Beoordeling van een service auditor’s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor
Auteurs: Niels Smit
Enterprise Risk Services Deloitte Accountants B.V.
Ronald van der Wal
Mobile: +31 (0) 6 12 58 16 93 Email:
[email protected] Deloitte. Laan van Kronenburg 2 P.O. Box 175, 1180 AD Amstelveen The Netherlands
Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0) 6 20 25 21 24 Email:
[email protected] Deloitte. Laan van Kronenburg 2 P.O. Box 175, 1180 AD Amstelveen The Netherlands
i
Voorwoord Toen we ruim vier jaar geleden begonnen aan de post-doctorale IT-audit opleiding hadden we niet verwacht in 2011 nog bezig te zijn met onze scriptie. Het theoretische deel was niet het probleem; dat hebben we nominaal kunnen afronden. Het afronden van de scriptie is een ander verhaal gebleken. Deels werd dit veroorzaakt door de niet geringe werkdruk die een Big Four organisatie kent. We gebruiken het woord deels hier bewust; andere studenten is het immers toch gelukt om nominaal af te studeren terwijl ze werkzaam zijn bij een Big Four organisatie. Echter wij liepen anderhalf jaar lang steeds in dezelfde val: “ja” zeggen tegen een nieuwe klus of vraag die bij ons terecht kwam. Inmiddels hebben we geleerd dat dit wellicht goed is geweest voor onze carrière, maar niet voor onze studievoortgang. Toen we een paar maanden geleden dan eindelijk met elkaar afspraken om onze scriptie te gaan afronden, zijn we ook echt aan de slag gegaan. Bijna vanzelfsprekend ( in ons geval dan) haalden we onze interne deadlines lang niet altijd, maar we hebben wel geleerd echt tijd te maken voor de scriptie. Hier en daar een uurtje bleek niet te werken, in onze ervaring moet je echt structureel tijd maken om er serieus mee aan de slag te kunnen gaan. Mede ook dankzij de begeleiding en flexibiliteit van Dr. Abbas Shahim RE ligt het resultaat van dit alles nu voor u.
.
ii
Management samenvatting Aanleiding en onderzoeksvraag Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden (gebruikers organisatie) als bij de auditors van deze organisaties (gebruikers auditor) ontstaat daarmee de behoefte om zekerheid te verkrijgen over de beheersing van deze uitbestede processen, aangezien de uitbestede processen vaak van materieel belang zijn voor de jaarrekening van de gebruikers organisatie. Een service auditor’s rapport is een middel om deze zekerheid te verkrijgen. Er bestaan verschillende typen service auditor’s rapporten, waarvan de bekendste de Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de SAS70 standaard vervangen door de internationale standaard ISAE 3402. In de praktijk merken wij dat de beoordeling van een service auditor’s rapport in het kader van de jaarrekening controle vaak divers wordt aangepakt door de gebruikersauditor. Met deze scriptie geven wij een antwoord op de vraag hoe een service auditor’s rapport dient te worden beoordeeld in het kader van een jaarrekening controle. Mede omdat een service auditor’s rapport vrijwel altijd een grote hoeveelheid IT beheersmaatregelen bevat, en aangezien IT auditors vaak betrokken zijn bij service auditor rapport trajecten, besteden wij expliciete aandacht aan de rol van de IT auditor bij de beoordeling. Onderzoeksaanpak Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en praktijkgericht antwoord te krijgen op de bovenstaande vraagstelling. Aan de hand van een literatuurstudie hebben wij ons verdiept in de standaarden van service auditor’s rapportages en de richtlijnen die aanwezig zijn voor accountants in het kader van de jaarrekeningcontrole. Het praktijk onderzoek is in enquêtevorm uitgevoerd. Omdat er een zekere mate van vaktechnische kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder een geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA’s) en Register EDP-auditors (RE’s) zijn allen regelmatig betrokken bij het beoordelen van een service auditor’s rapport in het kader van een jaarrekeningcontrole. Vervolgens zijn de resultaten van de enquête geanalyseerd aan de hand van de in hoofdstuk 3 geïdentificeerde standaard NV COS 402 en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de aanpak van de RA’s en RE’s. Uiteindelijk hebben wij concrete aanbevelingen opgesteld om de beoordeling van een service auditor’s rapport te verbeteren. Resultaten Uit onze theoretische inventarisatie blijkt dat op dit moment de internationale ISAE 3402 standaard de meest relevante standaard is in de Nederlandse praktijk. Daarnaast is uit ons onderzoek gebleken dat er met de NV COS 402 duidelijke richtlijnen beschikbaar zijn voor de gebruikers auditor ten aanzien van het beoordelen van een service auditor’s rapport. Deze richtlijn is in lijn gebracht met de ISAE 3402 standaard. Ten aanzien van de rol van de IT auditor blijkt echter dat er geen duidelijke richtlijnen zijn; het wordt feitelijk aan het professional judgment van de gebruikersauditor overgelaten om te bepalen of een IT auditor dient te worden ingeschakeld. Uit ons praktijkonderzoek is naar voren gekomen dat de beoordeling van een service auditor’s rapport in grote lijnen conform de NV COS 402 standaard wordt uitgevoerd, maar dat de standaard lang niet bij iedereen bekend is. Wel constateren we dat de beoordeling door de audit professionals met verschillende diepgang wordt uitgevoerd, en dat er daarmee wel een aantal verbeteringen kunnen worden doorgevoerd ten aanzien van de wijze van beoordelen. Ten aanzien van bovenstaande valt bijvoorbeeld op dat de IT auditors meer aandacht hebben voor vaktechnische aspecten rondom de gebruikte standaard. Daarnaast constateren we dat de aandacht voor sub-service organisaties en user control considerations vrij beperkt is. Een ander opvallend punt is dat er slechts summier aandacht wordt besteed aan het vaststellen van de deskundigheid van de service auditor. De rol die de IT auditor heeft bij het beoordelen van een service auditor rapport is in de meeste gevallen conform onze verwachtingen. De IT auditor wordt vaak geraadpleegd voor het
iii
beoordelen van de reikwijdte van de IT beheersmaatregelen en IT bevindingen. Aan de andere kant geven (deels dezelfde) respondenten aan dat dat de beslissing om al dan niet een IT auditor te raadplegen vaker lijkt af te hangen van de complexiteit van de uitbestede processen als van de mate van automatisering. Daarnaast is opvallend dat meerdere accountants hebben aangegeven dat de IT auditor ook een leidende rol heeft bij het beoordelen van vaktechnische aspecten met betrekking tot de gebruikte standaard. Dit komt dan weer overeen met het eerder genoemde punt ten aanzien van de aandacht van de IT auditor voor deze aspecten wanneer de IT auditor een beoordeling uitvoert. Conclusie Zoals eerder al aangegeven concluderen we dat er voldoende richtlijnen zijn voor de gebruikers auditor om de beoordeling van een service auditor’s rapport uit te voeren. Toch zijn de richtlijnen lang niet bij iedereen bekend. In de praktijk worden de aspecten die in de richtlijn worden genoemd ook vrijwel allemaal meegenomen in de beoordeling, maar hebben wij wel een aantal bevindingen geïdentificeerd ten aanzien van de diepgang van de beoordeling. Ten aanzien van de rol van de IT auditor constateren we dat de IT auditor, als deze wordt betrokken bij de beoordeling, de beoordeling met meer detail uitvoert. De afweging van de accountant om de IT auditor in te schakelen kan nog wel worden verbeterd.
iv
v
Inhoudsopgave 1.
2.
Inleiding
1
1.1 1.2 1.3 1.4 1.5 1.6 1.7
1 1 1 1 2 2 2
Het Service Auditor’s Rapport 2.1 2.2 2.3 2.4 2.5 2.6
3
4
5
Introductie Aanleiding Doelstelling Vraagstelling Onderzoek aanpak Reikwijdte van het onderzoek Opbouw van de scriptie
5
Inleiding Basisbegrippen van het service auditor’s rapport Historie van het service auditor’s rapport ISAE 3402 Nationale service auditor rapport standaarden Slotopmerkingen
5 5 6 7 10 11
Richtlijnen voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole.
13
3.1 Inleiding 3.2 De jaarrekeningcontrole 3.3 Richtlijnen voor de jaarrekeningcontrole 3.4 Richtlijnen voor het beoordelen van een service auditor’s rapport 3.6 Slotopmerkingen
13 13 13 14 16
Beoordeling van een service auditor’s rapport in de praktijk
18
4.1 4.2 4.3 4.4 4.5
Inleiding Opzet van de enquête Resultaten Analyse Slotopmerkingen
18 18 18 22 24
Conclusies en aanbevelingen
26
5.1 5.2 5.3 5.4 5.5 5.6
26 26 28 28 29 29
Inleiding Bevindingen en conclusie Aanbevelingen Beperkingen Zelfreflectie Suggesties voor nader onderzoek
Literatuur
30
vi
1.
Inleiding
1.1
Introductie In dit hoofdstuk beschrijven wij de aanleiding van ons onderzoek. Vervolgens behandelen wij het doel wat wij willen bereiken en de centrale vraagstelling die de basis vormt van het onderzoek. Gebruikmakend van een drietal deelvragen wordt de centrale vraagstelling opgesplitst om op gestructureerde wijze de doelstelling te bereiken. In paragraaf 1.5 behandelen wij de opzet van het praktijkonderzoek, waarna in paragraaf 1.6 de opbouw van de scriptie beschreven wordt. Uiteindelijk sluiten wij dit hoofdstuk af door de reikwijdte van het onderzoek te behandelen.
1.2
Aanleiding Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden als bij de auditors van deze organisaties ontstaat daarmee de behoefte om zekerheid te verkrijgen over de beheersing van deze uitbestede processen. [Keij09] In zijn artikel meldt Roos dat een service auditor’s rapport een middel is om transparantie te verkrijgen over deze uitbestede processen, waarna accountants zekerheid kunnen verschaffen over de uitingen die service organisaties in het rapport opnemen. [Roos08] Er bestaan verschillende typen service auditor’s rapporten, waarvan de bekendste de Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de SAS70 standaard vervangen door de internationale standaard ISAE 3402. [Verw09] Deze standaard is bedoeld om een rapportage te bieden die gebruikt kan worden door gebruikersorganisaties en haar auditors over de beheersmaatregelen van een service organisatie die aannemelijk relevant zijn voor de interne controle gerelateerd aan financiële verslaglegging van de gebruikers organisatie. [IFAC09.01] De scope van een service auditor’s rapport kan echter vrij worden bepaald zolang het binnen de voorwaarden van de standaard blijft. Dit betekent dat de auditor van de gebruikersorganisatie er niet vanuit kan gaan dat de scope waarover gerapporteerd wordt middels het service auditor’s rapport ook voldoet aan de eisen vanuit de gebruikersorganisatie. Naast dit punt dienen ook andere aspecten in deze beoordeling van een service auditor’s rapport door de gebruikers auditor te worden meegenomen. Een belangrijk punt is bijvoorbeeld dat indien een service auditor’s rapport een behoorlijk aantal IT beheersmaatregelen bevat, de auditor van de gebruikersorganisatie bij de beoordeling van het rapport de hulp kan inroepen van een specialist. Uit onze ervaring blijkt dat in het kader van de jaarrekeningcontrole het beoordelen van een service auditor’s rapport in de praktijk divers wordt aangepakt.
1.3
Doelstelling Wij willen met deze scriptie een bijdrage leveren door te inventariseren hoe de beoordeling van een service auditor’s rapport in het kader van de jaarrekeningcontrole in de praktijk wordt aangepakt, en indien nodig concrete aanbevelingen te identificeren met betrekking tot het beoordelen van een service auditor’s rapport, met speciale aandacht voor de rol van de IT auditor hierbij.
1.4
Vraagstelling Om een deze doelstelling te behandelen, hanteren wij de volgende centrale onderzoeksvraag die de basis van het onderzoek: Hoe dient een service auditors rapport te worden beoordeeld in het kader van een jaarrekening controle en welke rol speelt de IT auditor hierbij. Om een gestructureerd antwoord te kunnen geven op bovenstaande centrale onderzoeksvraag hebben wij de volgende deelvragen geformuleerd: 1. Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking tot een beoordeling van een service auditor’s rapport in het kader van de jaarrekeningcontrole?
1
2. 3.
1.5
Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors rapport en wordt hier aandacht besteed aan de rol van de IT auditor? Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit conform de richtlijnen?
Onderzoek aanpak Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en praktijkgericht antwoord te krijgen op de centrale onderzoeksvraag. Aan de hand van een literatuurstudie hebben wij ons verdiept in de standaarden van service auditor’s rapportages en de standaarden en richtlijnen die aanwezig zijn voor accountants met betrekking tot het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Vervolgens hebben wij besloten het praktijk onderzoek in enquêtevorm uit te voeren. Om te voorkomen dat wij door het definiëren van gesloten vragen ‘gewenste’ antwoorden zouden uitlokken, hebben wij bewust voor een open hoofdvraag gekozen. Omdat er een zekere mate van vaktechnische kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder een geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA’s) en Register IT auditors (RE’s) zijn allen regelmatig betrokken bij het beoordelen van een service auditor’s rapport in het kader van een jaarrekeningcontrole. De resultaten van de enquête zijn geanalyseerd aan de hand van de geïdentificeerde standaarden (zie hoofdstuk 2 en 3) en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de aanpak van de RA’s en RE’s. Uiteindelijk hebben we concrete aanbevelingen opgesteld om de beoordeling van een service auditor’s rapport te verbeteren.
1.6
Reikwijdte van het onderzoek De reikwijdte van ons onderzoek is het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle en de rol van de IT auditor hierbij. Dit betekent dat wij ingaan op de verantwoordelijkheden van de gebruikers auditor, en nadrukkelijk niet op de verantwoordelijkheden van de service auditor.
1.7
Opbouw van de scriptie De scriptie is opgebouwd uit drie delen: • Beschrijving • Analyse • Beschouwing en conclusie Beschrijving De eerste drie hoofdstukken vormen het beschrijvende deel van het onderzoek. In hoofdstuk 2 zal antwoord gegeven worden op deelvraag 1 door dieper in te gaan op de belangrijke kenmerken van een service auditor’s rapport. Dit aspect behandelen wij aan de hand van de nieuwe internationale ISAE 3402 standaard, maar ook met aandacht voor de verschillen tussen deze nieuwe standaard en haar voorganger, de Amerikaanse SAS70 standaard. Hoofdstuk 3 zal antwoorde geven op deelvraag 2 door de theorie rondom de jaarrekening controle zelf en de beschikbare richtlijnen ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole te behandelen. Daarbij zoeken wij specifiek ook naar richtlijnen ten aanzien van de rol van de IT auditor bij dit proces. Analyse Het tweede deel van dit onderzoek, hoofdstuk 4, betreft het onderzoek van de huidige manier van beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle en geeft hiermee antwoord op deelvraag 3. Het onderzoek wordt uitgevoerd aan de hand van een enquête, waarna de resultaten worden geanalyseerd aan de hand van de NV COS 402 standaard uit de theorie. Aangezien wij vanuit onze praktijkervaring hebben gemerkt dat zowel accountants als IT auditors betrokken zijn bij het beoordelen van service auditor’s rapporten hebben wij ook de verschillen in aanpak tussen beide beroepsgroepen proberen te identificeren.
2
3
Beschouwing en conclusie Tenslotte volgt in hoofdstuk 5 een beschouwend gedeelte waar wij op basis van de reeds verzamelde informatie, de inventarisatie en ons professional judgment komen tot een conclusie ten aanzien van de centrale onderzoeksvraag. In dit deel van de scriptie hebben wij ook een aantal concrete aanbevelingen opgenomen om het beoordelings proces te optimaliseren, waarbij wij specifiek aandacht besteden aan de rol van de IT auditor bij dit proces.
4
2.
Het Service Auditor’s Rapport
2.1
Inleiding In vrijwel alle sectoren besteden organisaties vandaag de dag diensten uit aan derde partijen. Daarbij gaat het om een veelheid aan diensten, variërend van IT en salarisverwerking tot en met processen op het gebied van administratie of vermogensbeheer. Als gevolg van uitbesteding van processen is er steeds meer behoefte aan zekerheid hierover. [Keij09] Een middel om meer zekerheid ofwel assurance te verkrijgen over uitbestede processen is het service auditors rapport. Een service auditors rapport is de verzamelnaam voor alle rapportage standaarden waarmee zekerheid kan worden verkregen over uitbestede processen [Beek10]. In de huidige praktijk komt de Amerikaanse SAS70 standaard het meeste voor. Inmiddels is er echter ook een internationale standaard beschikbaar, de ISAE 3402. De Amerikaanse SAS70 standaard is kortgeleden ook in lijn gebracht met de internationale standaard, wat geresulteerd heeft in de SSAE-16 standaard. Wij beogen met dit hoofdstuk niet een compleet overzicht te geven van alle beschikbare service auditor rapport standaarden en de verschillen tussen deze standaarden. Over dit onderwerp zou een complete scriptie geschreven kunnen worden. Wel zullen we een beeld schetsen van wat een service auditors rapport is en welke aspecten belangrijk zijn met het oog op de beoordeling ervan. Aangezien wij verwachten, mede op basis van gesprekken met onze klanten, dat de ISAE 3402 standaard in de Nederlandse praktijk het meeste zal voorkomen zullen wij ons in dit hoofdstuk focussen op de ISAE 3402 standaard. Echter, aangezien de SAS70 standaard op dit moment nog het meeste voorkomt, zullen we ook de belangrijkste verschillen tussen de ISAE 3402 en de SAS70 standaard behandelen ten aanzien van de aspecten die van belang zijn bij de beoordeling van een service auditor’s rapport. Daarnaast staan we kort stil bij enkele andere voorkomende standaarden. Dit hoofdstuk is als volgt opgebouwd: In paragraaf 2.2 behandelen we de basisbegrippen van service auditors rapport. In paragraaf 2.3 staan we even kort stil bij de historie van een service auditors report. Vervolgens gaan we in paragraaf 2.4 in op de nieuwe ISAE 3402 standaard en de kenmerken die van belang zijn bij de beoordeling ervan. In paragraaf 2.5 staan we stil bij relevante nationale standaarden. Tenslotte behandelen we in paragraaf 2.6 slotopmerkingen.
2.2
Basisbegrippen van het service auditor’s rapport In deze paragraaf geven we een overzicht van de basisbegrippen ten aanzien van een service auditors rapport. Onderstaand figuur geeft deze basisbegrippen weer.
5
Figuur 1: relaties ten aanzien van een Service auditor’s rapport De volgende partijen zijn hierbij relevant: • de gebruikers organisatie: de organisatie die een dienst of proces heeft uitbesteed aan de service organisatie. • de service organisatie: de organisatie die de dienst van de gebruikers organisatie uitvoert op basis van afspraken met de gebruikersorganisatie • gebruikers auditor: De auditor van de gebruikers organisatie • service auditor: De auditor die op verzoek van de service organisatie rapporteert over de interne beheersing met betrekking tot de door de service organisatie uitgevoerde werkzaamheden. Zoals in figuur 1 aangegeven is er een relatie tussen de gebruikers organisatie en de service organisatie. De gebruikers organisatie heeft een dienst uitbesteed en heeft hier afspraken over gemaakt met de service organisatie. Vaak zijn deze afspraken vastgelegd in onder andere een Service Level Agreement. Indien de uitbestede dienst van materieel belang is en daarmee invloed heeft op de jaarrekening van de gebruikers organisatie, zijn de vastgelegde afspraken echter niet voldoende voor de gebruikers auditor. Volgens de NV COS 402 standaard, die we in hoofdstuk 3 verder zullen behandelen, dient de gebruikers auditor zich een beeld te vormen van de interne beheersing van de service organisatie, en dient de auditor zekerheid te verkrijgen over deze interne beheersing van der service organisatie. Zoals eerder aangegeven is het service auditors rapport daar een middel voor.
2.3
Historie van het service auditor’s rapport De historie van het service auditor’s rapport kan het beste worden omschreven aan de hand van de geschiedenis van de SAS70 standaard. De SAS70 of voluit geschreven ‘Statement on Auditing Standards No. 70: Service Organizations’ was een audit standaard die in april 1992 is uitgegeven door de Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA), onder de officiële titel “Reports on the Processing of Transactions by Service 1 Organizations”. In 2005 bracht de AICPA een geactualiseerde audit guide uit voor SAS70, genaamd ‘Service Organizations: Applying SAS No. 70, as Amended’ en maakte tot op heden deel uit van ‘AU Section 324 Service Organizations’, maar in de praktijk wordt nog steeds de term SAS70 gebruikt. [AICPA05] In Nederland is het eerste SAS70 rapport uitgebracht in 2000 en heeft het daarna een grote vlucht genomen, mede door de steeds strengere eisen die er werden gesteld aan een verantwoording van een goed ondernemingsbestuur. Dit heeft geleid tot regelgeving, zoals de uitbestedingsrichtlijnen voor verzekeraars en pensioenfondsen van De Nederlandse Bank en het vastleggen van sectie 404 uit de Amerikaanse Sarbanes-Oxleywetgeving in 2002 [Verw08]. Uit een
6
onderzoek van Deloitte voor het Money Management Institute blijkt dat SAS70 de jaren daarna meer en meer bekend is geworden. In 2008 was meer dan 90% van de respondenten al met SAS70 in aanraking gekomen en meer dan 80% heeft zelfs inhoudelijke kennis over het rapport en de standaard zelf ontwikkeld over de jaren. [MMI08].
2.4
ISAE 3402 Zoals in de inleiding aangegeven wordt de ISAE 3402 standaard gebruikt om het service auditors rapport verder toe te lichten. We beginnen met een beschrijving van hoe de standaard tot stand is gekomen. Daarna zullen we ingaan op de belangrijkste aspecten van de standaard met het oog op de beoordeling ervan. 2.4.1 Van exposure draft naar standaard De International Standard on Assurance Engagements (ISAE) 3402 is een nieuwe standaard voor assurance opdrachten bij uitbesteding. De ISAE 3402 is ontwikkeld door de International Auditing and Assurance Standards Board (IAASB), een comité wat onderdeel is van de International Federation of Accountants (IFAC). De IAASB is verantwoordelijk voor het ontwikkelen van onder andere audit standaarden. De IAASB volgt hiervoor een gestructureerd proces en werkt nauw samen met haar consultatie advies groep. De ‘exposure draft’ voor de ISAE 3402 is uitgebracht in december 2007 en werd er om publiekelijk commentaar gevraagd aan verschillende internationaal gewaardeerde organisaties. Ontvangen reacties zijn door de IAASB beoordeeld en resulteerde uiteindelijk in de definitieve versie van de ISAE 3402 standaard die uitgebracht is op 18 december 2009. De ISAE 3402 gaat in voor opdrachten met periodes eindigend op of na 15 juni 2 2011.
1) Zie http://sas70.com2.4.2 voorKenmerken meer informatie ISAE 3402 standaard In deze paragraaf gaan we in op de kenmerken van de ISAE 3402 standaard. Zoals eerder aangegeven beogen we geen volledig overzicht te geven van de standaard, maar halen we de belangrijkste aspecten aan in het licht van onze onderzoeksvraag: hoe beoordeel je een service auditor’s rapport in het kader van de jaarrekening controle. Daarnaast geven we voor de verschillende aspecten aan hoe ze zich verhouden tot de SAS70 standaard. Voor een compleet overzicht van de kenmerken van de ISAE 3402 standaard verwijzen wij naar de standaard zelf [IFAC09.01]. Voor een compleet overzicht van de verschillen met de SAS70 standaard verwijzen wij naar Ewals [Ewals10] of van Beek [Beek10] Reikwijdte van de ISAE 3402 standaard Processen met impact op de financiële verslaglegging In de definitieve versie van de ISAE 3402 standaard wordt uiteindelijk aangegeven dat de scope van de processen waarover de service auditor rapporteert, conform de SAS70 standaard, enkel mag bestaan uit processen met een impact op de financiële verslaggeving van gebruikersorganisaties [Beek10]. Dit is een opvallend punt aangezien er bij de exposure draft nog sprake was van een verbreding van de scope met processen zonder impact op de financiële verslaggeving. Toch meldt Ewals in zijn recente artikel: “Wel is door de IAASB de deur opengezet voor een grotere reikwijdte door in de ISAE-teksten op te nemen, waarin is aangegeven dat beheersmaatregelen rondom operations van de serviceorganisatie en compliance met wet- en regelgeving ook relevant kunnen zijn voor de financial reporting van de user organisatie.” [Ewals10] In de ISAE 3402 standaard lezen wij “This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice to provide a report for use by user entities and their auditors on the controls at a service organization that provides a service to user entities that is likely to be relevant to user entities’ internal control as it relates to financial reporting”. [IFAC09.01] Naar onze mening is het gebruik van de woorden ‘likely to be relevant’ hier verwarrend aangezien op deze manier onduidelijkheid kan ontstaan over de geoorloofde scope. De verschillende meningen onder de experts bevestigen dit beeld. Het is in ieder geval duidelijk dat de standaard overige processen niet per definitie uitsluit.
7
In de praktijk verwachten wij overigens, mede op basis van feedback van onze klanten, dat service organisaties de introductie van de ISAE 3402 standaard zullen gebruiken om de reikwijdte van hun huidige SAS70 rapportage te beperken tot processen die daadwerkelijk impact hebben op de financiële verslaggeving, ook al was het formeel onder de SAS70 standaard ook niet geoorloofd om andersoortige processen op te nemen. Richtlijnen ten aanzien van reikwijdte en diepgang Een ander punt ten aanzien van de reikwijdte van de ISAE 3402 standaard is dat de standaard zelf geen richtlijnen (guidance) bevat ten aanzien van de welke processen dan impact hebben op de financiële verslaggeving, of met welke diepgang deze processen dienen te worden meegenomen in het interne beheersingsraamwerk van de service organisatie. Het is daarmee feitelijk aan de service organisatie, al dan niet in overleg met de service auditor, gebruikers organisatie en wellicht ook de gebruikers auditor, om te bepalen welke processen in scope zouden moeten zijn en met welke diepgang de beheersmaatregelen worden gedefinieerd. Voor de gebruikers auditor blijft het daarmee van uitermate groot belang om de reikwijdte en diepgang van een service auditor’s rapport te beoordelen, en niet aan te nemen dat de reikwijdte voldoende is.
2)
Typen rapporten In de ISAE3402 standaard en feitelijk conform de SAS70 standaard, zijn er twee typen rapporten te onderscheiden, namelijk: • Type I rapport – in dit rapport geeft de service auditor in haar mededeling een redelijke mate van zekerheid over de opzet en het bestaan van de interne beheersing van de service organisatie op een bepaalde datum. De mededeling die de service auditor afgeeft omvat dat de beschrijving van het ‘systeem’ van de service organisatie een getrouw beeld geeft en dat de interne interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet [IFAC09.01]. • Type II rapport – In dit rapport geeft de service auditor in haar mededeling naast de opzet en bestaan ook een redelijke mate van zekerheid over dat de interne beheersmaatregelen Zie http://www.ifac.org voor meer informatie hebben gewerkt over een bepaalde periode. [IFAC09.01] In de praktijk wordt het type I rapport gebruikt als ‘opstap’ naar een type II rapport. Een type I rapport is in het kader van de jaarrekeningcontrole van weinig waarde aangezien de gebruikersauditor zich alleen een beeld kan vormen van de interne beheersing bij de service organisatie, maar niet over de werking van deze interne beheersing. Het zal dan vaak nodig zijn om zelf werkzaamheden uit te voeren om de effectieve werking van geïmplementeerde beheersmaatregelen vast te stellen. Management verklaring Onder de SAS 70 standaard gaf de service auditor in haar mededeling een opinie af over de opzet, het bestaan en, indien het een Type II rapport betrof, de werking van de interne beheersmaatregelen van de service organisatie. Bij de ISAE 3402 standaard is, naast deze opinie die afgegeven wordt door de service auditor, ook het management van de service organisatie verplicht een getekende verklaring af te geven. Middels deze verklaring dient de service organisatie te verklaren dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria: a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum; b. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; c. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten (NB: alleen van toepassing bij een type II rapport.) [IFAC09.01] Uit de toelichting in de ISAE 3402 standaard wordt aangegeven: “Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar bewering te verschaffen.” Dit betekent dat de ISAE 3402 standaard vereist dat de service
8
organisatie zelf procedures hanteert om de opzet, bestaan en werking van haar interne beheersmaatregelen te toetsen om zo een redelijke basis te hebben voor haar management verklaring. De standaard geeft niet expliciet aan wat nu precies deze redelijke basis is. Dit zal dus over worden gelaten aan het professional judgment van de service auditor. Wij verwachten dat de Big Four kantoren interne richtlijnen zullen gaan opstellen met betrekking tot dit punt. Een bijkomend vraagstuk met betrekking tot de managementverklaring is vervolgens de discussie rondom de tekenbevoegdheid van de managementverklaring. Het is vanuit de standaard namelijk onduidelijk welke personen binnen het management van de service organisatie nu wel of niet de verklaring mogen ondertekenen. In de standaard valt te lezen: “Where this ISAE requires the service auditor to inquire of, request representations from, communicate with, or otherwise interact with the service organization, the service auditor shall determine the appropriate person(s) within the service organization’s management or governance structure with whom to interact. This shall include consideration of which person(s) have the appropriate responsibilities for and knowledge of the matters concerned.”[IFAC09.01] Ook hier verwachten wij dat de verschillende kantoren daar eigen richtlijnen zullen ontwikkelen. In het kader van ons onderzoek kunnen wij gebruikers auditors die een ISAE 3402 rapport beoordelen adviseren om de service organisatie of service auditor te vragen hoe er met bovenstaande punten wordt omgegaan, te meer aangezien de standaard niet vereist dat de service auditor rapporteert over de omgang ten aanzien van bovenstaande punten. Mededeling van de service auditor Een opvallend punt is dat, ondanks het feit dat het management zelf verklaart dat de interne beheersing effectief heeft gewerkt, de service auditor haar mededeling nog steeds dient te formuleren als een ‘direct reporting’ conclusie.[IFAC09.01] Dit betekent dat de service auditor in haar mededeling niet verwijst of steunt op de management verklaring of de werkzaamheden die het management heeft uitgevoerd, maar aangeeft tot het oordeel te zijn gekomen op basis van eigen werkzaamheden. Daarmee verschilt de mededeling onder de ISAE 3402 standaard niet van de mededeling onder de SAS70 standaard. Sub-service organisaties Het komt in de praktijk regelmatig voor dat de service organisatie op haar beurt een deel van haar processen heeft uitbesteed aan een andere service organisatie. Zo’n service organisatie wordt een sub-service organisatie genoemd. Een volledige definitie van een sub-service organisatie wordt door ISAE 3402 als volgt beschreven: een service organisatie gebruikt door een andere service organisatie om een deel van haar diensten uit te voeren ten behoeve van de gebruikersorganisatie die relevant kunnen zijn tot de interne controle van de gebruikersorganisatie waar het relateert aan de financiële verslaggeving. [IFAC09.01] De ISAE 3402 standaard voorziet, ook weer conform de SAS70 standaard, in twee methoden ten aanzien van de omgang met sub-service organisaties: • Inclusive methode Bij deze methode neemt de service organisatie de sub-service organisatie mee in de reikwijdte van het ISAE 3402 rapport en wordt de beheersomgeving en daarmee de relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie onderdeel van de scope van het service auditors rapport. The service auditor test de beheersmaatregelen bij de sub-service organisatie en rapporteert in het service auditors rapport over de resultaten. Hiermee geeft de service auditor ook een redelijke mate zekerheid over de interne beheersomgeving van de sub-service organisatie. • Carve out methode Bij deze methode wordt de sub-service organisatie buiten de reikwijdte van het service auditors rapport gehouden en neemt de service organisatie alleen de diensten die zij zelf uitvoert op in het service auditor’s rapport. De beheersomgeving, relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie worden niet meegenomen als object van onderzoek voor de audit, waardoor er door de service auditor ook geen zekerheid wordt gegeven over de interne controle van de sub-service organisatie. In deze gevallen zal de sub-service organisatie vaak zelf een service auditors rapport afgeven.
9
Een belangrijk verschil met de SAS70 standaard is dat er in het geval van de inclusive methode, het volgens de ISAE 3402 standaard ook verplicht is om een management verklaring van de subservice organisatie op te nemen. In de standaard staat te lezen: “De opname methode (inclusive methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de subserviceorganisatie hierin voorziet.” [IFAC09.01]. Wij verwachten dat de inclusive methode gezien bovenstaande minder vaak zal voorkomen. In deze gevallen zal de sub-service organisatie waarschijnlijk zelf een service auditor’s rapport uitbrengen. Dat betekent dat in het kader van de beoordeling van een service auditor’s rapport het dan ook vaker zal voorkomen dat de gebruikers auditor de rapportages van de sub-service organisaties dient te beoordelen. In hoofdstuk 4 gaan we verder op dit punt in. Aanvullende interne beheersmaatregelen van de gebruikende entiteit Conform de SAS70 standaard is de service organisatie ook bij de ISAE 3402 standaard verplicht om eventuele aanvullende interne beheersmaatregelen waarvan de service organisatie aanneemt dat deze geïmplementeerd zijn bij de gebruikers organisatie op te nemen in het rapport [IFAC09.01]. Hierbij gaat het om beheersmaatregelen die noodzakelijk zijn om de interne beheersdoelstellingen waarover de service auditor rapporteert, te behalen. Een voorbeeld hiervan is bijvoorbeeld een salarisverwerker die in de aanvullende interne beheersmaatregelen aangeeft dat de salarismutaties die de gebruikersorganisatie aan de service organisatie doorgeeft juist en volledig dienen te zijn.
Werkzaamheden uitgevoerd door Internal Audit Vanuit de ISAE 3402 standaard is de service auditor verplicht om een beschrijving op te nemen van eventuele testwerkzaamheden die zijn uitgevoerd door de Internal Auditor en een beschrijving van de invloed van deze werkzaamheden op de opinie van de service auditor [IFAC09.01]. Onder de SAS70 standaard werden activiteiten uitgevoerd door Internal Audit onder verantwoordelijkheid van de service auditor uitgevoerd en hoefden deze niet vermeld te worden in de rapportage.
2.5
Nationale service auditor rapport standaarden Zoals eerder aangegeven is de ISAE 3402 de eerste internationale standaard ten aanzien van assurance over uitbestede processen. Naast de Amerikaanse SAS70 standaard zijn in andere landen in de loop der jaren verschillende standaarden ontstaan. In figuur 2 geeft Gaskin een overzicht van aantal standaarden waar de ISAE 3402 invloed op zal hebben. Zij geeft hierbij aan dat nationale organisaties die standaarden ontwikkelen er op aangedrongen worden om ofwel de ISAE 3402 direct toe te passen ofwel hun huidige standaard er nauw op de ISAE 3402 aan te sluiten. [Gas09]
Figuur 2: relatie ISAE 3402 met bestaande standaarden
10
Het advies van Gaskin is door de Auditing Standards Board van de AICPA al overgenomen. In April 2010 heeft de AICPA de opvolger van de SAS 70 standaard gepubliceerd, de Statement on Standards for Attestation Engagements (SSAE) 16. SSAE 16 zal de SAS 70 standaard vervangen als de standaard van rapportering over service organisaties voor periodes eindigend op of na 15 juni 3 2011. De SSAE 16 standaard is hiermee feitelijk de Amerikaanse ‘vertaling’ van de internationale ISAE 3402 standaard. Ten opzichte van de ISAE 3402 standaard is er wel een aantal verschillen, maar de kenmerken die van de ISAE 3402 die wij in de vorige paragraaf hebben behandeld zijn ook voor de SSAE 16 standaard van toepassing. In het kader van onze onderzoeksvraag voert het dan ook te ver om verder stil te staan bij deze verschillen. Wij verwijzen de lezer graag naar de 3 website gewijd aan de standaard voor meer informatie . Inmiddels is ook de Nederlandse vertaling van de ISAE 3402 standaard beschikbaar vanuit NOREA. Alhoewel er meer verschillen zijn, is het opvallend dat waar de IFAC aangeeft bij de scope van de standaard: “This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice…“ [IFAC09.01], NOREA ervoor kiest om de term ‘professional accountant in public practice’ te vertalen met ‘beroepsbeoefenaar’ [NOREA11]. NOREA geeft dan ook aan in een voetnoot dat de term beroepsbeoefenaar “de IT-auditor, zoals gedefinieerd in het Reglement Gedragscode” betreft. Dat betekent dat een ISAE 3402 rapport in Nederland ook zou kunnen worden afgegeven door een ‘interne’ IT auditor en niet per definitie een IT auditor binnen een professional services kantoor. De overige standaarden die door Gaskin worden genoemd komen in de Nederlandse praktijk niet of nauwelijks voor. We gaan dan ook niet verder op deze standaarden in. Een standaard die we in Nederland wel regelmatig tegenkomen is de De Third Party Mededeling of “Derde Partij Mededeling”. Dit is een in Nederland gebruikt service auditors rapport zonder vormvoorschriften voor de wijze van rapporteren. [Vries08] Deze vorm van een service auditor rapport is ontstaan door een vraag naar standaardisatie in IT onderzoeken naar de kwaliteit in beheersing door ITdienstverleners. [Jonk07]. Inmiddels wordt de TPM vrijwel altijd onder de assurance standaard NV COS 3000 “Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie” afgegeven. Hoewel de NV COS 3000 standaard niet specifiek 3) Zie http://www.ssae-16.com meer informatie gericht isvoor op de betrouwbaarheid en integriteit van de financiële verslaggeving, komt het in de praktijk regelmatig voor dat er in het kader van een jaarrekening gebruik wordt gemaakt van een rapport onder NV COS 3000. Veel van de kenmerken van de ISAE 3402 standaard gelden niet voor de een service auditors rapportage uitgebracht onder NV COS 3000. Zoals we in hoofdstuk 3 zullen laten zien wordt er in de richtlijnen ten aanzien van het gebruikmaken van een service auditor’s rapport echter geen onderscheid gemaakt naar de standaard waaronder het service auditor’s rapport is uitgebracht. Dat betekent dat indien de gebruikers auditor gebruik zou willen maken van rapport onder NV COS 3000, hij of zij extra aandacht zal moeten besteden om te bepalen of het rapport wel geschikt is voor het gebruik in het kader van de jaarrekeningcontrole.
2.6
Slotopmerkingen We hebben met dit hoofdstuk de benodigde achtergrond ten aanzien van het service auditor’s rapport verschaft om later in deze scriptie te kunnen aangeven hoe een service auditor’s rapport dient te worden beoordeeld. Aan de hand van de nieuwe internationale standaard ISAE 3402 hebben we de belangrijke aspecten van een service auditor’s rapport toegelicht in het kader van het beoordelen van een service auditor’s rapport. Daarnaast hebben we de reikwijdte van een service auditor’s rapport behandeld, en we hebben aangegeven welke verschillen er op deze punten bestaan met de op dit moment veel voorkomende SAS70 standaard. Tenslotte hebben we kort stilgestaan bij enkele relevante nationale standaarden. Uit dit hoofdstuk blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment.
11
Voor de gebruikers auditor betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan met name de reikwijdte en diepgang van een service auditor’s rapport. De gebruikers auditor zal zich moeten verdiepen in de afwegingen die (al dan niet expliciet) zijn gemaakt door zowel de service auditor als de service organisatie.
12
3
Richtlijnen voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole.
3.1
Inleiding In dit hoofdstuk gaan wij na welke richtlijnen er beschikbaar voor het beoordelen van een service auditors rapport in het kader van de jaarrekening controle en of in deze richtlijnen aandacht wordt besteed aan de rol van de IT auditor. In paragraaf 3.2 schetsen wij eerst een korte achtergrond van de jaarrekening controle zelf voordat wij in paragraaf 3.3 de richtlijnen behandelen die de accountant helpen de jaarrekening controle uit te voeren. Vervolgens zullen wij in paragraaf 3.4 ingaan op richtlijnen die zijn opgesteld ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. Ten slotte zal paragraaf 3.5 achterhalen in welke mate de richtlijnen aandacht besteden aan de rol van een IT auditor tijdens het beoordelen van een service auditor’s rapport.
3.2
De jaarrekeningcontrole Sinds de vernieuwing van de Wet op de jaarrekening van ondernemingen (WJO, hoofdstuk 12) zijn vanaf 1971 niet alleen voor Naamloze Vennootschappen, maar voor alle rechtspersonen de voorschriften omtrent de inhoud van het jaarverslag verscherpt [Dorr08]. In het kader van externe verslaggeving zijn alle rechtspersonen verplicht een jaarverslag uit te brengen. De externe verslaggeving is gericht op het informeren van belanghebbenden over de ontwikkelingen binnen een onderneming. Het jaarverslag bestaat uit financiële informatie en uit informatie die gericht is op het geven van een goede beeldvorming van de onderneming. De jaarrekening is een onderdeel van het jaarverslag en bestaat uit de balans, winst- en verliesrekening, toelichtingen en de accountantsverklaring. Er zijn verschillende definities van de jaarrekening en om deze reden starten wij bij de beschrijving uit de Van Dale: “staat van ontvangsten en uitgaven over een heel boekjaar”. Dit is een zeer bondige definitie en laat naar onze mening onvoldoende het doel zien van de jaarrekening. Wij kunnen ons meer vinden in de definitie uit Titel 9 van het Burgerlijk Wetboek 2: “De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als aanvaardbaar worden beschouwd een zodanig inzicht dat een verantwoord oordeel kan worden gevormd omtrent het vermogen en het resultaat, alsmede voor zover de aard van de jaarrekening dat toelaat, omtrent de solvabiliteit en de liquiditeit van een rechtspersoon”
3.3
Richtlijnen voor de jaarrekeningcontrole Internationaal is IFAC de organisatie die zich bezig houdt om een accountantsberoep te ontwikkelen en te bevorderen dat in staat is op uniforme wijze diensten te verlenen van hoge kwaliteit ten behoeve van het algemeen belang. Binnen Nederland is het Koninklijk NIVRA als lid van IFAC verplicht het werk van IFAC te ondersteunen door haar leden te informeren over alle uitspraken van IFAC en met name de implementatie van de Standaarden van IFAC in de Nederlandse wet- en regelgeving te bewerkstelligen, voor zover dat onder de plaatselijke wet- en 4 regelgeving mogelijk is. Dit heeft als resultaat dat de ISA (International Standards on Auditing) richtlijnen uitgebracht door IFAC worden opgenomen door het NIVRA in de nationale Nadere Voorschriften Controle- en Overige Standaarden (NV COS) welke zijn opgenomen in de Handleiding Regelgeving Accountancy. Ten behoeve van de auditor van een organisatie heeft het NIVRA een Stramien opgesteld wat een referentiekader geeft voor accountants in de accountantspraktijk die een assurance-opdracht uitvoeren, anderen die betrokken zijn bij assurance-opdrachten, waaronder de beoogde gebruikers van een assurance-rapport en de verantwoordelijke partij en de beroepsorganisaties (NIVRA/NOvAA) bij de ontwikkeling van Controlestandaarden, Standaarden voor Beoordelingsopdrachten en Standaarden voor Assurance-opdrachten. Dit Stramien bepaalt en omschrijft de elementen en doelstellingen van een assurance-opdracht en geeft aan op welke
4) Zie http://www.nivra.nl voor meer informatie
13
opdrachten de Controlestandaarden, de Standaarden voor Beoordelingsopdrachten en de 4 Standaarden voor Assurance-opdrachten van toepassing zijn. Dit Stramien beschrijft geen procedurele eisen voor de uitvoering van assurance-opdrachten, maar zijn richtlijnen opgenomen zoals algemene uitgangspunten en noodzakelijke werkzaamheden. Wij zullen kort dit Stramien behandelen om zo tot de richtlijnen te komen die wij verder willen toelichten in het kader van ons onderzoek. Het Stramien is opgebouwd uit de volgende delen: · 100 - 999 Opdrachten tot controle van historische financiële informatie · 2000 - 2699 Opdrachten tot beoordelen van historische financiële opdrachten · 3000 - 3699 Assurance opdrachten anders dan opdrachten tot controle of beoordelen van historische financiële informatie · 4000 - 4699 Aan assurance verwante opdrachten · 5000 - 5699 Overige opdrachten Uit bovenstaande opbouw van het Stramien is te zien dat in de NV COS onderscheid wordt gemaakt naar historische financiële informatie, zoals een jaarrekening, en andersoortige informatie. Wij zijn van mening dat dit onderscheid van belang is voor de toepassing van de juiste standaarden van de NV COS op het gebied van assurance-opdrachten. Vanuit de reikwijdte van ons onderzoek beperken wij ons om deze reden tot de NV COS 100 - 999 “opdrachten tot controle van historische financiële informatie”.
3.4 Richtlijnen voor het beoordelen van een service auditor’s rapport In de voorgaande paragraaf hebben wij kort het NIVRA stramien behandeld en een beperking aangebracht tot opdrachten tot controle van historische financiële informatie. In deze paragraaf gaan wij verder in op de vraag welke NV COS richtlijnen van toepassing zijn op het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. Hierbij is het belangrijk aan te geven dat wij niet op zoek zijn naar richtlijnen bedoeld voor de service auditor (deze zijn beschikbaar als onderdeel van de verschillende standaarden), maar naar de richtlijnen bedoeld voor de gebruikers auditor. In de Handleiding Regelgeving Accountancy (HRA) van 2010 zijn de standaarden die betrekking hebben op ons onderzoek niet volgens de laatste IFAC standaarden. [NIVRA10] IFAC heeft namelijk tegelijk met het ISAE 3402 traject de standaard ISA 402 in lijn gebracht. [IFAC09.02]. Om deze reden gebruiken wij de Inhoud Handleiding Regelgeving Accountancy Deel 1a - januari 2011 waar de nieuwe NV COS standaarden vermeldt 4 staan zoals vastgesteld door het bestuur per 15 januari 2011. Het NIVRA heeft ten behoeve van het beoordelen van een service auditor’s rapport de standaard NV COS 402 “Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie” opgesteld. De NV COS 402 behandelt de verantwoordelijkheid van de gebruikers auditor ten aanzien van het verkrijgen van voldoende controle informatie wanneer een gebruikersorganisatie gebruik maakt van één of meer service organisaties. De diensten die door een service organisatie worden verleend moeten hierbij relevant zijn voor de financiële jaarrekening van de gebruikersorganisatie. [NIVRA11.03] Hieronder zijn de belangrijkste delen van de NV COS 402 standaard opgenomen. •
Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de serviceorganisatie te ondersteunen · Vergewissen dat de accountant van de serviceorganisatie deskundig is en onafhankelijk van de serviceorganisatie; · Vergewissen dat de standaarden waaronder het type 1 of type 2 rapport is uitgebracht, adequaat zijn.
14
Wanneer de accountant van de gebruiker van plan is om een type 1 of type 2 rapport te gebruiken als controle-informatie teneinde het inzicht van de accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen, 4) Zie http://www.nivra.nl voor meer informatie dient de accountant: · Te evalueren of de beschrijving, de opzet en de werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum of voor een periode is die passend is voor de doeleinden van de accountant van de gebruiker; · Te evalueren of de informatie die door het rapport wordt verschaft voldoende en geschikt is voor het inzicht in de voor de controle relevante interne beheersing van de gebruikende entiteit · Te bepalen of aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend relevant zijn voor de gebruikende entiteit en, zo ja, inzicht te verwerven of de gebruikende entiteit dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de werking daarvan te toetsen; •
•
Indien de accountant van de gebruiker van plan is een type 2 rapport te gebruiken als controle-informatie dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient de accountant van de gebruiker te bepalen of de rapportage van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft betreffende de effectiviteit van de interne beheersingsmaatregelen teneinde de risicoinschattingen van de accountant van de gebruiker te ondersteunen door: · Te evalueren of de beschrijving, de opzet en de werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum of voor een periode is die passend is voor de doeleinden van de accountant van de gebruiker; · Te bepalen of aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend relevant zijn voor de gebruikende entiteit en, zo ja, inzicht te verwerven of de gebruikende entiteit dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de werking daarvan te toetsen; · Het adequaat zijn van de tijdsperiode die door de toetsingen van de interne beheersingsmaatregelen wordt omvat en de verstreken tijd sinds het uitvoeren van de toetsingen te evalueren; · Te evalueren of de door de accountant van de serviceorganisatie uitgevoerde toetsingen van de interne beheersingsmaatregelen en van de resultaten daarvan, zoals die in het rapport van de accountant van de serviceorganisatie zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikende entiteit en of zij voldoende en geschikte controle-informatie verstrekken teneinde de risico-inschatting van de accountant van de gebruiker te ondersteunen.
•
Type 1 en type 2 rapporten die de diensten van een sub-serviceorganisatie uitsluiten · Indien de accountant van de gebruiker van plan is om gebruik te maken van een type 1 of type 2 rapport die de diensten van een sub-serviceorganisatie uitsluit en die diensten relevant zijn voor de controle van de financiële overzichten van de gebruikende entiteit, dient de accountant de vereisten van deze Standaard toe te passen met betrekking tot de door de sub-serviceorganisatie verleende diensten.
Uit de standaarden van het NV COS blijkt dat bovenstaande richtlijnen betrekking hebben op het beoordelen van een service auditor’s rapport. Deze richtlijnen zijn van dergelijk niveau dat zij nog interpreteer baar zijn voor de gebruikers auditor. Wij zullen in het volgende hoofdstuk ons praktijkonderzoek op deze richtlijnen baseren om vast te stellen of de standaard volledig genoeg is en of er in de praktijk anders mee omgegaan wordt.
3.5
De rol van de IT auditor In de vorige paragraaf hebben wij de standaard behandeld die van toepassing is op het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. In deze paragraaf gaan wij verder in op welke wijze de standaarden aandacht besteden ten aanzien van
15
de rol van de IT auditor bij het beoordelen van een service auditor’s rapport. Om dit punt duidelijk te behandelen, beginnen wij met een stukje historie. Tot en met 2004 bestond NV COS 401 richtlijn “Auditing in a Computer Information Systems Environment”. In deze standaard was vastgelegd dat de auditor voldoende kennis behoorde te hebben over de informatie omgeving om zijn werkzaamheden uit te voeren. [NIVRA05] Vanaf 15 december 2004 is deze richtlijn echter ondergebracht in de NV COS 315 “Het onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving” en NV COS 330 “De wijzen van inspelen door de accountant op ingeschatte risico's”. Deze standaarden beschrijven richtlijnen hoe de auditor inzicht kan verwerven in de organisatie, haar interne beheersing die relevant is voor de controle, de risico’s die daarbij aanwezig zijn, en de wijze hoe om te gaan met deze risico’s. [NIVRA11.02] In de standaard NV COS 315 wordt bij het risico-inschattingsproces het informatiesysteem als component van de interne beheersing opgenomen. Hierdoor worden er richtlijnen beschreven welke werkzaamheden een auditor dient te verrichten om inzicht te verwerven in het voor financiële verslaggeving relevante informatiesysteem, met inbegrip van de daarop betrekking hebbende bedrijfsprocessen. [NIVRA11.01] De vraag wie deze activiteiten dan moet uitvoeren wordt behandeld in NV COS 620 “Gebruikmaken van de werkzaamheden van deskundigen”. Deze richtlijn helpt de accountant om te bepalen wanneer en hoe de accountant gebruik moet maken van deskundigen in het kader van een jaarrekening controle, en daarmee ook deskundigen op het gebied van IT beheersing. [NIVRA11.04] Er wordt in de richtlijn geen specifieke aandacht besteed aan de vraag wanneer er een IT auditor betrokken dient te worden. Zelfs in de voorbeelden die in de richtlijn gegeven worden met betrekking tot wanneer een deskundige zou kunnen worden ingeschakeld wordt geen voorbeeld gegeven van een deskundige op het gebied van IT beheersing. Wij maken hier uit op dat het daarmee aan het professional judgment van de accountant overgelaten om al dan niet een IT auditor in te schakelen. Dat dit in overeenstemming is met wat de IFAC bedoeld heeft met deze richtlijnen blijkt uit de inleiding van het Handboek van IFAC 2010 waar het volgende staat: “The nature of the international standards requires the professional accountant to exercise professional judgment in applying them.” Professional judgment (vakkundige oordeelsvorming) wordt vervolgens gedefinieerd als het toepassen van relevante training / scholing, kennis en ervaring in de context van professionele standaarden op het gebied van verslaggeving en gedrags- en beroepsregels voor de accountants. [IFAC10] Ten aanzien van de specifieke vraag of er in de richtlijnen ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle een rol is weggelegd voor de IT auditor kunnen wij kort zijn: in de NV COS standaarden wordt daar geen melding van gemaakt en is dit wederom een kwestie van professional judgment van de gebruikers auditor om te bepalen of de inzet van een IT auditor noodzakelijk is.
3.6
Slotopmerkingen In dit hoofdstuk hebben wij kort het doel en theorie achter de jaarrekening controle behandeld, alsmede de standaarden die de accountant helpen om de controle uit te voeren. Specifiek hebben wij stilgestaan bij de richtlijnen die beschikbaar zijn ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle, en bij de richtlijnen ten aanzien van de inzet van een IT auditor bij de jaarrekening controle ten behoeve van het beoordelen van een service auditor’s rapport. We merken op dat er met de NV COS 402 standaard richtlijnen bestaan ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. De richtlijn gaat echter niet veel verder dan het benoemen dan de te beoordelen aspecten. De diepgang of wijze van beoordelen blijft wederom aan de gebruikers auditor. De rol van de IT auditor voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekening is door het ontbreken van een concrete richtlijn volledig een kwestie van professional judgment aan de kant van de gebruikers auditor.
16
Naar onze mening is dit een gemiste kans. Alhoewel wij het in principe niet verkeerd vinden om zaken over te laten aan professional judgment, vragen wij ons af of de gebruikers auditor in alle gevallen de benodigde kennis van de service auditor rapport standaarden in huis heeft om een goede afweging te maken, zowel op het gebied van de gebruikte service auditor rapport standaard als de afweging rondom het inschakelen van een IT auditor.
17
4
Beoordeling van een service auditor’s rapport in de praktijk
4.1
Inleiding In dit hoofdstuk gaan wij in op de manier waarop een service auditor’s rapport in de praktijk wordt beoordeeld in het kader van een jaarrekeningcontrole en onze analyse op de situatie in de praktijk. Om dit te kunnen bepalen hebben wij een onderzoek uitgevoerd in de vorm van een enquête onder een geselecteerd aantal accountants (RA’s) en IT auditors (RE’s) die betrokken zijn bij jaarrekeningcontroles. Wij hebben dit bij zowel accountants als IT auditors hebben uitgezet omdat uit onze ervaring blijkt dat de IT auditor vaak een belangrijke rol speelt bij het afgeven en bij het beoordelen van een service auditor’s rapportage. Paragraaf 4.2 zal eerst de opzet van het onderzoek behandelen, waarna wij vervolgens de feiten uit de enquête zullen opsommen in paragraaf 4.3. Deze feiten zullen wij vervolgens tegen de theorie aanhouden en analyseren aan de hand van onze praktijk ervaring in paragraaf 4.4. Ten slotte zullen wij dit hoofdstuk afsluiten met slotopmerkingen waar de resultaten van het onderzoek en onze analyse wordt samengevat.
4.2
Opzet van de enquête Het doel van dit onderzoek is om een antwoord te krijgen op een praktijksituatie. Omdat er een zekere mate van vaktechnische kennis nodig is omtrent dit onderwerp hebben wij ervoor gekozen een onderzoek uit te voeren naar meningen van een selecte populatie. Zoals kort aangegeven in de inleiding hebben wij voor gekozen voor een onderzoek in enquête vorm waar wij gebruik hebben gemaakt van een vragenlijst. Wij hebben de enquête uitgezet bij een populatie van 15 Register Accountants (RA’s) en IT auditor’s (RE’s) die ofwel specialisten zijn op het vakgebied van service auditor rapporten, ofwel betrokken zijn bij een groot aantal jaarrekeningcontroles. De enquête bevat de volgende hoofdvraag: “Hoe beoordeel jij een service auditor’s rapport in het kader van de jaarrekeningcontrole?” Om te voorkomen dat wij door het definiëren van specifieke vragen ‘gewenste’ antwoorden zouden uitlokken, hebben wij hebben bewust voor een open hoofdvraag gekozen. De reikwijdte en inhoud van de antwoorden hebben wij getracht te sturen door de accountants en IT auditors de volgende aandachtspunten meegegeven: • Welke activiteiten voer je uit? • Wie voert deze activiteiten uit? • Een service auditor’s rapport bevat in principe altijd business controls en IT controls. Maak in je activiteiten zo nodig onderscheid tussen deze typen controls. • Neem ook activiteiten op die niet altijd noodzakelijk zijn, maar die je wel zou uitvoeren mocht het een nieuwe klant zijn. • Welke richtlijnen gebruik je bij het beoordelen van een service auditors rapport?
4.3
Resultaten In totaal hebben 10 van de 15 personen gereageerd op onze enquête. De verdeling RA/RE is gelijk geworden en nog steeds zijn de specialisten en alle Big Four kantoren vertegenwoordigd in de populatie van de respondenten. Om de resultaten te analyseren hebben wij in het kader van onze onderzoeksvraag de paragraaf opgedeeld in de volgende delen: • Resultaten met betrekking tot gehanteerde standaarden • Resultaten gekoppeld aan de standaard NV COS 402 • Resultaten met betrekking tot de rol van de IT-auditor • Omgang met de resultaten van de beoordeling door de audit professional In deze sub-paragrafen zullen wij aandacht besteden aan de mate waarin respondenten de aspecten behandelen en de eventuele verschillen tussen de RA’s en RE’s en de. Twee respondenten voeren beide titels, maar omdat zij op dit moment beiden werkzaam zijn als IT auditor hebben wij hun antwoorden onder de RE’s meegenomen bij het uitwerken van de resultaten.
18
4.3.1 Resultaten met betrekking tot gehanteerde standaarden 6 van de 10 respondenten heeft in de enquête aangegeven bekend te zijn met de NV COS 402 standaard. Opvallend is dat de RE’s relatief vaker op de hoogte zijn van de richtlijn (4 RE’s vs 2 RA’s). Een aantal van deze respondenten gaf aan veel in de praktijk te hebben geleerd ten aanzien van het beoordelen van een service auditor’s rapportage, en niet vaak daadwerkelijk de standaard te raadplegen. Het achterliggende verhaal is dan vaak dat men een aantal jaar geleden bij het zien van een service auditor’s rapportage dacht dat het wel goed zat, en dat men inmiddels heeft geleerd dat het kan voorkomen dat met name de reikwijdte van een service auditor’s rapportage niet voldoende is in het kader van een jaarrekeningcontrole. Een enkeling gaf aan ook daadwerkelijk de richtlijn als leidraad te gebruiken om de beoordeling van een service auditor’s rapport vast te leggen in het audit dossier. Ook werd meerdere malen aangegeven dat er interne richtlijnen zijn vanuit het kantoor. Waarschijnlijk zijn deze richtlijnen ook gebaseerd op de NV COS 402. 4.3.2 Resultaten gekoppeld aan de standaard NV COS 402 Om de resultaten verder onder te verdelen hebben wij aan de hand de begeleiding uit de NV COS 402 een opdeling gemaakt in volgende categorieën: • Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de serviceorganisatie te ondersteunen; • Het gebruiken van een type 1 of type 2 rapport als controle-informatie teneinde het inzicht van de accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen; • Het gebruiken van een type 2 rapport als controle-informatie dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken; • Het gebruiken van een type 1 of type 2 rapport die de diensten van een subserviceorganisatie uitsluit. Vervolgens hebben wij per categorie de aspecten opgenomen die volgens de NV COS 402 beoordeeld dienen te worden. Per aspect behandelen wij de resultaten uit de enquête. Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de serviceorganisatie te ondersteunen: a. Deskundigheid en onafhankelijkheid van de service auditor b. De adequaatheid van de betreffende service auditor’s rapport standaard Ad a) Deskundigheid en onafhankelijkheid van de service auditor 8 van de 10 respondenten gaven in ieder geval aan te bepalen of de service auditor’s rapport is ondertekend door een bevoegd persoon (RA of RE). 2 van deze 8 personen gaf aan ook vast te stellen dat de RA of RE van een Big Four kantoor is, en of de persoon ingeschreven staat bij NIVRA of NOREA. 1 van de respondenten gaf aan ook daadwerkelijk de deskundigheid van de RA of RE vast te stellen. Ad b) De adequaatheid van de toepassing van de betreffende service auditor’s rapport standaard 4 van de respondenten, allen RE, gaven aan ook expliciete aandacht te besteden aan de vraag of de rapportage wel voldoet aan de eisen die de betreffende standaard stelt. Dit betekent bijvoorbeeld dat wordt bepaald of de mededeling van de service auditor conform de standaard is opgesteld, en of alle vereiste onderdelen van het rapport aanwezig zijn. Bovendien gaven zij aan dat dit in het kader van de nieuwe ISAE 3402 standaard van extra belang is vanwege de managementverklaring die onderdeel is van het rapport. Er dient volgens de respondenten minimaal bepaald te worden of de managementverklaring dezelfde reikwijdte heeft als de mededeling van de service auditor. Het gebruiken van een type 1 of type 2 rapport als controle-informatie teneinde het inzicht van de accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen: c. Datum of periode passend voor de doeleinden d. Geschiktheid en volledigheid van de verschafte informatie door het rapport e. Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend
19
Ad c) Datum of periode passend voor de doeleinden 9 van de 10 respondenten gaven aan te bepalen of de testperiode en het type van het service auditor’s rapport (type I of type II) aansluiten met de behoefte vanuit de jaarrekeningcontrole. Ad d) Geschiktheid en volledigheid van de verschafte informatie door het rapport Bij deze categorie betrekken wij uit de theorie het beoordelen van de reikwijdte van het rapport en of de interne controle maatregelen van de service organisatie betrekking hebben op de jaarrekeningcontrole van de gebruikersorganisatie en het beoordelen van de resultaten van de uitgevoerde testwerkzaamheden door de service auditor. Alle respondenten behandelen de scope van een service auditor’s rapport. Wel bestaan er grote verschillen in de mate waarin de scope door de respondent wordt behandeld. Vrijwel iedereen begint met het bepalen van de scope van uitbestede diensten, vervolgens wordt gekeken of de beschrijving van de scope van het service auditor’s rapport wel aansluit met deze ‘benodigde’ scope. Wel geven meerdere respondenten aan dat een en ander wel afhangt van de complexiteit en materialiteit van de uitbestede diensten. Naarmate de uitbestede dienst meer materieel of complex is wordt er meer aandacht besteed aan de scope van het service auditor’s rapport. Zo werd meerdere malen het voorbeeld van salarisverwerking genoemd. Daarvan gaven sommigen aan dat men nauwelijks aandacht besteed aan zo’n service auditor’s rapport, vanwege het feit dat dat een gestandaardiseerde scope zou zijn. Sommigen gaven aan dat het soms lastig kan zijn om te bepalen of de scope van een service auditor’s rapport toereikend is aangezien de beschrijving van de scope (meestal van de hand van de service organisatie) niet altijd even duidelijk geformuleerd is. Als de beschrijving van de scope is beoordeeld, geven ruim de helft van de respondenten aan dat men dan kijkt of de scope van de getoetste beheersmaatregelen ook de beschrijving van de scope afdekt. Men begint dan eerst met het bepalen of de beheersdoelstellingen de risico’s in de scope afdekken, soms ook door andere service auditor’s rapport’s van vergelijkbare service organisaties te benchmarken. Daarna wordt dan ook nog bepaald of de beheersmaatregelen de beheersdoelstellingen in voldoende mate afdekken. Opvallend is dat de RE in het algemeen verder de diepte ingaat dan de RA. Door een aantal respondenten (met name RE’s) wordt ook specifiek aangegeven dat bepaald wordt of de scope van de ITGC voldoende is. Er wordt aangegeven dat dit ook vaak aan de hand van benchmarking met de ‘eigen’ ITGC scope gebeurt. Eén van de respondenten gaf aan voorafgaand aan de jaarrekeningcontrole en via de user organisatie afspraken te (willen) maken met de service auditor met betrekking tot de scope van een service auditor’s rapport. Alhoewel dit punt geen onderdeel is van het beoordelen van een service auditor’s rapport, en de service organisatie de scope bepaalt, komen wij nog wel op dit punt terug in hoofdstuk 5. Ad e) Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend 3 van de 10 respondenten gaf aan dat men vaststelt dat de aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend ook daadwerkelijk geïmplementeerd zijn bij de gebruikersorganisatie. Het gebruiken van een type 2 rapport als controle-informatie dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken: f. De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit Ad f) De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit Alle respondenten geven aan te bepalen welke impact eventuele bevindingen hebben op zijn of haar controle aanpak in het kader van de jaarrekening controle. De meeste respondenten geven daarbij aan dat er aandacht wordt besteed aan de bevindingen op beheersdoelstelling niveau (bij de meeste service auditor’s rapporten: de bevindingen die in de mededeling van de service auditor worden genoemd). Opvallend is dat alle respondenten aangeven (soms zelf met name) aandacht te besteden aan de detailbevindingen. 7 van de 10 respondenten gaven ook aan aandacht te besteden aan de afweging van de service auditor met betrekking tot de vraag of
20
bevindingen op beheersmaatregel niveau wel of geen impact hebben op het behalen van de beheersdoelstellingen. Vier respondenten gaven aan aandacht te besteden aan de omvang de steekproeven, aangezien de omvang hiervan niet verplicht wordt gesteld door de verschillende standaarden. Waarbij deze vier respondenten en overigens één andere aangaf ook expliciet te bepalen of de testwerkzaamheden die de service auditor heeft uitgevoerd ook voldoende zijn om de beheersmaatregelen te testen. Het gebruiken van een type 1 of type 2 rapport die de diensten van een sub-serviceorganisatie uitsluit: g. Sub-service organisaties Ad g) Sub-service organisaties 6 van de 10 respondenten hebben specifiek aangegeven dat men bij de beoordeling van een service auditor’s rapport aandacht wordt besteed aan eventuele sub service organisaties. Met name de RE (4 van de 6) besteed hier aandacht aan. De respondenten geven aan dat het belangrijk is om vast te stellen of er een inclusive of carve out methode wordt gebruikt. Indien er sprake is van een carve out wordt door een beperkt aantal van de respondenten ook een service auditor’s rapport van de sub-service organisatie opgevraagd, die afzonderlijk wordt beoordeeld. 4.3.3 Resultaten met betrekking tot de rol van de IT-auditor 9 van de 10 respondenten geven aan dat het belangrijk is bepaalde skills in te zetten bij een beoordeling van een service auditor’s rapport. Al deze 9 geven aan dat het in ieder geval iemand dient te zijn met kennis van de uitbestede processen. Zij geven aan dat dit vrijwel altijd iemand zal zijn van het audit team. Daarnaast geven 7 van de respondenten aan dat in veel gevallen nodig is om een IT auditor te betrekken bij de beoordeling van de IT general controls (ITGC) scope en ITGC bevindingen. Wel wordt vaker de kanttekening gemaakt dat dit niet altijd noodzakelijk is. Algemene tendens onder de respondenten is dat wanneer de uitbestede processen meer complex zijn, of als het uitbestede proces van materieel belang is voor de jaarrekening controle van de user organisatie, er een IT auditor wordt ingeschakeld. Opvallend hierbij is dat het blijkbaar niet (alleen) afhangt van de mate van automatisering van het uitbestede proces. Een ander opvallend punt is dat een beperkt aantal respondenten aangeeft dat de IT auditor ook vanwege de vaktechnische beoordeling van een service auditor’s rapport wordt ingeschakeld. Twee van de respondenten heeft ook aangegeven dat het ook voorkomt dat andere specialisten worden ingeschakeld bij de beoordeling. Hierbij valt te denken aan experts op het gebied van vastgoed of actuariële processen. 4.3.4 Omgang met de resultaten van de beoordeling door de audit professional Alhoewel wij het in onze enquête niet specifiek hebben gevraagd, heeft een aantal respondenten aangegeven wat de vervolgstappen zijn nadat zij een service auditor’s rapport hebben beoordeeld. Aangezien dit punt nauw aansluit met de theorie waar de relatie behoort te worden gelegd tussen de resultaten van de beoordeling met de werkzaamheden in het kader van de jaarrekening controle, behandelen wij dit punt hier ook. Zes respondenten geven aan de resultaten vanuit de beoordeling van de service auditor’s rapport te gebruiken om vast te stellen welke aanvullende werkzaamheden in het kader van de jaarrekeningcontrole zouden moeten worden uitgevoerd. Hieronder vallen ook additionele testwerkzaamheden bij de service organisatie. Vervolgens gaven vier respondenten aan alle bevindingen, vragen en onduidelijkheden te willen bespreken met de service organisatie en/of de service auditor. Drie respondenten gaven aan relgelmatig een dossierreview uit te voeren op het dossier van de service auditor. Dit gaat dan om de situatie waarbij grote delen van de activiteiten van de user organisatie zijn uitbesteed aan de service organisatie.
21
4.4
Analyse De resultaten van de enquête zijn in de vorige paragraaf opgesomd en hieruit blijkt dat er divers wordt omgegaan met de beoordeling van een service auditor’s rapport door de audit professionals. In deze paragraaf voeren wij een analyse uit op de resultaten van het onderzoek aan de hand van de NV COS 402 standaard en onze eigen praktijkervaring. De analyse verdelen wij in de volgende categorieën: • Analyse met betrekking tot de gehanteerde richtlijnen • Analyse met betrekking tot de rol van de IT-auditor • Analyse met betrekking tot de resultaten van de beoordeling door de audit professional 4.4.1 Analyse met betrekking tot de gehanteerde richtlijnen In hoofdstuk 3 is duidelijk geworden dat er één standaard richtlijnen biedt ten aanzien van het beoordelen van een service auditors rapportage, namelijk de NV COS 402. Uit de resultaten blijkt dat meer dan de helft van de respondenten de standaard kent. Van deze respondenten geeft vervolgens een aantal aan dat zij de richtlijnen niet actief gebruiken en veel meer gebruik maken van de ervaring die zij inmiddels hebben opgebouwd. Ook is belangrijk te vermelden dan meerdere respondenten aangaven interne richtlijnen te hanteren, welke waarschijnlijk gebaseerd zijn op de NV COS 402. Alhoewel deze standaarden ongetwijfeld goed zijn ‘vertaald’ naar meer specifieke interne richtlijnen, is het onzes inziens ook belangrijk de daadwerkelijke standaard te kennen. Deskundigheid en onafhankelijkheid van de service auditor Afgezien van het feit dat bijna alle respondenten lieten weten dat zij controleerden of het service auditor’s rapport ondertekend is door een RA of RE zijn wij van mening dat dit aspect uit de richtlijn onvoldoende belicht is. Wel hebben twee van de respondenten aangegeven vast te stellen welke organisatie het rapport heeft uitgebracht, en of de betreffende RA of RE is ingeschreven bij het NIVRA of NOREA. Dit zijn inderdaad activiteiten die uitgevoerd kunnen worden om een deel van de deskundigheid vast te stellen, maar uit de praktijk blijkt dat maar weinig audit professionals deze activiteiten uitvoeren. Daarbij heeft slechts één van de respondenten laten weten dat zij specifieke activiteiten uit voeren om de onafhankelijkheid en deskundigheid van de service auditor vast te stellen. Het punt ten aanzien van de deskundigheid van de service auditor is met name interessant omdat het vaak voorkomt dat bijvoorbeeld een service auditor’s rapport met betrekking tot een IT service provider wordt getekend door een RA. Ook komt het omgekeerde voor, waarbij een RE bijvoorbeeld een service auditor’s rapport met betrekking tot vermogensbeheer tekent. Zeker in dit soort gevallen zijn wij van mening dat de gebruikers auditor specifiek de deskundigheid van de service auditor dient vast te stellen. De adequaatheid van de toepassing van de betreffende service auditor’s rapport standaard Ten aanzien van dit aspect zien wij in de inventarisatie grote verschillen tussen de RA’s en RE’s. De RA’s lijken te vergeten dat het ook belangrijk is om te beoordelen of de rapportage wel aan de betreffende standaard voldoet. Waaraan dit ligt is niet zeker, maar een aantal Big Four kantoren hebben speciale afdelingen of competentie teams die gespecialiseerd zijn in derde partij mededelingen. De vaktechniek omtrent service auditor’s rapportages is in deze organisaties vaak meer gecentraliseerd bij de IT auditors. Wij zijn van mening dat dit een goede ontwikkeling is en dat het aanbeveling verdient om een dergelijke afdeling in te schakelen ten aanzien van het beoordelen van een service auditor’s rapport. Dit punt is onzes inziens extra van belang gezien de introductie van de ISAE 3402 standaard, welke toch weer andere vaktechnische vereisten introduceert. Datum of periode passend voor de doeleinden Uit de resultaten blijkt dat vrijwel elke respondent zowel de testperiode als het type van een service auditor’s rapport meeneemt in zijn of haar beoordeling. Dit sluit aan met zowel het onderzoek voor het Money Management Insitute uit de theorie als onze eigen ervaringen in de praktijk waaruit blijkt dat deze karakteristieken van een service auditor’s rapport inmiddels goed zijn ingeburgerd en om deze reden niet vergeten worden bij het beoordelen van een service auditor’s rapport. Geschiktheid en volledigheid van de verschafte informatie door het rapport
22
Uit de inventarisatie blijkt dat vrijwel iedereen naar de reikwijdte van een service auditor’s rapport kijkt. Echter de diepgang hiervan is naar onze mening nog beperkt, omdat ons bijvoorbeeld opvalt dat de respondenten niet allen vaststellen de daadwerkelijk geteste beheersdoelstellingen en maatregelen deze beschrijving van de reikwijdte afdekt. In de praktijk komt namelijk regelmatig voor dat de reikwijdte in de beschrijving breder is dan de reikwijdte van de daadwerkelijk geteste maatregelen. Voor de oplettende lezer wordt deze beperking van de reikwijdte van geteste beheersmaatregelen wel duidelijk en dit geeft aan dat men naar zowel de beschrijving van de reikwijdte als naar de reikwijdte van de beheersdoelstellingen en maatregelen moet evalueren. Het blijkt ook dat de RE dit vaker doet dan de RA, dit zou erop kunnen wijzen dat de RE in het algemeen met meer detail naar een service auditor’s rapport kijkt. Ook interessant is het om te horen dat men een paar jaar geleden bij het zien van een service auditor’s rapport dacht dat ‘het wel goed zat’, maar dat men inmiddels weet dat het belangrijk is goed naar de scope te kijken aangezien deze niet per definitie hoeft aan te sluiten met de behoefte vanuit de gebruikers auditor. Implementatie van aanvullende interne beheersingsmaatregelen van de gebruikende entiteit die door de serviceorganisatie zijn onderkend De beperkte aandacht voor deze aanvullende interne beheersmaatregelen van de gebruikende entiteit, ook wel bekend vanuit de SAS70 terminologie als user control considerations, is opvallend te noemen. Terwijl het in het geval van een ISAE 3402 of SAS70 standaard verplicht is om deze beheersmaatregelen, die bij de gebruikersorganisatie geïmplementeerd zouden moeten zijn, op te nemen hebben maar weinig van de respondenten aangegeven hier aandacht aan te besteden. Wij vinden dit een belangrijk punt gezien het feit dat de user control considerations van invloed zijn op de effectieve werking van de beheersmaatregelen van de service organisatie. Indien de effectiviteit van deze maatregelen bij de gebruikersorganisatie niet wordt vastgesteld, kan de service organisatie geen garantie geven op de effectieve werking van de beheersmaatregelen die een relatie met de user control considerations hebben. Daarnaast wordt duidelijkheid over dit aspect belangrijker naar gelang er in de praktijk steeds meer constructies ontstaan waar er sprake is van sub-serviceorganisaties. Dit leidt ertoe dat de auditor van de gebruikersorganisatie ook zal moeten evalueren of de user control considerations van de sub-service organisatie geïmplementeerd zijn bij de service organisatie om de effectiviteit van de beheersmaatregelen te waarborgen. De resultaten van de uitgevoerde toetsingen en de relevantie tot de financiële overzichten van de gebruikende entiteit De respondenten lijken uit de resultaten van de enquête behoorlijk eensgezind te zijn over de omgang met de bevindingen. Wij zien hier een overeenkomst met onze ervaringen van de laatste jaren dat er niet alleen gekeken wordt naar de bevindingen in de mededeling van de service auditor, maar dat er minimaal net zo goed gekeken wordt naar de detailbevindingen. Dat veel van de respondenten aangeven ook de afweging van de service auditor ten aanzien van het wel of niet behalen van de beheersdoelstelling te beoordelen bevestigd dit. Wel is het opvallend te noemen dat minder dan de helft van de respondenten aandacht besteed aan de adequaatheid van de testwerkzaamheden en steekproefomvang. Wij zien dit als een belangrijk punt aangezien wij in praktijk behoorlijk vreemde constructies tegenkomen. Zo zijn wij onlangs nog een SAS70 rapport tegengekomen waarbij de service auditor aangaf niet de beheersmaatregel zelf te hebben getoetst, maar de kwartaalcontrole op de beheersmaatregel die door de ‘tweede lijn’ werd uitgevoerd. Vaktechnisch is dit overigens niet per definitie een probleem, maar dergelijke zaken zouden wel moeten leiden tot het stellen van vragen aan de service auditor om te evalueren welke werkzaamheden de service auditor heeft uitgevoerd om de effectiviteit van de beheersmaatregel vast te stellen. Sub-service organisaties Uit paragraaf 4.3 blijkt dat lang niet iedereen expliciet aandacht besteed aan sub-service organisaties. En dat terwijl ook vanuit onze ervaring blijkt dat het regelmatig voorkomt dat significante delen van de operatie van een service organisatie weer zijn uitbesteed aan een subservice organisatie. Dat betekent dat het ook belangrijk is om de service auditor’s rapport van de sub service organisatie op te vragen en te beoordelen. Indien de service organisatie slechts een beperkt deel heeft uitbesteed aan een sub-service organisatie kunnen wij ons wel voorstellen dat er weinig aandacht aan wordt besteed. Feit blijft wel dat er altijd kritisch zou moeten worden
23
gekeken naar eventuele sub service organisaties en de impact van de uitbestede diensten op uiteindelijk de jaarrekening van de user organisatie. Dit punt zien wij zoals aangegeven zowel bij de RA als RE terugkomen. 4.4.2 Analyse met betrekking tot de rol van de IT auditor Uit de resultaten van het onderzoek blijkt dat de IT auditor vaak wordt geraadpleegd bij de beoordeling van een service auditor’s rapportage, en dan met name op het gebied van het beoordelen van de ITGC scope en ITGC bevindingen. Echter meerdere respondenten geven aan dat zij het inschakelen van de IT auditor laten afhangen van de complexiteit en materialiteit van de service organisatie en niet van de mate van automatisering. Wat ons bijvoorbeeld opvalt, samen met de RE’s uit het onderzoek van andere kantoren, is dat wanneer de salarisverwerking uitbesteed is naar een service organisatie de gebruikers auditor niet direct rekening houdt met de mate van automatisering. Omdat een dergelijk service auditor’s rapport bol staat van de algemene IT maatregelen en andere geautomatiseerde maatregelen zou de IT auditor een belangrijke rol moeten spelen bij het beoordelen van zo’n service auditor’s rapportage. Hoewel de materialiteit zeker een belangrijke factor is als men een service auditor’s rapportage beoordeelt in het kader van de jaarrekeningcontrole, zou onzes inziens de mate van automatisering minimaal zo belangrijk moeten zijn. Bovendien is het opvallend dat de wij als IT auditors ook vaak worden geraadpleegd voor meer dan alleen de beoordeling van de algemene IT maatregelen of andere geautomatiseerde controles. Dit wordt bevestigd door meerdere respondenten die aangaven dat de RE ook wordt ingezet om bijvoorbeeld de vaktechnische aspecten van een service auditor’s rapport te beoordelen. Het is dan wellicht ook niet vreemd om vanuit onze inventarisatie te constateren dat de RE’s ook ‘beter scoren’ op dat onderdeel. Naar onze mening, zeker ook gezien onze opmerkingen in hoofdstuk 2 ten aanzien van de onduidelijkheid van de ISAE 3402 standaard, zou het goed zijn om een professional met specifieke kennis van service auditor’r rapport standaarden te betrekken bij het beoordelen van een dergelijk rappport. 4.4.3 Analyse met betrekking tot de resultaten van de beoordeling door de audit professional Alhoewel het niet direct onderdeel is van de scope van deze scriptie vinden wij het belangrijk om ook stil te staan bij de vervolgstappen die de accountant (al dan niet geadviseerd door de IT auditor) onderneemt nadat de service auditor’s rapport is beoordeeld. Om te beginnen kunnen wij ons haast niet voorstellen dat het voorkomt dat er geen vragen of onduidelijkheden bestaan na het beoordelen van een service auditor’s rapport. Het zou onzes inziens dan ook (vrijwel) altijd noodzakelijk zijn om contact op te nemen met (in eerste instantie) de service organisatie om deze vragen beantwoord te krijgen. In onze praktijk als service auditors zien wij dat de service organisatie op haar beurt goed kan inschatten welke vragen ze zelf kan beantwoorden en welke vragen via de service auditor moeten worden beantwoord. Het is wel schokkend te constateren dat bij navraag onder ‘onze’ service organisaties blijkt dat er nauwelijks vragen worden gesteld door gebruikers auditors. Naast bovenstaande kan het natuurlijk voorkomen dat uit de beoordeling blijkt dat de reikwijdte niet afdoende is of er bevindingen zijn geïdentificeerd (door de service auditor) die een impact kunnen hebben op de werkzaamheden die de gebruikers auditor dient uit te voeren. In deze gevallen zal de accountant, ook weer indien nodig in overleg met de IT auditor, moeten bepalen welke aanvullende werkzaamheden er dienen te worden uitgevoerd. Gezien de reikwijdte van deze scriptie voert het te ver om te behandelen welke aanvullende werkzaamheden die dan zouden kunnen zijn. Wel kunnen wij in het algemeen opmerken dat deze werkzaamheden zowel bij de service organisatie als bij de user organisatie kunnen plaatsvinden. Het is overigens erg interessant om te constateren dat het in onze ervaring als service auditor voorkomt dat zelfs als er geen significante bevindingen zijn geïdentificeerd, de gebruikers auditor het noodzakelijk acht om een flink aantal controls toch nog zelf te testen bij de service organisatie. Dit gaat dan wel om situaties waarbij grote delen van de operatie van een user organisatie zijn uitbesteed aan een service organisatie.
4.5
Slotopmerkingen
24
In dit hoofdstuk hebben wij een onderzoek uitgevoerd aan de hand van een enquête hoe een service auditors rapport in de praktijk wordt beoordeeld in het kader van een jaarrekeningcontrole. Na het opsommen van de resultaten conform de vereisten van de NV COS 402 standaard hebben wij hier een analyse op uitgevoerd. Vanuit de analyse valt ons met name op dat de NV COS 402 standaard maar bij de helft van de respondenten bekend is en door enkelen van hen niet gebruikt wordt omdat zij steunen op de ervaring die zij in de jaren hebben opgebouwd of de interne richtlijnen van het kantoor waar zij werkzaam zijn. Wanneer wij de activiteiten die uitgevoerd worden door de respondenten tegen de standaard houden zien wij dat de meeste punten wel geraakt worden. Toch zien wij dat vrijwel alle volgens de NV COS 402 standaard vereiste aspecten niet met voldoende diepgang worden uitgevoerd. Met name het aspect van het beoordelen van de reikwijdte van het service auditor’s rapport lijkt soms niet met voldoende diepgang te worden uitgevoerd. Daarbij willen wij wel opmerken dat het gezien de onduidelijkheid van de service auditor rapport standaarden en de weinig concrete richtlijnen ten aanzien van het beoordelen van een service auditor’s rapport, het voor een gebruikers auditor ook niet eenvoudig is om te bepalen of de reikwijdte van bijvoorbeeld een ISAE 3402 rapport voldoet aan de benodigde scope. In de praktijk zien wij ook dat de reikwijdte door de service organisatie lang niet altijd even duidelijk wordt beschreven, en ook de interne beheersing raamwerken zijn niet altijd even ‘leesbaar’. Als we daar nog aan toevoegen dat uit de praktijk blijkt dat ook de uitgevoerde testwerkzaamheden van de service auditor niet altijd even specifiek zijn, bevestigt dit bovenstaande verder. Desalniettemin komt het regelmatig voor dat er significante onderdelen van de gebruikersorganisatie worden uitbesteed aan een service organisatie, en dat betekent weer dat de gebruikers auditor ook voldoende aandacht dient te besteden aan het beoordelen van de reikwijdte van een service auditor’s rapport. Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak inschakelt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de overwegingen om de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden. Naar onze mening zou de mate van automatisering van de service organisatie daarbij de belangrijkste factor moeten zijn. Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van een service auditor’s rapport. Dit wordt waarschijnlijk veroorzaakt doordat de IT auditors bij veel kantoren vaak ook de service auditor’s rapporten afgeven. Dit geeft onzes inziens aan dat de IT auditor, of in ieder geval een expert of het gebied van de ISAE 3402 standaard, een belangrijkere rol zou kunnen en moeten nemen bij het beoordelen van een service auditor’s rapport, zeker ook gezien het feit dat er met de komst van de ISAE 3402 standaard weer een aantal zaken veranderen.
25
5
Conclusies en aanbevelingen
5.1
Inleiding In een tijd waar organisaties zich steeds meer focussen op hun kern activiteiten en daardoor steeds vaker overige diensten uitbesteden, wordt het verkrijgen van zekerheid over deze uitbestede diensten ook steeds belangrijker voor een gebruikersorganisatie en haar accountant. Zoals al eerder vermeldt is kan een service auditor’s rapport daarbij uitkomst bieden. Gezien deze trend en het feit dat service organisaties in principe vrij zijn om te bepalen welke processen en maatregelen zij opnemen in een service auditor’s rapport, betekent dit dat het beoordelen van een service auditor’s rapportage door de auditor van de gebruikersorganisatie een steeds belangrijker aspect vormt bij de jaarrekeningcontrole. In de praktijk zien wij echter dat de beoordeling van een service auditor’s rapport divers wordt aangepakt. Ook constateren wij dat veel uitbestede processen in hoge mate geautomatiseerd zijn, en een service auditor’s rapport daarmee vaak veel IT beheersmaatregelen zal bevatten. Om deze redenen hebben wij onderzocht hoe de beoordeling van een service auditor’s rapport zou moeten plaatsvinden en welke rol de IT auditor daarbij zou moeten spelen. In dit hoofdstuk geven wij in paragraaf 5.2 een antwoord op de centrale onderzoeksvraag, waarna wij in paragraaf 5.3 aanbevelingen zullen aandragen om de beoordeling van een service auditor’s rapport in het kader van de jaarrekening controle in de toekomst beter te laten verlopen.
5.2
Bevindingen en conclusie De doestelling van dit onderzoek was om vast te stellen hoe een service auditor’s rapport beoordeeld dient te worden in het kader van de jaarrekeningcontrole, met specifieke aandacht voor de rol van de IT auditor hierbij. Door middel van een praktijkgericht onderzoek wilden wij met deze scriptie een bijdrage leveren door te inventariseren hoe deze beoordeling in de praktijk wordt aangepakt, en indien nodig concrete richtlijnen en/of aanbevelingen te ontwikkelen met betrekking tot het beoordelen van een service auditor’s rapport. Om tot een conclusie te kunnen geven zullen wij de centrale vraagstelling van dit onderzoek nog maals beschrijven: “Hoe dient een service auditor’s rapport te worden beoordeeld in het kader van een jaarrekening controle en welke rol speelt de IT auditor hierbij.” Een structureel antwoord op deze vraagstelling geven wij op basis van de geformuleerde deelvragen: 1.
Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking tot een beoordeling van een service auditor’s rapport in het kader van de jaarrekeningcontrole?
In hoofdstuk 2 hebben wij de theorie rondom de service auditor’s rapport behandeld en hebben wij een aantal kenmerken belicht wij van belang vinden voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Hieruit blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment. Voor de gebruikers auditor betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan de reikwijdte van een service auditor’s rapport. De gebruikers auditor zal zich moeten verdiepen in de afwegingen die (al dan niet expliciet) zijn gemaakt door zowel de service auditor als de service organisatie. 2.
Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors rapport en wordt hier aandacht besteed aan de rol van de IT auditor?
In hoofdstuk 3 hebben wij de standaard in kaart gebracht die richtlijnen beschrijven voor het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle, namelijk de NV COS 402 standaard. Deze standaard gaat niet veel verder dan het benoemen van de te
26
beoordelen aspecten waarmee de diepgang of wijze van beoordelen overblijft aan het professional judgment van de gebruikers auditor. In de standaard NV COS 402 ontbreekt de rol van de IT auditor ten behoeve van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Wel kan de accountant op basis van professional judgment beslissen of zij gebruikt maakt van een specialist bij de werkzaamheden in het kader van de jaarrekeningcontrole. In deze NV COS 620 standaard wordt geen specifieke aandacht besteed aan de vraag wanneer er een IT auditor betrokken dient te worden. Zelfs in de voorbeelden die in de standaard gegeven worden met betrekking tot wanneer een deskundige zou kunnen worden ingeschakeld wordt geen voorbeeld gegeven van een deskundige op het gebied van IT beheersing. Wij concluderen dat het aan professional judgment van de accountant wordt overgelaten om al dan niet een IT auditor in te schakelen. Hierbij vragen wij ons af of de gebruikers auditor in alle gevallen de benodigde kennis van de service auditor rapport standaarden in huis heeft om een goede afweging te maken, zowel op het gebied van de gebruikte service auditor rapport standaard als de afweging rondom het inschakelen van een IT auditor. 3.
Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit conform de richtlijnen?
Tijdens het praktijkgerichte onderzoek wat wij beschreven hebben in hoofdstuk 4, hebben wij zeer ervaren Register Accountants en Register EDP-Auditors gevraagd hoe zij een service auditor’s rapportage beoordelen in het kader van een jaarrekening controle, of zij ook op de hoogte waren van richtlijnen omtrent dit onderwerp, en welke rol de IT auditor bij de beoordeling speelt. De resultaten uit het onderzoek geven aan dat de NV COS 402 standaard maar net bij het merendeel van de respondenten bekend is en door enkelen van hen niet eens gebruikt wordt, omdat zij steunen op de ervaring die zij in de jaren hebben opgebouwd. Toch blijkt uit de analyse in paragraaf 4.4 dat de activiteiten die het merendeel van de respondenten uitvoert de richtlijnen uit de NV COS 402 standaard relatief goed afdekken. Wij hebben op basis van deze analyse, waar wij de vergelijking tussen de praktijk en de standaard, aangevuld met onze ervaring hebben behandeld, een aantal onderbelichte aspecten geïdentificeerd. De belangrijkste zijn: • Het vaststellen van de deskundigheid van de service auditor; • Het vaststellen van de adequaatheid de betreffende service auditor’s rapport standaard; • Het vaststellen dat de user control considerations zijn geïmplementeerd bij de gebruikersorganisatie. • Voldoende aandacht voor sub service organisaties In het onderzoek zijn door de respondenten geen activiteiten aan het licht gebracht die niet in de richtlijnen van de standaard NV COS 402 ondergebracht konden worden. Ook vanuit onze ervaring hebben wij geen aspecten geïdentificeerd die niet door de NV COS 402 standaard worden geraakt. Op zich is dat gezien het high level karakter van de richtlijn ook niet verassend. Wij concluderen dan ook dat dat de richtlijn op hoofdlijnen voldoende richting biedt voor een gebruikers auditor bij het beoordelen van een service auditor’s rapport in het kader van de jaarrekening controle. Het high level karakter van de richtlijn vereist onzes inziens wel dat alleen een audit professional met voldoende kennis van de betreffende rapportage standaard op basis van de NV COS 402 standaard een service auditor’s rapport kan beoordelen. Ten aanzien van de rol van de IT auditor concluderen wij dat de accountant de IT auditor vaak ingeschakeld wordt om de ITGC scope en ITGC bevindingen te beoordelen, maar dat de overwegingen om de IT auditor wel of niet in te schakelen verbeterd zou kunnen worden. Ook kunnen wij concluderen dat de IT auditor naast het beoordelen van de IT maatregelen een grote rol speelt bij het vaststellen van de vaktechnische aspecten van een service auditor’s rapport, en dat de IT auditor ook meer oog blijkt te hebben voor de vaktechnische aspecten van een service auditor’s rapport. Dit geeft ons inziens aan dat de IT auditor een belangrijkere rol zou kunnen en moeten spelen bij het beoordelen van een service auditor’s rapport, zeker ook gezien het feit dat er met de komst van de ISAE 3402 standaard weer een aantal vaktechnische aspecten veranderen.
27
5.3
Aanbevelingen Zoals wij in paragraaf 5.2 hebben aangegeven blijven er in de praktijk een aantal aspecten onderbelicht bij de beoordeling van service auditor’s rapport in het kader van de jaarrekening controle. In deze paragraaf zullen wij een aantal concrete aanbevelingen behandelen die ervoor kunnen zorgen dat de beoordeling van een service auditor’s rapport in de toekomst verbetert. Het vaststellen van de deskundigheid van de service auditor Minimaal zou moeten worden vastgesteld dat de service auditor is ingeschreven bij NIVRA of NOREA. Daarnaast dient te worden vastgesteld dat de service auditor voldoende kennis van de uitbestede processen heeft om een oordeel te kunnen geven over de effectieve werking van beheersmaatregelen met betrekking tot deze processen. Dit punt is onzes inziens extra van belang wanneer een RE een service auditor’s rapport afgeeft over uitbestede bedrijfsprocessen en wanneer een RA een service auditor’s rapport afgeeft over uitbestede IT processen, iets wat in de praktijk regelmatig gebeurt. Het vaststellen van de adequaatheid van de betreffende service auditor’s rapport standaard Gezien de specifieke vereisten van de ISAE 3402 standaard en de vrijheden die sommige service auditors zich in de praktijk permitteren is het belangrijk dat bij het beoordelen van een service auditor’s rapport ook de vaktechnische aspecten worden beoordeeld. Aangezien dit alleen kan gebeuren door professionals met kennnis van de betreffende standaard bevelen wij aan altijd een service auditor’s rapport expert bij de beoordeling te betrekken. Bij de meeste Big Four kantoren zijn deze professionals veelal IT auditors. Het vaststellen dat de user control considerations zijn geïmplementeerd bij de gebruikersorganisatie Wij adviseren gebruikers auditors altijd vast te stellen dat de user control considerations zijn geïmplementeerd bij de gebruikers organisatie aangezien deze vereist zijn om een redelijke mate van zekerheid te verkrijgen over de uitbestede processen. Daarnaast wordt duidelijkheid over dit aspect belangrijker naar gelang er in de praktijk steeds meer constructies ontstaan waar er sprake is van sub-serviceorganisaties. Dit leidt ertoe dat de auditor van de gebruikersorganisatie ook zal moeten evalueren of de user control considerations van de sub-service organisatie geïmplementeerd zijn bij de service organisatie. Zie hiervoor ook de volgende aanbeveling. Voldoende aandacht voor sub service organisaties Gezien de tendens van organisaties om niet-kern activiteiten uit te besteden, en het feit dat de ISAE 3402 standaard meer eisen stelt aan het volgen van de inclusive methode, zal het steeds vaker voorkomen dat er sprake is van sub-service organisaties of zelfs sub sub-service organisaties. Wij adviseren gebruikers auditors minimaal te inventariseren of de sub-service organisatie een significante impact heeft op de financiële verslaglegging van de gebruikers organisatie. Indien dit het geval is, adviseren wij om altijd een service auditor’s rapport van de sub service organisatie op te vragen en deze ook te beoordelen. De rol van de IT auditor Wij adviseren de gebruikers auditor om altijd een IT auditor te betrekken bij het beoordelen van een service auditor’s rapport indien er sprake is van een geautomatiseerde omgeving. Minimaal kan de IT auditor de toereikendheid van de ITGC scope en de impact van IT bevindingen vaststellen. Daarnaast adviseren wij de IT auditor met kennis van de service auditor’s rapport standard te betrekken om de vaktechnische beoordeling van de service auditor’s rapport uit te voeren, aangezien uit ons onderzoek blijkt dat de IT auditor over het algemeen meer kennis van de vaktechnische aspecten van een service auditor’s rapport heeft dan de accountant.
5.4
Beperkingen We hebben dit onderzoek uitgevoerd onder een beperkte groep Register Accountants en Register IT Auditors. Dit betekent dat resultaten niet representatief hoeven te zijn voor de totale populatie. Wij hebben de impact van deze beperking zoveel mogelijk proberen te mitigeren door audit professionals van alle Big Four kantoren mee te nemen in ons onderzoek.
28
Vervolgens moeten wij opmerken dat niet alle respondenten evenveel ervaring hebben met het beoordelen van een service auditor’s rapportage in het kader van een jaarrekening controle. Ook dit hebben wij zoveel mogelijk gemitigeerd door alleen audit professionals aan te schrijven waarvan wij weten dat zij regelmatig een service auditor’s rapport beoordelen in het kader van een jaarrekening controle. Tenslotte hoeven uitbestede diensten niet altijd een materiele impact te hebben op een jaarrekeningcontrole. Wanneer dit niet het geval is zal de accountant ook minder aandacht hoeven te besteden aan het beoordelen van een service auditors rapportage. Ook dit punt hebben wij gemitigeerd door deze beperking zoveel mogelijk in de resultaten, aanbevelingen en conclusies mee te nemen.
5.5
Zelfreflectie Zoals we in ons voorwoord al hebben aangegeven hebben we tijdens dit traject met name veel geleerd over de noodzaak om tijd te maken voor onze studie. Inhoudelijk hebben we echter ook een hoop geleerd tijdens de afgelopen maanden. In deze paragraaf gaan we hier kort op in. Ten aanzien van de service auditor’s rapport standaarden zijn we, door het bestuderen van de standaarden zelf en de literatuur, er bijvoorbeeld achter gekomen dat verschillende vereisten waarvan wij dachten dat deze ook daadwerkelijk als vereisten in de ISAE 3402 standaard zouden staan, in realiteit nogal wat ruimte voor interpretatie overlaten. Aangezien wij beiden geen accountant zijn, hebben we veel kennis opgedaan door het zoeken naar informatie uit het NIVRA Stramien en van het uitzoeken welke standaarden er nu wel en niet beschikbaar zijn ten aanzien van het beoordelen van een service auditor’s rapport in het kader van de jaarrekeningcontrole. Ten aanzien van ons praktijkonderzoek vinden wij het altijd leerzaam om te zien hoe anderen omgaan met een situatie. Zeker de enquêtes die wij per telefoon hebben afgenomen hebben ons weer nieuwe inzichten verschaft. Tenslotte staan we ook nog even stil bij de stap voorwaarts die we hebben gemaakt ten aanzien van het schrijven van wetenschappelijke stukken. Dit zal ons in de komende jaren zeker verder helpen bij onze werkzaamheden en schrijven van artikelen.
5.6
Suggesties voor nader onderzoek Tijdens ons onderzoek hebben we een aantal onderwerpen geraakt waarvan het naar onze mening interessant zou zijn om verder te onderzoeken. Dit betreft bijvoorbeeld: • De rol van de service auditor bij het beoordelen van de reikwijdte van een service auditor’s rapport: gezien de ruimte die de ISAE3402 standaard biedt kan het interessant zijn om te onderzoeken welke verantwoordelijkheden de service auditor heeft bij het bepalen van de reikwijdte van een service auditor’s rapport. • De reikwijdte van de ISAE 3402 standaard versus de SAS70 standaard: Gezien de onduidelijkheid ten aanzien van de geoorloofde reikwijdte van een ISAE 3402 rapport zou interessant zijn te onderzoeken welke wijzigingen in reikwijdte er worden doorgevoerd na de overgang naar de ISAE 3402 standaard, en ook welke rol de vier relevante partijen (service organisatie, service auditor, gebruikers organisatie en gebruikers auditor) hierbij hebben gespeeld. • De rol van de IT auditor bij de jaarrekeningcontrole: gezien de beperkte richtlijnen en de hoge mate van professional judgment zou het interessant zijn te onderzoeken hoe en waarvoor de IT auditor in het kader van de jaarrekeningcontrole wordt ingezet.
29
Literatuur [AICPA05] AICPA, (2005), Statement on Auditing Standards No. 70: Service Organizations [AICPA09] AICPA, (2009), Service Organizations: Applying SAS No. 70, as Amended – AICPA Audit Guide [Beek10] van Beek, J., (2010), SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen Financiële verantwoording, Compact_ 2010_1, pp 38-42. [Dorr08] Dorresteijn, A.F.M., (2008), De Juridische organisatie van de onderneming, Deventer, Kluwer, 2008. [Ewals10] Ewals, René (2010), ISAE 3402: een nieuw hoofdstuk voor de IT-auditor, de IT-Auditor nummer 3 2010, pp 37-45. [Fijn06] Fijneman, R.G.A., (2006), IT-auditor is meer dan controleur van informatietechnologie, in: Maandblad voor Accountancy en Bedrijfseconomie, januari / februari 2006, pp. 46-54. [Gas09] Gaskin, F., (2009), Goodbye SAS70 Hello ISAE 3402?, Accountacy Ireland, 2009. [IFAC09.01] IFAC, (2009), International Standards on Attestation Engagements: ISAE 3042, Assurance Reports on Controls at a Service Organization. [IFAC09.02] IFAC, (2009), Basis for Conclusions: ISA 402 (Revised and Redrafted), Audit Considerations Relating to an Entity Using a Service Organisation. [IFAC10] IFAC, (2010), Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements, 2010, pp 26. [Jonk07] Jonker, R. It-auditing: Third Party Mededelingen en SAS70-onderzoeken, Den Haag, Sdu Uitgevers bv, 2007. [Keij09] Keijl, S. en Eimers, P., (2009), Nieuwe internationale assurance-standaard versterkt vertrouwen bij uitbesteding, beschikbaar op: http://actueel.nl.pwc.com/site/audit_assurance_en_accounting/internationale_wet_en_regelgeving/852/nieuwe_internationale_assurance_standaard_versterkt_vertrouwen_bij_ui tbesteding.html?internalreferrer=list. [MMI08] http://www.mminst.org/downloads/2008/10/5_29_SAS-70_MMI_FINAL.pdf [Neis99] Neisingh, A.W., (1999), Van automatisering en controle tot IT-audit, in: Compact ICT en Auditing, Neisingh et. al. (red.), pp. 4-8. [NIVRA05] Koninklijk Nederlands Instituur voor Registeraccountants NIVRA) (2005), 401 Controle in een omgeving waarin gebruik wordt gemaakt van geautomatiseerde informatiesystemen, beschikbaar op: http://www.nivra.nl/Sites/nivra_site/Richtlijnen/2002/index_nl.htm. [NIVRA11.01] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 315 Het onderkennen en inschatten van de risico's van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving, beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/45761.htm. [NIVRA11.02] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 330 De wijzen van inspelen door de accountant op ingeschatte risico's, beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/45766.htm.
30
[NIVRA11.03] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 402 Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie, beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/47804.htm. [NIVRA11.04] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2011), 620 Gebruikmaken van de werkzaamheden van een door de accountant ingeschakelde deskundige, beschikbaar op: http://www.nivra.nl/Sites/nivra_site/HRA/HRA1A/201101/html/47805.htm. [NIVRA10] Koninklijk Nederlands Instituut voor Registeraccountants (NIVRA) (2010), Handleiding Regelgeving Accountancy - Deel 1 Regelgeving voor de accountant, editie 2010. [NOREA11] Nederlandse Orde van Register EDP-auditors (NOREA) (2010), Richtlijn 3402, beschikbaar op http://www.norea.nl/Norea/Actueel/Nieuws/Richtlijn+3402.aspx [Roos08] Roos, R., (2008), Beheerste uitbesteding van bedrijfsprocessen en de rol van de accountant, in: Update, juni, pp. 10-12. [Shahim09] Shahim, A., (2009), IT Governance Attenstation, Den Haag, Sdu Uitgevers bv, 2009. [Velt95] Veltman, P., (1995), Third-party-review en -mededeling bij uitbesteding van IT-services, in: Compact, september, pp. 14-23. [Verw09] Verweij, S., (2009), SAS 70 maakt plaats voor ISAE 3402, in: Spotlight, jaargang 16, pp. 52-56. [Vries08] Vries, J.K. de, IT-assure: Zekerheid over uw IT, NOREA, 2008. [Verw08] Verweij S. en Keijl S., (2008), SAS70 en daarna: controls reporting in een breder kader, in: Spotlight, jaargang 15, uitgave 2, pp. 31 – 35. [Wes09] Westra, B.A.J., (2009), Compendium Accountancy, Amsterdam, Pentagan Publishing, 2009.
31