbesteding De oorsprong ISAE 3402 rapport: kenmerken en de inhoud ISAE 3402: rollen en verantwoordelijkheden ISAE 3402: huidig en toekomstig gebruik ISAE 3402 alternatieven ISAE 3402 versus SSAE 16

8 10 11 11 11 13 14 14 15

3. ISAE 3402 bij de gebruikersorganisatie:  rollen van de internal auditor 3.1 Inleiding 3.2 Rollen internal auditor van de gebruikersorganisatie 3.2.1 Ex ante (voorafgaand aan het ISAE 3402 rapport) 3.2.2 Tijdens (ISAE 3402 rapport ontvangen) 3.2.3 Ex-post (na ontvangst ISAE 3402 rapport)

16

4. ISAE 3402 bij de serviceorganisatie:  rollen van de internal auditor 4.1 Inleiding 4.2 Rollen internal auditor van de serviceorganisatie 4.2.1 Ex-ante (voorafgaand aan het ISAE 3402 rapport) 4.2.2 Tijdens (ISAE 3402 traject) 4.2.3 Ex-post (na afgifte ISAE 3402 rapport) 4.3 Enkele praktische vraagstukken 4.3.1 Onderuitbesteding 4.3.2 Generiek of maatwerk? 4.3.3 Gebruikerskring 4.3.4 Gecertificeerde auditor

24

Bijlage 1 ISAE 3402 vergeleken

35

Bijlage 2 ‘Sound practice’ voor bewoordingen  in ISAE 3402 rapporten

38

17 17 18 21 23

25 25 25 28 32 32 32 33 34 34

Literatuur41

7

Uitbesteding van bedrijfsprocessen heeft de afgelopen tien jaar wereldwijd een enorme vlucht genomen. De eindverantwoordelijkheid voor de uitbestede processen blijft echter rusten bij de bestuurders van de uitbesteder. Met de invoering van de Sarbanes Oxley wetgeving in 2002 is dit nog verder geformaliseerd. Deze wetgeving heeft ook de wereldwijde maatschappelijke tendens naar het afleggen van verantwoording verstevigd. Steeds vaker wordt de vraag gesteld of een serviceorganisatie aantoonbaar de processen beheerst (‘in control’ is).

1. Inleiding

Om te kunnen aantonen dat een serviceorganisatie de processen beheerst, wordt veel gebruik gemaakt van de Amerikaanse standaard SAS 70, waarover IIA Nederland in 2008 een praktijkhandreiking heeft geschreven. Inmiddels heeft de IAASB (als onderdeel van IFAC) een nieuwe wereldstandaard gepubliceerd, die de SAS 70 standaard1 vervangt: ‘ISAE (International Standard on Assurance Engagements) 3402, Assurance reports on controls at service organizations’. De vertaling daarvan in de Nederlandse regelgeving bij NOREA en NBA2 heeft geresulteerd in de Richtlijn respectievelijk Standaard3 ‘Assurancerapporten betreffende interne beheersmaatregelen bij een serviceorganisatie’. Met de invoering van deze nieuwe ISAE 3402 is een aantal wijzigingen doorgevoerd die een impact kunnen hebben op de wijze waarop de audit wordt uitgevoerd, maar ook op de rol van de internal auditor. Zo wordt meer aandacht geschonken aan de verantwoordelijkheid van de bestuurder van de serviceorganisatie en wordt ook de rol van de internal auditor expliciet onderdeel van de rapportage. Ook bij de nieuwe ISAE 34024 bestaan mogelijkheden om als internal auditor een goede bijdrage te leveren aan de kwaliteit van de interne beheersing. In deze praktijkhandreiking, die de bestaande handreiking over SAS 70 vervangt, besteden wij niet alleen aandacht aan de verschillen en overeenkomsten tussen beide standaarden, doch werken die ook uit naar praktische modellen. Hierbij hebben wij getracht om de onderdelen die niet feitelijk wijzigen, zoveel mogelijk intact te laten. In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van ISAE 3402. In de hoofdstukken 3 en 4 worden de rollen van de internal auditor in een ISAE 3402 traject bij respectievelijk de gebruikersorganisatie en de serviceorganisatie verder uitgewerkt.

In de Verenigde Staten is op basis van ISAE 3402 een nieuwe eigen standaard gemaakt, de SSAE 16 (Statement on Standards for Attestation Engagement, “Reporting on controls at a Service Organization). NIVRA is per 1 januari 2011 samengegaan met het NOVAA, waarbij de naamgeving vooruitlopend op de formele fusie is veranderd in NBA (Nederlandse Beroepsorganisatie van Accountants). 3 NOREA en NBA hebben een gezamenlijke vertaling gemaakt van ISAE 3402. NOREA heeft het definitieve stuk genoemd “Richtlijn 3402” en het NBA “COS 3402”. In deze publicatie wordt het geheel steeds met “ISAE 3402” aangeduid. 4 Geldig voor assurancerapporten de betrekking hebben op verslagperiodes eindigend op of na 15 juni 2011. 1

2

9

2.1 De aanleiding: uitbesteding Uitbesteding heeft geleid tot een nieuwe indeling van organisaties: zij die uitbesteden (de gebruikersorganisaties) en zij die de uitbestede services voor hun rekening nemen (de serviceorganisaties). Zowel bedrijfsprocessen als IT-processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de IT-systemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele bedrijfs- en administratieve processen uitbesteed, inclusief IT.

2. ISAE 3402

Bij uitbesteding blijft de gebruikersorganisatie onverminderd verantwoordelijk voor de uitbestede processen. Ook voor het uitbestede gedeelte moet de gebruikersorganisatie aantoonbaar kunnen voldoen aan de eisen die daaraan worden gesteld: • Externe accountant: wanneer het uitbestede proces is gekoppeld aan relevante posten van de jaarrekening, heeft de externe accountant voor de jaarrekeningcontrole van de gebruikersorganisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de serviceorganisatie. • Toezichthouders: financiële instellingen hebben te maken met specifieke eisen van toezichthouders, bijvoorbeeld Solvency II, Bazel III. De serviceorganisatie moet dus op zoek naar een middel om de informatiebehoefte van de gebruikersorganisatie in te vullen. Een geschikt middel is de ISAE 3402, die hierin de veelgebruikte standaard SAS 70 opvolgt.

2.2 De oorsprong Het ISAE 3402 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een communicatiemiddel tussen de externe accountant van de gebruikersorganisatie en de externe auditor van de serviceorganisatie onderling in een situatie van uitbesteding: de auditor van de serviceorganisatie verstrekt met het rapport assurance aan de accountant van de gebruikersorganisatie. Dit rapport moet worden opgesteld conform de richtlijnen van ISAE 3402. Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar een assurancerapportage met COS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie’. De oorspronkelijke ISAE 3402 standaard is inmiddels vertaald in het Nederlands en verankerd in de regelgeving van NOREA en NIVRA, in respectievelijk Richtlijn 3402 en COS 3402.

2.3 ISAE 3402 rapport: kenmerken en de inhoud ISAE 3402 is geen normenkader, het betreft voorschriften voor de audit en de rapportage (rapportageformat) waarbij de opsteller zelf zijn normenset en beheersmaatregelen kiest (de 11

2.4 ISAE 3402: rollen en verantwoordelijkheden Het ‘spelersveld’ van ISAE 3402 is als volgt in beeld gebracht:

De belangrijkste kenmerken5 van het ISAE 3402 rapport zijn: • Het betreft een assurancerapport, waarin een conclusie wordt getrokken met ‘redelijke zekerheid’; • Het rapport gaat over uitbestede processen, de beheersdoelstellingen en de beheersmaatregelen die nodig zijn om deze doelstellingen te realiseren; • De beschreven processen en beheersmaatregelen moeten relevant zijn voor de jaarrekening van de gebruikersorganisatie; • Het rapport beschrijft veelal zowel bedrijfsprocessen als IT; • Het rapport heeft een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toestemming van de externe auditor, die de mededeling heeft verstrekt. Een ISAE 3402 rapport bevat de volgende onderdelen: • De mededeling van het verantwoordelijke management van de serviceorganisatie; • De mededeling van een externe auditor naar aanleiding van de audit op het ISAE 3402 rapport. Deze mededeling wordt in sectie I van het rapport opgenomen; • De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau (‘de COSO componenten Control Environment, Risk Assessment, Information & Communication en Monitoring’). Vaak wordt dit sectie II van het rapport genoemd; • De beschrijving van de processen van de serviceorganisatie, de beheersdoelstellingen (‘control objectives’) en beheersmaatregelen (‘controls’). Deze zijn vaak opgenomen in sectie III; • Een beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede processen maar de verantwoordelijkheid zijn van de gebruikersorganisatie (user control considerations); • In geval van type II: De beschrijving van door de externe auditor uitgevoerde testwerkzaamheden en de uitkomsten daarvan; • Naast de bovenstaande verplichte onderdelen kan een onderdeel ‘Overige informatie’ aan het rapport worden toegevoegd, waarin belangrijke recente ontwikkelingen of bijvoorbeeld maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe auditor geen mededeling.

Bedrijfsproces A Bedrijfsproces B

IT Applicaties

IT Infrastructuur

Internal Audit Serviceorganisatie

IT Infrastructuur

Internal Audit Gebruikersorganisatie

IT Applicaties

externe auditor toetst overigens wel de toereikendheid van de reikwijdte, de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen en passen bij de processen die onderdeel zijn van de reikwijdte). Er wordt onderscheid gemaakt in twee typen rapportages: type I over opzet en bestaan en type II over opzet en de werking van beheersmaatregelen over een bepaalde periode.

3.2 Bal ans

Jaarrekening

(na best

ACTIEF

per 31

emming/

decemb

verwerkin

Vlottend e activ a Vorderin gen Debiteur en Overige vordering en en over

2009 activa 130.257 37.986 168.243

3.3 Rek eni

ng van

Baten

baten

en last

en (alle

bedragen

Goedg door d ekeurd e aud itor

Resultaa

t boekjaa

16.934 13.415 100.498 127.760 258.607 680.642

2010

43.042 2.538 49.913 33.857 620.206 0 749.556

15.122 7.672 22.794

r

IIA Jaarv

erslag 2010.

indd 29

de jaarre kening 2010 .

2009 307.680 87.581 72.166 117.538 60.491 -40.352 1.673 165.060 771.837

Goedg door d ekeurd e aud itor

Resu

zijn ontle end aan

4.959 12.852 277.774 99.218 394.803 816.973

365.068 83.883 75.489 119.129 66.081 -52.097 581 106.544 764.678

ltaatbes temmin Ontrekkin g: g/toevoe ging aan Toevoegi ng aan bestemmi algemen e reserve ngsreserve web site Deze cijfers

2009 347.170 50.000 25.000 422.170

in €)

Lasten Profession al Commiss practices ies Overige lasten Bestuur Bureau Bijzonder e lasten Som der lasten

701.530 816.973

2010 369.964 50.000 2.071 422.035

Ledenbijd ragen Bijdrage Seminars Bijdrage Examenge lden Bijdrage Traininge n Bijdrage Congres sen Bijdrage magazine -adverten Bijdrage ties en abon kwaliteits toetsinge Overige nemente n baten n Totaal

ISAE 3402

Voor leden

45.324 70.119 115.443

512.399 680.642

Eigen verm ogen Algemen e reserve Bestemmi ngsreserv e kwaliteits Bestemmi ngsreserv toetsinge e Website n Kortlope nde schu Af te drag lden en BTW Af te drag en loon heffing Crediteur en Overlope nde pass iva Totaal

Saldo van Financie baten en laste n el Operatio resultaat neel resu ltaat boe kjaar Kosten web site

Figuur 1: ‘Spelersveld’

€)

)

PASSIEF

Bedrijfsproces B Bedrijfsproces C

agen in

resultaat

2010 lopende

Liquide middele n Totaal

Bedrijfsproces A

er (alle bedr

g van het

4.219 6.527 54.190 32.929 591.774 26.855 716.494

55.343 13.444 68.787

22.929 -135

68.787

-22.929 22.794 -135

is de volled ige jaarre kening opvra agbaar via de

website van IIA

25.000 43.787 68.787 Nederland .

29

De gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen. 08-03-11

15:50

De externe accountant6 van de gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan zijn behoefte voor de jaarrekeningcontrole van de gebruikersorganisatie. De serviceorganisatie: verantwoordelijk voor het ISAE 3402 rapport, met uitzondering van de mededeling en bevindingen zoals opgesteld door de externe auditor. De externe auditor van de serviceorganisatie (service auditor): verantwoordelijk voor zijn mededeling in het ISAE 3402 rapport en voor de uitgevoerde testwerkzaamheden beschreven in het rapport van de serviceorganisatie. De internal auditor: wanneer de gebruikersorganisatie en/of de serviceorganisatie beschikken over een Internal Audit Functie (IAF), kunnen internal auditors op verschillende momenten rollen vervullen gedurende het ISAE 3402 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt.

5

12

 oor een volledig overzicht wordt verwezen naar COS 3402: “Assurance-rapporten betreffende interne beheersingsmaatV regelen bij een serviceorganisatie”, de Nederlandse vertaling van de IAASB publicatie: “ISAE 3402 Reporting on controls at a service organization, 19 December 2009”.

In deze publicatie worden de termen externe auditor en externe accountant gebruikt. Het onderscheid wordt bepaald door de formele achtergrond en taak: de externe auditor kan een register IT Auditor (RE) zijn of een registeraccountant (RA). Met externe accountant wordt bedoeld een registeraccountant (RA).

6

13

2.5 ISAE 3402: huidig en toekomstig gebruik

2.7 ISAE 3402 versus SSAE 16

ISAE 3402 is gerelateerd aan de jaarrekeningcontrole van de gebruikersorganisatie in een situatie van uitbesteding van onder andere operationele processen. De voorloper van ISAE 3402, de SAS 70, werd in voorkomende gevallen niet uitsluitend gebruikt voor de jaarrekeningcontrole.

Kort na de publicatie van ISAE 3402 heeft de AICPA haar opvolger van de SAS 70 standaard gepubliceerd, de SSAE 16 standaard (Statement on Standards for Attestation Engagements, reporting on Controls at a Service Organization). Door de AICPA is een aantal toevoegingen en wijzigingen aangebracht aan ISAE 3402 die het geheel passend maken voor de Amerikaanse regelgeving. Hierdoor zijn verschillen ontstaan tussen ISAE 3402 en SSAE 16, die echter niet materieel van aard zijn, doch wel andere werkzaamheden, formuleringen of verantwoordelijkheden omvatten. Voor nadere informatie over de verschillen wordt verwezen naar de literatuuropgave van deze praktijkhandreiking.

Wanneer partijen behoefte hadden aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de eisen op grond van de Wet op het Financieel Toezicht of van De Nederlandsche Bank met betrekking tot uitbesteding) kon dit met een SAS 70 rapport worden gefaciliteerd. Dit wordt in de ISAE 3402 standaard ook mogelijk gemaakt. Indien bijvoorbeeld de wet- en regelgeving of de toezichthouder vereisen dat bepaalde processen in de reikwijdte moeten zijn opgenomen, kan deze standaard daar ook in voorzien. Aspecten van effectiviteit en efficiëntie kunnen eveneens worden opgenomen in de reikwijdte van het rapport. Dat is echter niet anders dan thans in de SAS70 standaard mogelijk is. Hiervan wordt echter in de praktijk weinig gebruik gemaakt.

Het is in principe mogelijk om gecombineerde rapporten op te stellen die voldoen aan beide standaarden. Dit is voornamelijk relevant voor ondernemingen die opdrachtgevers of deelnemingen hebben in de Verenigde Staten.

2.6 ISAE 3402 alternatieven De SAS 70 standaard is als voorganger van ISAE 3402 erg populair geworden. Om die reden valt te verwachten dat de opvolger in toenemende mate als ‘standaard-onderdeel’ wordt meegenomen tijdens contractonderhandelingen tussen serviceorganisatie en gebruikersorganisatie. Er zijn echter ook alternatieven. Een ISAE 3402 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)kosten met zich mee. Dit is niet altijd noodzakelijk. Bijvoorbeeld wanneer assurance op onderdelen nodig is, zoals de IT-omgeving, of op specifieke beheersmaatregelen, die niet noodzakelijkerwijs zijn gerelateerd aan de jaarrekening. Een alternatief is een assurancerapport gebaseerd op de Richtlijn 3000 (NOREA) of de COS 3000 (NIVRA). Daarnaast bestaat de mogelijkheid om een bepaalde mate van zekerheid te verkrijgen op basis van specifiek overeengekomen werkzaamheden. De werkzaamheden en kosten verbonden aan dergelijke mededelingen zijn vaak lager dan bij een ISAE 3402, terwijl het wel mogelijk is een afdoende zekerheid te verstrekken dan wel te verkrijgen. Naast assurancerapportages, kan een gebruikersorganisatie, afhankelijk van haar informatieof assurancebehoefte, ook kijken naar kwaliteitskeurmerken van een serviceorganisatie, bijvoorbeeld ISO-certificeringen. Deze hebben een andere basis en bieden in tegenstelling tot ISAE 3402 geen assurance, maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikersorganisatie. Bijlage 1 bevat een vergelijking van ISAE 3402 met de COS 3000 en ISO-certificering.

14

15

3.1 Inleiding Wet- en regelgeving vragen de gebruikersorganisatie aantoonbaar ‘in control’ te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikersorganisatie aan de serviceorganisatie. Omdat het management van een gebruikersorganisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurancevraagstuk vaak te liggen bij de auditors: de externe auditor en de internal auditor.

3.2 Rollen internal auditor van de gebruikersorganisatie

3. ISAE 3402 bij de gebruikers­ organisatie: rollen van de internal auditor

De taken en verantwoordelijkheden van de externe auditor (van de gebruikersorganisatie) in een ISAE 3402 traject zijn beschreven in beroepsregels en vaktechnische voorschriften. Hiertoe is de controlestandaard COS 402 geactualiseerd. Deze standaard bevat een uitwerking van de factoren die in overweging moeten worden genomen bij de controle van entiteiten die gebruikmaken van serviceorganisaties (COS 402). Dit is strikt gereguleerd. Deze standaard behandelt onder meer de verantwoordelijkheid van de auditor van de gebruikersorganisatie voor het verkrijgen van voldoende en geschikte controle-informatie wanneer de gebruikersorganisatie aan één of meer serviceorganisaties processen heeft uitbesteed. COS 4027 richt zich in het bijzonder op hoe de auditor van de gebruikersorganisatie COS 3158 en COS 3309 toepast bij het verwerven van inzicht in de risicobeheersing van de aan de serviceorganisatie uitbestede processen. In het bijzonder betreft dit het voldoende onderkennen en inschatten van de risico’s op een afwijking van materieel belang en voor het opzetten en uitvoeren van verdere controlewerkzaamheden aangaande de geconstateerde risico’s. De internal auditor heeft echter een ander speelveld. Hij ondersteunt het management als onderdeel van het totale risicomanagement-raamwerk van de organisatie. In een ISAE 3402 traject kan de internal auditor grote toegevoegde waarde leveren. Vooral door goed begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij. COS 402 gaat over de verantwoordelijkheid van de externe accountant van de gebruikersorganisatie om voldoende en geschikte controle-informatie te verkrijgen wanneer een gebruikersorganisatie gebruik maakt van de diensten van één of meer serviceorganisaties. Door begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan de internal auditor zijn toegevoegde waarde tonen in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding.

 OS 402, “Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie”. C COS 315, “Het onderkennen en inschatten van de risico’s van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving”. 9 COS 330, “De wijzen van inspelen door de accountant op ingeschatte risico’s”. 7 8

17

3.2.1 Ex ante (voorafgaand aan het ISAE 3402 rapport) In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht moet worden verkregen in de kwaliteit van de risicobeheersing van de uit te besteden processen, welke vragen hierbij moeten worden gesteld intern en aan de serviceorganisatie en hoe het ‘assuranceproces’ zo efficiënt mogelijk kan worden ingericht.

3.2.1.1 Advisering management tijdens beginfase van uitbesteding Met het voornemen tot uitbesteding ontstaat ook een aantal vragen op het vlak van het voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een adviesrol. Vragen die de internal auditor bij het management onder de aandacht kan brengen zijn: • Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikersorganisatie van toepassing is: Mag het proces worden uitbesteed? • Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance-eisen van de gebruikersorganisatie: Welke regels worden geraakt? • Wordt getoetst of de serviceorganisatie betrouwbaar is? • Welke beheersmaatregelen zijn binnen de gebruikersorganisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht): Stellen wet- en regelgeving hier eisen aan? • Wat is de aard en omvang van de beheersmaatregelen van de gebruikersorganisatie op de in- en uitgaande stromen richting de serviceorganisatie (‘user controls’)? • Welke afspraken moeten bij het opstellen van het uitbestedingscontract worden opgenomen over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de serviceorganisatie. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract. De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding. In uitbestedingcontracten wordt veelal een ‘right to audit’ bepaling opgenomen. Dit betekent dat de gebruikersorganisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de serviceorganisatie door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen; zo houdt de gebruikersorganisatie altijd het recht tot het doen van eigen waarnemingen.

3.2.1.2 Advisering management over inhoud ISAE 3402 De internal auditor die het management adviseert over de inhoud van het ISAE 3402 rapport, neemt hierbij onder meer het volgende in acht: • Overleg met de externe accountant; • Wet- en regelgeving waar de gebruikersorganisatie aan moet voldoen; • De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting serviceorganisatie controleert; • De risicoanalyse van internal audit. 18

Overleg met de externe accountant De externe accountant van de gebruikersorganisatie is één van de primaire belanghebbenden bij het ISAE 3402 rapport van de serviceorganisatie. Voor het bepalen van zijn informatiebehoefte, zal de externe accountant beginnen met een analyse op basis van de jaarrekening van de gebruikersorganisatie: Welke posten worden geraakt door de uitbesteding, wat is de impact; in andere woorden: zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen. De reikwijdte van het ISAE 3402 rapport is strikt beperkt tot de processen en beheersmaatregelen gerelateerd aan de jaarrekeningcontrole (‘relevant for reporting’) voor de gebruikersorganisatie. Hierbij geldt dat door de IAASB is onderkend dat beheersmaatregelen rondom ‘operations’ van de serviceorganisatie en compliance met wet- en regelgeving ook relevant kunnen zijn voor de financiële verslaggeving van de gebruikersorganisatie. Wanneer daarnaast ook assurance wordt gewenst over processen die niet gerelateerd zijn aan de financiële verantwoording dient een audit op basis van de ISAE 3000 standaard te worden uitgevoerd.

Toepasselijke wet- en regelgeving voor de gebruikersorganisatie Sarbanes Oxley stelt eisen aan de in de Verenigde Staten beursgenoteerde ondernemingen, waartoe onder meer het opnemen van een ‘In control Statement’ behoort. Vanuit de serviceorganisatie kan hiervoor input worden geleverd met een ISAE 3402 rapport. Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT-risico’s. Waar relevant of noodzakelijk zal de instelling de eigen beheersdoelstellingen, die deze aspecten borgen, willen terugvinden in het ISAE 3402 rapport van de serviceorganisatie. De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting serviceorganisatie controleert. Bij uitbesteding vindt er informatieuitwisseling plaats tussen de gebruikersorganisatie en de serviceorganisatie. De beheersmaatregelen die de gebruikersorganisatie heeft, beïnvloeden de assurancevraag aan de serviceorganisatie. Wanneer de gebruikersorganisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk zijn aan de aan de serviceorganisatie verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke totaalcontroles niet (kunnen) worden uitgevoerd. Risicoanalyse conform de eigen audit risicoanalyse methodiek De internal auditor beschikt veelal over een auditplanning gebaseerd op een risicoanalyse. De inhoud van de risicoanalyse kan goed worden benut als input voor de te bepalen informatiebehoefte omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico’s en beheersmaatregelen van de processen. Wanneer op basis van interne inventarisatie de gewenste inhoud helder is, moet worden gewaarborgd dat de beheersdoelstellingen waarover assurance wordt gewenst, overeenkomen met de beheersdoelstellingen van het ISAE 3402 rapport dat de serviceorganisatie gaat opleveren. Ter voorkoming van een ‘mismatch’ achteraf, is het van het grootste belang 19

dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzakelijke controle-informatie) tussen de betrokken partijen. Dit betekent dat: • Een overleg plaatsvindt tussen gebruikersorganisatie, serviceorganisatie, de betrokken externe auditors aan beide kanten en de betrokken internal auditors. • Voor alle partijen wordt vastgelegd wat in het ISAE 3402 rapport moet worden opgenomen: welke processen (reikwijdte), en mogelijk: welke beheersdoelstellingen. Wanneer sprake is van een nieuwe relatie tussen een gebruikersorganisatie en een serviceorganisatie, en de nieuwe serviceorganisatie al de beschikking heeft over één of meerdere ISAE 3402 rapporten zal de internal auditor van de nieuwe gebruikersorganisatie, mogelijk in samenwerking met de externe auditor, de inhoud van het bestaande rapport toetsen aan de assurancebehoefte. Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helderheid te hebben voor welke beheersdoelstellingen assurance verkregen moet worden. Bij een ISAE 3402 kan alleen een redelijke mate van zekerheid worden gegeven.

3.2.1.3 Aansluiting bij het interne beheersingsraamwerk van de gebruikersorganisatie Een ISAE 3402 rapport kan aanleiding zijn voor de gebruikersorganisatie om (nog eens) kritisch te kijken naar het interne beheersingsraamwerk van de organisatie: Zijn definities van processen en beheersmaatregelen helder en staan de belangrijkste beheersmaatregelen (ook wel key controls genoemd) vast? Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die worden uitbesteed aan de serviceorganisatie en dientengevolge in het ISAE 3402 rapport moeten worden opgenomen. Als meerdere processen aan verschillende serviceorganisaties worden uitbesteed levert een helder raamwerk ook voordelen op. Door het management en de internal auditor kan, aan de hand van het raamwerk, worden vastgesteld welke assurance bij welke serviceorganisatie moet worden neergelegd. Ook kan worden bepaald of en in hoeverre de verschillende assurancerapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico’s) van gebruikersorganisatie en serviceorganisaties is afgedekt.

3.2.1.4 Onderuitbesteding Een bijzondere variant betreft de situatie waarin de serviceorganisatie op zijn beurt een deel van de processen heeft uitbesteed aan een andere partij (sub-serviceorganisatie). De voor de gebruikersorganisatie significante delen van de processen van de sub-serviceorganisatie moeten in het ISAE 3402 rapport zijn opgenomen (‘inclusive method’).

20

• ISAE 3402 stelt dat indien sprake is van de ‘inclusive method’, de gehele beschrijving van de sub-serviceorganisatie integraal moet worden opgenomen in het rapport, alsook de mededeling van het management van de sub-serviceorganisatie. • In het geval van een ‘carve-out’10 moeten alle beheersmaatregelen, die de serviceorganisatie heeft ingericht om zeker te stellen dat de relevante beheersmaatregelen bij de subserviceorganisatie effectief werken, in het rapport worden opgenomen. Hier is een rol voor de internal auditor weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of beoordelende rol vervullen.

3.2.1.5 Geschikte criteria De externe auditor moet bepalen of de serviceorganisatie zogenoemde geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van het systeem. Nadat het rapport is ontvangen door de gebruikersorganisatie lijkt het verstandig voor de internal auditor ook te bezien of de serviceorganisatie de geschikte criteria heeft gebruikt bij het opstellen van de beschrijving, maar dan specifiek gericht op de vereisten van de gebruikersorganisatie.

3.2.2 Tijdens (ISAE 3402 rapport ontvangen) Internal auditors voeren in de praktijk vaak een toetsing uit op het ISAE 3402 rapport. Deze toetsing richt zich op de vraag of het ISAE 3402 rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde:

Toetsing op nakoming afspraken • Komen de reikwijdte, de periode en de beheersdoelstellingen overeen met de gemaakte afspraken? • Is het type rapport (type I, type II) conform de afspraken? • Wanneer verschillen bestaan met de gemaakte afspraken, dient hierover overleg plaats te vinden. Inhoudelijke toetsing De inhoudelijke toetsing van het ontvangen ISAE 3402 rapport moet leiden tot een antwoord op de vraag of de risico’s, bezien vanuit de gebruikersorganisatie, zijn afgedekt. In overeenstemming met COS 402, lid 13 en 14, moet de externe accountant van de gebruikersorganisatie vaststellen of de controle-informatie die in een type I of type II rapport wordt verstrekt, voldoende en geschikt is. Hierbij moet de auditor van de gebruikersorganisatie, de ‘user auditor’, zich ervan vergewissen dat: • De auditor van de serviceorganisatie deskundig is en onafhankelijk ten opzichte van de serviceorganisatie; • De standaarden waaronder het type I of II rapport is uitgebracht adequaat zijn. Type I of Zie paragraaf 4.3.1

10

21

type II rapporten zullen veelal worden uitgebracht onder toepassing van COS 3402. In internationaal verband is het echter ook mogelijk dat rapporten worden uitgebracht onder toepassing van andere standaarden die zijn vastgesteld door een geautoriseerde of erkende instantie (regelgever of ‘standard setter’) die standaarden vaststelt; • De beschrijving en de opzet van de interne beheersmaatregelen bij de serviceorganisatie op een bepaalde datum of voor een periode is, die passend is voor de doeleinden van de auditor van de gebruiker; • De informatie die door het rapport wordt verschaft voldoende en geschikt is voor het verkrijgen van inzicht in de voor de controle relevante interne beheersing van de gebruikersorganisatie; • De aanvullende interne beheersmaatregelen van de gebruikersorganisatie, die door de serviceorganisatie zijn onderkend, relevant zijn voor de gebruikersorganisatie (zo ja, dan dient de auditor inzicht te verkrijgen in de vraag of de gebruikersorganisatie dergelijke interne beheersmaatregelen heeft opgezet en geïmplementeerd). In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen assurance. Bijvoorbeeld ten aanzien van:

De periode (werking) van het ISAE 3402 rapport (type II) sluit niet aan op de gevraagde periode De oplossing kan gevonden worden door te vragen naar additionele zekerheid over de ontbrekende periode aan de serviceorganisatie, welke bijvoorbeeld kan worden verkregen middels additionele gegevensgerichte werkzaamheden van de externe auditor of internal auditor (daarom strekt het tot de aanbeveling een ‘right to audit’ clausule op te nemen) of een managementverklaring van de serviceorganisatie over de ontbrekende periode. De strekking van de auditorsmededeling in het ontvangen ISAE 3402 rapport Door de auditor geconstateerde afwijkingen kunnen op twee manieren blijken in het ISAE 3402 rapport: • Afwijkingen die het (positieve) oordeel niet beïnvloeden. De auditor volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden. • Afwijkingen die het oordeel beïnvloeden. Deze worden opgenomen in de mededeling van de externe auditor.

ken. ISAE 3402 opent de mogelijkheid om een gevonden uitzondering (‘deviation’) te betitelen als een anomalie, een gebeurtenis die ver buiten de verwachting ligt. Dit is mogelijk door nader onderzoek te verrichten naar de gevonden uitzondering en vervolgens met hoge mate van zekerheid te concluderen dat de gevonden uitzondering niet representatief is voor de populatie. Indien de auditor van de serviceorganisatie een anomalie vaststelt, is het aan de auditor van de gebruikersorganisatie om de onderbouwing daarvan kritisch te beoordelen. • Nog een belangrijke toevoeging in ISAE 3402 betreft de mededeling van het management van de serviceorganisatie. Hierin moet duidelijk worden gemaakt op welke wijze het management beheersmaatregelen monitort om de effectieve werking daarvan vast te stellen. De mededeling bevat ook een rapportage van uitzonderingen en tijdige correcties. Van belang is dat duidelijk wordt gemaakt op welke wijze de conclusie van het management is onderbouwd. Bij de beoordeling kan ook de internal auditor van de gebruikersorganisatie een rol spelen. • Een andere belangrijke toevoeging heeft betrekking op ‘subsequent events’. Indien relevante gebeurtenissen na de periode van onderzoek en voor de afgifte van het rapport niet door het management worden opgenomen in de beschrijving, neemt de auditor van de serviceorganisatie de gebeurtenis op in zijn mededeling.

3.2.3 Ex-post (na ontvangst ISAE 3402 rapport) De analyse van het ontvangen ISAE 3402 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte van de gebruikersorganisatie afdekt. De internal auditor van de gebruikersorganisatie, zal in overleg met de externe accountant, hier een belangrijke rol kunnen spelen. Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeengekomen dan moet de gebruikersorganisatie aandringen op naleving van het contract. Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, Service Level Agreement) moeten worden overeengekomen. Het ontvangen ISAE 3402 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken.

Van de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het beheersingsraamwerk van de gebruikersorganisatie. Dit zal zowel de externe accountant (of de IT Auditor) als de internal auditor van de gebruikersorganisatie doen. Onderdeel van de impactanalyse zijn ook de beheersmaatregelen van de gebruikersorganisatie. Mogelijk hebben bepaalde beheersmaatregelen bij de gebruikersorganisatie een mitigerend effect op tekortkomingen bij de serviceorganisatie. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaamheden en/of een managementverklaring. • Binnen ISAE 3402 moet de auditor de aard en oorzaak van afwijkingen tussen de beschreven beheersmaatregel en de vastgestelde uitvoering van de beheersmaatregel onderzoe22

23

4.1 Inleiding In dit hoofdstuk worden de rollen beschreven die de internal auditor van de serviceorganisatie kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/batenoverwegingen en/of het gekozen samenwerkingsmodel tussen internal en external auditors. Tenslotte komt de uitvoering van een ISAE 3402 project aan bod.

4.2 Rollen internal auditor van de serviceorganisatie

4. ISAE 3402 bij de service­ organisatie: rollen van de internal auditor

Het ISAE 3402 rapport van de serviceorganisatie wordt door een externe auditor van een mededeling voorzien. Dit sluit niet uit dat een aantal belangrijke taken is weggelegd voor de internal auditor. De internal auditor van de serviceorganisatie beschikt over een aantal eigenschappen, welke hem bij uitstek geschikt maken voor het adviseren van het management in een ISAE 3402 traject: • Kennis van de organisatie van de serviceorganisatie: zowel intern (intern beheersingsraamwerk) als extern (het speelveld waarin de serviceorganisatie opereert met eisen van stakeholders zoals klanten, toezichthouder en externe auditor). • Vaktechnische kennis, kennis van het beheersingsraamwerk: de verschillende mogelijkheden die de serviceorganisatie kan benutten om te voldoen aan de informatiebehoefte van stakeholders. Door zijn vaktechnische kennis te combineren met zijn kennis van de organisatie, levert de internal auditor een belangrijke toegevoegde waarde bij het adviseren van het management in het ISAE 3402 traject.

4.2.1 Ex-ante (voorafgaand aan het ISAE 3402 rapport) 4.2.1.1 Advisering management over nut ISAE 3402 De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving, ontwikkelingen in de markt (transparantie, (cross-border) uitbesteding, complexiteit producten en beheersomgeving) en de steeds groeiende aandacht voor risicobeheer, de vraag naar assurance gegeven door gebruikersorganisaties blijft toenemen. Een ander (concreter) argument is dat van efficiëntie in de verantwoording. Wanneer de serviceorganisatie contracten heeft met meerdere gebruikersorganisaties waarin een ’right to audit’ clausule is opgenomen, heeft de serviceorganisatie zich verplicht (meerdere) andere auditors toe te laten. In dat geval is het efficiënter om met één ISAE 3402 meerdere gebruikersorganisaties ‘tevreden’ te stellen. Op basis hiervan kan de internal auditor adviseren een traject in te gaan, resulterend in een generiek ISAE 3402 rapport.

25

Waar in het verleden een serviceorganisatie voorop liep met een SAS 70 rapport, is nu het aantonen van ‘in control’ zijn via een ISAE 3402 rapport een basisvereiste geworden voor een serviceorganisatie. Tegenwoordig kan de toegevoegde waarde worden aangetoond met het uitvoeren en documenteren van een heldere risicoanalyse, die kan worden gedeeld met de gebruikersorganisatie en die aansluit op wet- en regelgeving. Tenslotte dient een concrete aansluiting te bestaan tussen de uitgevoerde risicoanalyse en het beheersingsraamwerk dat wordt uitgewerkt in het ISAE 3402 rapport. Vanzelfsprekend dient een gedegen risicoanalyse te worden uitgevoerd door het management, maar de internal auditor kan dit proces goed faciliteren en ook de koppeling met het beheersingsraamwerk kan worden voorbereid door de internal auditor.

4.2.1.2 Advisering management over inhoud ISAE 3402 Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze adviseren hoe het ISAE 3402 rapport moet worden ingericht.

Vaststelling van reikwijdte (proces), beheersdoelstelling en beheersmaatregelen Tot de reikwijdte van het ISAE 3402 rapport moeten minimaal de door de gebruikersorganisatie uitbestede processen behoren, wanneer relevant voor de jaarrekening. Aanknopingspunten voor de exacte inhoud (reikwijdte, beheersdoelstellingen en beheersmaatregelen) zijn: • Overleg met de gebruikersorganisatie. Bij de start van een ISAE 3402 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikersorganisatie en die van de serviceorganisatie. • De gemaakte afspraken tussen de gebruikersorganisaties en de serviceorganisatie, in het algemeen vastgelegd in Service Level Agreements. Wanneer sprake is van veel gebruikersorganisaties en overleg niet haalbaar is, is het een optie om uitsluitend uit te gaan van deze afspraken. • Wet- en regelgeving kan ook input zijn voor de inhoud van het rapport: welke beheersdoelstellingen moeten minimaal worden gerealiseerd vanuit deze regels? Op te nemen beschrijvingen Het ISAE 3402 rapport bevat ten eerste de beschrijving van de serviceorganisatie. Hier wordt aan de hand van de COSO componenten (Control Environment, Risk Assessment, Information & Communication en Monitoring) de organisatie beschreven. Deze beschrijving wordt opgesteld door het management van de serviceorganisatie. Een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO en de organisatie) ten behoeve van het management dat deze beschrijving dan kan overnemen. Vervolgens wordt beschreven over welke beheersdoelstellingen assurance wordt verstrekt, waarbij ook de beheersmaatregelen worden opgenomen die door de serviceorganisatie worden uitgevoerd om de beheersdoelstellingen te realiseren.

Generiek of maatwerk Vanuit het oogpunt van de serviceorganisatie wordt bij voorkeur één generiek ISAE 3402 26

rapport ontwikkeld; één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen maatwerk ISAE 3402 rapporten worden ontwikkeld, waarbij het verstandig is dat duidelijkheid bestaat over wie de meerkosten draagt.

Normenkader Zoals eerder aangegeven is ISAE 3402 geen normenkader (zie paragraaf 2.3). ISAE 3402 schrijft voor hoe de indeling van het rapport en de audit moet zijn en wat moet worden beschreven. ISAE 3402 zelf stelt geen inhoudelijke eisen aan de beheersdoelstellingen, de beheersmaatregelen en wat ten behoeve van de audit moet worden beschreven. Alhoewel aldus geen inhoudelijke eisen worden gesteld aan beheersmaatregelen, bestaan wel ‘sound practices’ voor de beschrijving van deze maatregelen (zie bijlage 2). Immers, de doelstellingen en maatregelen moeten wel toetsbaar zijn door de externe auditor. In het algemene gedeelte beschrijft de serviceorganisatie hoe de Control Environment eruit ziet en hoe de componenten Risk Assessment, Information & Communication en Monitoring zijn ingericht (de COSO elementen). Met de beschrijving van de beheersmaatregelen wordt invulling gegeven aan de component Control Activities uit het COSO raamwerk. De internal auditor kan bij deze beschrijving het management ondersteunen. Wij geven ter overweging om waar mogelijk voor de beschrijving van de beheersmaatregelen aan te haken bij gerenommeerde (internationale) kaders, zoals bijvoorbeeld CobiT voor IT controls. Gebruik hiervan biedt onder meer de volgende voordelen: • De beheersmaatregelen kunnen op volledigheid (en juistheid) worden getoetst. CobiT heeft bijvoorbeeld een uitgebreide set van beheersdoelstellingen met daaronder de beheersmaatregelen die dit ondersteunen. Het is wel belangrijk om daarbij de toetsbaarheid van de doelstellingen en maatregelen te beschouwen, daar niet alle doelstellingen en maatregelen in CobiT voldoen aan de criteria zoals opgenomen in bijlage 2; • Het vergemakkelijkt de afstemming met gebruikers omdat het bekende en veelgebruikte beheersingsraamwerken zijn.

4.2.1.3 Advisering management over externe auditor Een ISAE 3402 rapport zonder mededeling van het management en een externe auditor voldoet niet aan de eisen. Bij de selectie van de externe auditor kan de internal auditor het management van advies dienen. Opties zijn onder andere: • De eigen externe accountant: het voordeel van inzet van de eigen externe accountant is dat deze de organisatie kent en daarmee mogelijk efficiënter tot zijn mededeling bij het ISAE 3402 rapport kan komen. Bovendien zou de auditor auditwerkzaamheden voor ISAE 3402 in enkele gevallen kunnen combineren met de reguliere auditwerkzaamheden waardoor voor de organisatie de totale kosten lager kunnen zijn. • Een andere externe auditor. Het voordeel is een ‘frisse kijk’ op de organisatie (overigens wel op basis van dezelfde vaktechnische grondslagen als de eigen externe accountant). Nadeel is mogelijk meer communicatie en deze auditor zal mogelijk meer tijd nodig hebben om de organisatie te leren kennen. 27

Een belangrijk aandachtspunt bij de beoordeling van de in te schakelen externe auditor is de ‘ISAE 3402 auditaanpak’ (deze is niet universeel), waaronder ook de samenwerking met de internal auditor.

4.2.2 Tijdens (ISAE 3402 traject) 4.2.2.1 Advisering management over ISAE 3402 traject Het vervaardigen van een ISAE 3402 rapport is geen sinecure: de internal auditor kan adviseren over timing, kosten, fasering van dit traject en benodigde capaciteit. Hierbij komen de volgende belangrijke aandachtspunten aan de orde:

Business case/project Om een ISAE 3402 traject gestructureerd te laten plaatsvinden wordt aanbevolen om volgens een ‘projectplan’ het traject te doorlopen. In een dergelijk projectplan dienen aan de orde te komen: • De kosten van het ISAE 3402 traject: Deze zijn onder meer afhankelijk van de inhoud van het rapport, het type rapport, de betrokkenheid van eventuele adviseurs en de review werkzaamheden van de externe auditor. • Fasering van het traject: Bepalend voor het succes van het ISAE 3402 traject is onder meer de ‘volwassenheid’ van de organisatie en het aantoonbaar uitvoeren van beheersmaatregelen. Dit is een heel belangrijk punt: de externe auditor zal immers voor zijn auditwerkzaamheden op een moment (type I rapport) of gedurende een periode (type II) moeten kunnen vaststellen dat de beheersmaatregelen zijn uitgevoerd.) Een ISAE 3402 traject heeft veelal de volgende fasering: 1. Pilotfase Doel is om vast te stellen wat nodig is om te komen tot een ISAE 3402 rapport. Deze fase betreft: • De bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen. • De analyse van de organisatie: hoe ver is de organisatie met procesbeschrijvingen, heldere definities van beheersmaatregelen en aantoonbaarheid van de uitvoering van deze beheersmaatregelen? • De serviceorganisatie is verantwoordelijk voor het onderkennen van de risico’s die het bereiken van de interne beheersingsdoelstellingen in gevaar brengen. Hiertoe moet een formele of informele risicoanalyse worden uitgevoerd. De externe auditor zal zich tijdens zijn werkzaamheden een oordeel vormen over de geschiktheid van de interne beheersmaatregelen en zal zich hierbij de vraag stellen in hoeverre de serviceorganisatie de risico’s heeft onderkend die de beheersingsdoelstellingen van de serviceorganisatie in gevaar kunnen brengen en of de beschreven beheersmaatregelen, bij een adequate werking, deze risico’s mitigeren. De internal auditor kan het management ondersteunen bij de bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen. Ook kan de internal auditor bijvoorbeeld het risico-onderkenningsproces door het management begeleiden. 28

• Wanneer de serviceorganisatie een overstap maakt van SAS 70 naar ISAE 3402 zal in deze fase vooral aandacht worden geschonken aan de wijze waarop het management tot haar mededeling zal moeten komen. Welke beheersmaatregelen of welke aanpassingen in de beheersomgeving kunnen het management voldoende waarborgen geven om tot een onderbouwde managementmededeling te komen. Belangrijk daarbij is dat de beheersdoelstellingen onder ISAE 3402 het resultaat moeten zijn van een formele of informele risicoanalyse. • De internal auditor zal het management kunnen aangeven op welke wijze meer inzicht verkregen kan worden in de effectieve werking van de beheersmaatregelen, welke informatie al beschikbaar is en hoe deze bijdragen aan het behalen van de beheersdoelstellingen. Het kan zijn dat de rapportage van de internal auditor als input voor de beoordeling van de effectieve werking van de beheersmaatregelen dient. Het management is uiteindelijk verantwoordelijk om de keuzes zelf te maken en zelf te bepalen hoe inzicht wordt verkregen in de effectieve werking van de beheersmaatregelen. 2. Eerste versie ISAE 3402 rapport In deze fase wordt het rapport geschreven (beschrijving beheersomgeving, beheersdoelstellingen en beheersmaatregelen) en worden verbeteringen aangebracht ten aanzien van procesbeschrijvingen en vastlegging (aantoonbaarheid) van beheersmaatregelen. Wederom zal bij een overgang van SAS 70 naar ISAE 3402 vooral aandacht moeten worden geschonken aan eventuele nieuwe elementen in de beheersomgeving en de wijze waarop deze geborgd zijn. De monitoringactiviteiten moeten gedurende de gehele testperiode worden uitgevoerd. 3. Verbeterde versie ISAE 3402 rapport Dit rapport wordt afgestemd met betrokkenen. Alle beheersmaatregelen worden onderbouwd met procesdocumentatie (opzet) en documentatie van de uitvoering (bestaan, werking). De internal auditor kan hier testwerkzaamheden uitvoeren. Ook is het een optie om de externe auditor een soort pre-audit te laten uitvoeren. Eventueel gebleken leemtes zullen moeten resulteren in een SMART actieplan. 4. ISAE 3402 audit; de audit door de externe auditor Inhoudelijk bestaan ten aanzien van de fasering verschillende varianten. De serviceorganisatie kan in overleg met de gebruikersorganisatie starten met een ISAE 3402 met een beperkte reikwijdte en nadien werken aan het uitbouwen ervan. Begonnen kan worden met een type I rapport, dat zich richt op opzet en bestaan, om dit vervolgens uit te bouwen tot een type II rapport.

Uitvoering en verantwoordelijkheid voor het ISAE 3402 traject De internal auditor is vaak intensief betrokken bij de (om-)bouw van het ISAE 3402 rapport. Hij moet alert zijn op de volgende twee valkuilen: • Het management kan de verantwoordelijkheid voor de inhoud minder voelen, zeker wanneer de internal auditor de communicatie met de externe auditor volledig voor zijn rekening neemt; en 29

• De internal auditor moet zijn eigen vaktechnische afwegingen maken: Wanneer hij nauw betrokken is bij de totstandkoming van het rapport, zal hij moeten nagaan of hij auditwerkzaamheden (voorbereidend voor externe auditor) kan uitvoeren op dezelfde beheersmaatregelen. Onafhankelijk van de gekozen rol is het in alle gevallen van belang dat de internal auditor het management wijst op het feit dat zij uiteindelijk verantwoordelijk zijn voor de inhoud van het ISAE 3402 rapport.

4.2.2.2 ISAE 3402 auditwerkzaamheden internal auditor Onder de SAS 70 standaard kon op twee manieren gebruik worden gemaakt van de werkzaamheden van de internal auditor: 1. Met de zogenaamde direct assistance, waarbij de internal auditor wordt ingezet alsof hij/ zij onderdeel is van het externe auditteam. 2. Om de aard, timing en omvang van de werkzaamheden van de service auditor aan te passen op de verlangde werkzaamheden. • In de nieuwe ISAE 3402-regelgeving wordt dit onderscheid niet genoemd en wordt alleen gesproken over de mogelijkheid, genoemd onder punt 2. Hierbij is aangesloten bij de huidige formuleringen van COS 610 (ISA 610), waarin dit onderscheid ook niet wordt gemaakt. In juli 2010 is door de IAASB een exposure draft gepubliceerd ‘ISA 610 Using the work of Internal Auditors’. In deze exposure draft is wel expliciet tekst opgenomen rondom de ‘direct assistance’ vanuit een Internal Audit Functie (IAF). • Een ander belangrijk verschil met SAS 70 is dat de externe auditor van de serviceorganisatie specifiek melding dient te maken van de werkzaamheden die zijn uitgevoerd door de internal auditor. Dit is bijvoorbeeld conform de huidige Britse AAF/01-standaard voor financiële instellingen, maar geheel anders dan onder SAS 70 het geval is. Wel is specifiek opgenomen, dat de ondertekenende auditor geheel en ongedeeld verantwoordelijk is voor zijn deel van het rapport. De verantwoordelijkheid voor de uitgevoerde werkzaamheden en de opinie wordt niet gedeeld met de IAF. In de nieuwe standaard is, evenals in de SAS 70, niet omschreven in welke mate gebruik mag worden gemaakt van de werkzaamheden van een internal auditor. Hierbij doet zich de vraag gelden of de invulling hiervan aan individuele eindverantwoordelijken of aan kantoren wordt overgelaten of dat richtlijnen worden ontwikkeld door NOREA/NIVRA, waarin wordt opgenomen wat de minimum te verrichten werkzaamheden zijn door de service auditor. In het algemeen moet de service auditor ‘toereikende’ assurance-informatie verzamelen om tot zijn oordeel te kunnen komen. In de COS 610 is hierover het volgende opgenomen: ‘De aard, timing en omvang van de controlewerkzaamheden die worden uitgevoerd op specifieke werkzaamheden van de internal auditor zullen afhangen van de inschatting door de externe accountant van het risico van een afwijking van materieel belang, van de evaluatie van de IAF (afdeling) waarbinnen de internal auditor werkzaam is, alsmede van de evaluatie van de specifieke 30

werkzaamheden van de internal auditor. Dergelijke controlewerkzaamheden kunnen omvatten: • Het onderzoeken van items die reeds door de internal auditor zijn onderzocht; • Het onderzoeken van andere soortgelijke items; het observeren van werkzaamheden die door de internal auditor zijn uitgevoerd. Voordat kan worden gesteund op de werkzaamheden uitgevoerd door de internal auditor, zal de service auditor de volgende aspecten van de internal auditor beoordelen: • De kwaliteit van de afdeling (IAF). • In welke mate de verrichte of te verrichten werkzaamheden relevant zijn. • De impact van de werkzaamheden op de aard, timing en omvang van de werkzaamheden, waarbij in ogenschouw wordt genomen: - De aard en reikwijdte van verrichte of te verrichten werkzaamheden. - De significantie van de werkzaamheden voor de conclusies van de externe auditor. • De mate van subjectiviteit die is toegepast bij de beoordeling van het bewijsmateriaal.

Werkverdeling internal auditor en service auditor Wanneer de service auditor steunt op auditwerkzaamheden van de internal auditor moeten: • Afspraken worden gemaakt over de aard en omvang van de te verrichten testwerkzaamheden. Bij het bepalen van de omvang van deze werkzaamheden is de externe auditor uiteindelijk leidend. Deze moet op basis van vaktechnische gronden een risicoanalyse uitvoeren ter bepaling van de omvang van de uit te voeren werkzaamheden; • Afspraken worden gemaakt over de wijze van documentatie. De documentatie van door de internal auditor uitgevoerde testwerkzaamheden moet voldoen aan de vaktechnische vereisten waaraan de external auditor zich heeft te houden.

4.2.2.3 Het verkrijgen van onderbouwende informatie met betrekking tot de werking van interne beheersmaatregelen (de steekproef) De internal auditor kan werkzaamheden verrichten in het kader van ISAE 3402 waar de externe auditor gebruik van kan maken. In de praktijk is vaak discussie over de steekproefomvang, dan wel de omvang van de deelwaarneming. Dit wordt in de tekst van ISAE 3402 beschreven bij de methodes voor het selecteren van items ter toetsing van de beheersmaatregelen en het bepalen of deze methode geschikt is. De externe auditor moet bij het bepalen van de omvang van de toetsing van interne beheersmaatregelen kijken naar de kenmerken van de te toetsen populatie zoals de aard van de beheersmaatregelen, de frequentie van hun toepassing (maandelijks, dagelijks, een aantal keren per dag) en de verwachte mate van afwijking. Wanneer de auditor gebruik maakt van steekproeven, dient deze op een aantal aspecten te letten, waaronder: • het doel van de controlemaatregel en de kenmerken van de populatie waaruit de steekproef genomen zal worden bij het opzetten hiervan; • een afdoende grootte van de steekproef die het steekproefrisico tot een aanvaardbaar niveau verlaagt; 31

• selectie van items voor de steekproef op een zodanige manier dat iedere steekproefeenheid in de populatie een gelijke kans heeft om te worden geselecteerd; In de praktijk zal dit geen wijziging betekenen ten opzichte van de SAS 70 standaard.

4.2.3 Ex-post (na afgifte ISAE 3402 rapport) 4.2.3.1 Advisering management over verbeteringen naar aanleiding van ISAE 3402 Verbetering interne beheersing De ISAE 3402 audit kan leemtes aan het licht brengen (afhankelijk van de impact beïnvloeden deze wel of niet de strekking van de mededeling). Deze moeten onder verantwoordelijkheid van het management worden opgelost. Conform de werkwijze bij bevindingen uit reguliere audits, kan de internal auditor de implementatie hiervan veelal volgen. ISAE 3402 als onderdeel van het interne beheersingsraamwerk Het ISAE 3402 rapport bevat de beheersmaatregelen die afkomstig zijn uit een top down benadering van processen. Omdat de natuurlijke neiging zal zijn het aantal beheersmaatregelen (en daarmee auditwerk) zo beperkt mogelijk te houden, zijn dit vaak zogenaamde ‘key controls’: de belangrijkste beheersmaatregelen waarmee risico’s worden afgedekt. De uitdaging is, en daarbij kan de internal auditor een adviserende rol spelen, het interne beheersingsraamwerk zodanig in te richten dat de ISAE 3402 beheersmaatregelen niet ‘on top of’ zijn, maar onderdeel van het raamwerk.

4.2.3.2 Advisering management over onderhoud van ISAE 3402 rapport Nadat het ISAE 3402 rapport gereed is gekomen, begint het onderhoud. De audit uitmondend in de mededeling van de externe auditor zal (minimaal) jaarlijks plaatsvinden. Met betrekking tot het onderhoud heeft de internal auditor de volgende uitdagingen: • Richting management benadrukken dat ISAE 3402 een continu proces is en dat het niet continu (aantoonbaar) uitvoeren van beheersmaatregelen consequenties kan hebben voor de ISAE 3402 rapportage; en • Toetsing van het rapport aan de organisatie. Belangrijke veranderingen in de organisatie en/of processen moeten leiden tot aanpassing van het ISAE 3402 rapport.

4.3 Enkele praktische vraagstukken 4.3.1 Onderuitbesteding Wanneer de serviceorganisatie zelf uitbesteedt, is sprake van onderuitbesteding. Omdat de uitbesteding invloed kan hebben op het ISAE 3402 rapport van de serviceorganisatie, dient 32

de internal auditor na te gaan of het ISAE 3402 rapport wordt geraakt door de onderuitbesteding. Oftewel, maakt het uitbestede proces onderdeel uit van de reikwijdte, beheersdoelstellingen of beheersmaatregelen? Bij positieve beantwoording van deze vraag, verandert voor het onderuitbestede gedeelte, de serviceorganisatie in een gebruikersorganisatie en geldt voor de internal auditors hetgeen in hoofdstuk 3 is opgenomen. Binnen SAS 70 werden twee methoden genoemd om onderuitbesteding te verwerken gerelateerd aan de impact van de uitbestede activiteiten op de SAS 70 van de serviceorganisatie, bij ISAE 3402 is dit onderscheid niet langer benoemd. Er wordt gerefereerd aan de twee methoden om de onderuitbesteding te verwerken in het ISAE 3402 rapport: • ‘Inclusive method’; Het ISAE 3402 rapport van de serviceorganisatie verandert in dit geval inhoudelijk niet, maar de werkzaamheden wel degelijk. Van elke opgenomen beheersmaatregel zal bij de sub-serviceorganisatie (die de onderuitbestede services voor zijn rekening neemt) een zelfde mate van zekerheid moeten worden gevraagd, zodat de beheersmaatregelen in het ISAE 3402 rapport van de serviceorganisatie kunnen worden opgenomen. Voorts moet in de ‘Inclusive method’, naast de beheersdoelstellingen en de daaraan gerelateerde beheersmaatregelen, ook de beheersomgeving en de mededeling van het management worden opgenomen in het rapport van de serviceorganisatie. • ‘Carve out method’: Bij deze methode worden de beheersomgeving, de beheersdoelstellingen en de daaraan gerelateerde beheersmaatregelen van de sub-serviceorganisatie niet in het ISAE 3402 rapport van de serviceorganisatie opgenomen. Er wordt vanuit ISAE 3402 wel vereist dat de serviceorganisatie inzicht geeft in de wijze waarop de effectiviteit van de beheersmaatregelen binnen de sub-serviceorganisatie worden beoordeeld. Het is van belang de keuze van verwerking van de sub-services in een vroeg stadium te maken, zodat een goede afstemming kan worden gemaakt met de sub-serviceorganisatie. De internal auditor kan het management adviseren bij het maken van de keuze voor een van beide methoden door de uitwerking van beide in kaart te brengen en de afstemming met de sub-serviceorganisatie te faciliteren.

4.3.2 Generiek of maatwerk? Er bestaan twee soorten ISAE 3402 rapporten. De serviceorganisatie kan een generiek rapport ontwikkelen of kiezen voor maatwerk ISAE 3402 rapporten. Hierbij dient in acht genomen te worden dat de ontwikkeling van een ISAE 3402 rapport een complex proces is waardoor het aanbeveling verdient eenvoudig te beginnen. Een generiek rapport is een ISAE 3402 rapport dat aan verschillende klanten kan worden verstrekt. Dit heeft een groot efficiëntievoordeel. Echter de mogelijkheid bestaat dat gebruikersorganisaties hier geen genoegen mee nemen omdat zij specifiek ten aanzien van de aan hen geleverde diensten assurance wensen. Dit kan in de vorm van een maatwerk ISAE 3402 rapport. Voor de gebruiker sluit dit maatwerkrapport veelal beter aan op de behoefte aan assurance, voor de serviceorganisatie betekent dit echter een toename in rapporten en daarmee samenhangende kosten (en de kostendiscussie met de gebruiker). 33

Ook hier blijkt het belang van een helder gedefinieerd beheersingsraamwerk bij de serviceorganisatie. Wanneer beheersmaatregelen immers helder en eenduidig zijn gedefinieerd (voor zowel generieke beheersmaatregelen als eventuele klantspecifieke beheersmaatregelen) dan heeft de serviceorganisatie in principe de mogelijkheid om zowel generieke als maatwerk ISAE 3402 rapporten te leveren of om verschillende maatwerkonderdelen te combineren.

4.3.3 Gebruikerskring In enkele gevallen werd een SAS 70 rapport gebruikt als een marketinginstrument of (onterecht) gepresenteerd als een kwaliteitscertificaat. Met dit andere gebruik is het mogelijk dat het rapport wordt verstrekt aan belangstellenden buiten de gedefinieerde gebruikerskring. Hierbij kan de situatie ontstaan dat gebruik, of mogelijk in sommige gevallen misbruik, wordt gemaakt van de (randen van) vaktechnische uitgangspunten. Voor de internal auditor van de serviceorganisatie is het van belang om de met de externe auditor gemaakte afspraken nauwgezet na te leven. Het ISAE 3402 rapport heeft een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toestemming van de externe auditor die de mededeling heeft verstrekt. De ontvangende partij moet worden geïnformeerd over de beperkte gebruikerskring en het niet verder mogen verspreiden van het ontvangen rapport. Het rapport kan daarbij middels een watermerk worden gekenmerkt zodat ook de ontvangende partij altijd achteraf ‘herkend’ kan worden.

4.3.4 Gecertificeerde auditor Is de persoon die een mededeling afgeeft wel een gecertificeerde auditor? Op zich moet de externe accountant in het kader van COS 402, lid 13 en 14, beoordelen of de auditor van de serviceorganisatie deskundig en onafhankelijk is ten opzichte van de serviceorganisatie. De internal auditor van de gebruikersorganisatie kan dit natuurlijk reeds in een vroeg stadium of zelfs voordat een audit plaatsvindt zelf vaststellen, om vervelende verrassingen achteraf te voorkomen.

34

Bijlage 1 ISAE 3402 vergeleken

36 37

IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA)

Ja (type II verplicht) Ja

American Institute of Certified Public Accountants (AICPA) Auditor (RA/RE)

Redelijke zekerheid

Direct reporting

Voorgeschreven Niet beschreven Mag niet worden opgenomen Management serviceorganisatie, Externe accountant gebruikersorganisatie

Type I: nee Type II: ja

SAS 70 Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de gebruikersorganisatie Ja (type II verplicht) Ja

Type I: nee Type II: ja

Uitgevende instantie

Wie verstrekt een mededeling Soort mededeling Type mededeling Bewoording mededeling Beoordelingscriteria auditor Werkzaamheden internal auditfunctie Gebruikersgroep

Biedt het zekerheid over opzet, bestaan en werking ten behoeve van accountants van gebruikersorganisaties?

Kenmerk Reikwijdte

Testwerkzaamheden in rapport Conclusies in detail in rapport Biedt het zekerheid over opzet, bestaan en werking ten behoeve van accountants van gebruikersorganisaties?

Type I: nee Type II: ja

Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de gebruikersorganisatie

ISAE 3402

Type I: nee Type II: ja

Management serviceorganisatie, Externe accountant gebruikersorganisatie

Moet worden opgenomen, inclusief wijze van review door externe auditor

Specifiek beschreven

Voorgeschreven

Direct reporting

Redelijke zekerheid

Management & Auditor (RA/RE)

ISAE 3402

SAS 70

Kenmerk

Alleen indien de werking over een periode is getest

Optioneel

Optioneel

Reikwijdte zelf te bepalen

COS 3000

Alleen indien de werking over een periode is getest

Niet vooraf bepaald

Niet specifiek beschreven

Vormvrij

Direct reporting of assertion based reporting

Redelijke zekerheid of beperkte zekerheid

Auditor (RA/RE)

IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA)

COS 3000

Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking: ja

Vrijblijvend

Vormvrije best practice benaderingen

Third party mededeling

Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking : ja

Naast de opdrachtgever, één bekende gebruiker of beperkte kring van bekende gebruikers Naast opdrachtgever (deels) onbekende gebruikers (maatschappelijk verkeer)

Auditor

Niet specifiek

Third party mededeling

Nee

Nee

Kwaliteit van het managementproces (operational risk management) - you do what you say you do

ISO (9000)

Nee

Management

Any firm that has been authorised by ISO to certify

International Standards Organisation

ISO (9000)

Inleiding Ten behoeve van het verkrijgen van een externe mededeling bij het door de organisatie opgestelde ISAE 3402 rapport worden onder meer beheersdoelstellingen en beheersmaatregelen opgenomen in dit rapport. De wijze waarop de doelstellingen en maatregelen worden geformuleerd moet voldoen aan een aantal eisen zodat deze aansluit bij de beweringen gerelateerd aan de jaarrekeningcontrole.

Eisen aan beheersdoelstellingen

Bijlage 2 ‘Sound practice’ voor bewoor­ dingen in ISAE 3402 rapporten

Voor beheersdoelstellingen worden de volgende eisen gesteld aan de formulering daarvan: • Specifiek: de doelstelling moet de lezer in staat stellen om precies te begrijpen wat de reikwijdte van de doelstelling is. Bijvoorbeeld: een doelstelling als ‘beheersmaatregelen bieden redelijke zekerheid, dat de afdrachten inkomstenbelasting aan de belastingdienst tijdig, juist en volledig plaatsvinden’ lijkt voldoende, terwijl een verwijzing naar een term als ‘beheersmaatregelen bieden redelijke zekerheid dat alle transacties met de belastingdienst goed zijn’ te algemeen is. • Meetbaar: de doelstelling moet het mogelijk maken om een kwantitatieve evaluatie te maken of de doelstelling wel of niet is gehaald. Dit betekent, dat doelstellingen veelal worden verwoord in termen als volledigheid, juistheid, tijdigheid, autorisatie, bestaan en voorkomen (van bijvoorbeeld registergoederen). Andere, minder frequent gehanteerde beweringen zijn: rechten en verplichtingen, waarderingen en toekenningen alsmede presentatie en openbaarmaking. • Haalbaar en auditable: de service auditor moet in staat zijn voldoende bewijsmateriaal te verzamelen, om te kunnen concluderen of de doelstelling is behaald. Bijvoorbeeld: een doelstelling die omvat ‘klanten zijn tevreden’is niet meetbaar zonder dat specifiek wordt benoemd wat ‘tevreden’ omvat. De service auditor zal derhalve geen oordeel kunnen uitspreken over een dergelijke beheersdoelstelling. • Relevant en realistisch: de doelstelling moet relevant zijn voor de lezer van het rapport. Beheersdoelstellingen beginnen veelal met de volgende woorden: De beheersmaatregelen bieden een redelijke mate van zekerheid, dat… Voorbeelden van doelstellingen die niet voldoen aan de criteria: • De beheersmaatregelen bieden een redelijke mate van zekerheid, dat alle transacties verlopen conform de afspraken binnen de organisatie. Dit is te algemeen. Een externe organisatie is niet op de hoogte van de wijze waarop de transacties moeten verlopen. • De beheersingsmaatregelen geven een redelijke mate van zekerheid dat het beheer en configuratie van systemen zodanig is dat geen risico’s optreden die de integriteit en continuïteit van de dataverwerking kunnen schaden. Het is niet vast te stellen door de auditor dat risico’s niet optreden die een invloed hebben op de integriteit en continuïteit van de dataverwerking. Voorbeelden van doelstellingen die wel voldoen aan de criteria: • De beheersmaatregelen geven een redelijke mate van zekerheid dat (wijzigingen in) 39

stamgegevens van uitkeringsgerechtigden juist, tijdig en volledig worden verwerkt. • De beheersingsmaatregelen geven een redelijke mate van zekerheid dat de toegang tot de applicaties is beperkt tot degene die deze vanuit zijn/haar functie nodig heeft. Eisen aan beheersmaatregelen Voor beheersmaatregelen worden de volgende eisen gesteld aan de formulering daarvan: • Wie (voert de maatregelen uit); oftewel de verantwoordelijke partij voor het uitvoeren van de risico mitigerende activiteit; • Wanneer (hoe vaak, frequentie) wordt de maatregel uitgevoerd (meer dan dagelijks, dagelijks, wekelijks, maandelijks, per kwartaal, jaarlijks); • Wat: een omschrijving van de inhoudelijke activiteit van de beheersmaatregel; • Waar(uit): wat is de bron van de maatregel (indien van toepassing); • Resultaat en vervolgactie: omschrijving van het resultaat van de actie en eventuele daaruit voortvloeiende acties. Wanneer het niet mogelijk is, om de omschrijving van de beheersmaatregel direct aan te laten sluiten aan bovenstaande eisen, bestaat de mogelijkheid om in sectie II van het ISAE rapport nadere specifieke informatie met betrekking tot de beheersmaatregel op te nemen. Hierdoor kan alsnog aan deze eisen worden voldaan, zij het indirect.

40

Literatuur

‘Richtlijn 3402; Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie’, NOREA, zijnde de Nederlandse vertaling van de IAASB publicatie: ‘ISAE 3402 Reporting on controls at a service organization, 19 December 2009’. AICPA Audit Guide, Service organizations: applying SAS No.70, as amended, with conforming changes as of March 1, 2008. Statement on Standards for Attestation Engagements no.16, Reporting on Controls at a Service Organization, April 2010, AICPA. ISAE 3402: een nieuw hoofdstuk voor de IT-auditor, Drs R.Ch.T. Ewals RE, De IT-Auditor, nummer 3, 2010. Zekerheid bij uitbesteding (SAS70), Drs R.Ch.T. Ewals RE, Handboek IT Audting, maart 2009. AU Section 322, the auditor’s consideration of the Internal Audit Function in an audit of Financial Statements (SAS 65). AAF 01/06 - Assurance reports on internal controls of service organisations made available to third parties. Internationale controlestandaard (International Standard on Auditing, ISA) 610 ‘Het in aanmerking nemen van de interne auditwerkzaamheden’.

42

ISAE 3402 en de Internal Auditor Uitbesteding van bedrijfsprocessen heeft de afgelopen tien jaar wereldwijd een enorme vlucht genomen. De eindverantwoordelijkheid voor de uitbestede processen blijft echter rusten bij de bestuurders van de gebruikersorganisatie. In het kader van de jaarrekeningcontrole hebben externe accountants behoefte aan een bevestiging dat de uitbestede processen voldoende worden beheerst. Om richting te geven aan het verschaffen van deze assurance heeft IFAC de International Standard on Assurance Engagements (ISAE) 3402: ‘Assurance reports on controls at service organizations’ uitgevaardigd. Deze Standaard is primair bedoeld voor externe partijen, zoals externe accountants en IT-auditors die zekerheid verschaffen inzake de interne beheersmaatregelen van serviceorganisaties. Met de invoering van deze nieuwe ISAE 3402 is een aantal wijzigingen doorgevoerd die een impact kunnen hebben op de wijze waarop de externe audit wordt uitgevoerd, maar ook op de rol van de internal auditor. Zo wordt meer aandacht geschonken aan de verantwoordelijkheid van de bestuurder van de serviceorganisatie en wordt ook de rol van de internal auditor expliciet onderdeel van de rapportage. Zowel voor de internal auditor bij de gebruikersorganisatie als bij de serviceorganisatie biedt ISAE 3402 volop mogelijkheden om een waardevolle bijdrage te leveren aan de kwaliteit van de interne beheersing. Deze praktijkhandreiking werkt een en ander uit naar praktische modellen.

IIA Nederland Postbus 5135 1410 AC Naarden T: 088 - 003 71 00 F: 088 - 003 71 01 E: [email protected]­ W: www.iia.nl