ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE kpmg.nl

Maat: px
Weergave met pagina beginnen:

Download "ADVISORY. Praktijkgids 4. Service Organisatie Control-rapport, ISAE 3402. kpmg.nl"

Transcriptie

1 ADVISORY Praktijkgids 4 Service Organisatie Control-rapport, ISAE 3402 kpmg.nl

2 2 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402

3 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Inhoudsopgave Introductie 5 1 ISAE 3402 Service Organisatie Control-rapport Geschiedenis Type I en Type II Wat is een Service Organisatie Control-rapport niet? Het is geen certificaat Het is geen rapport opgesteld door de auditor ISAE 3402 geeft geen inhoudelijke norm Hoe misverstanden te voorkomen 13 2 Service Organisatie Control-rapporten tegen het licht van de verdere groei in uitbesteding Vormen van uitbesteding Gebruik assurancerapporten Doeltreffendheid ISAE 3402-rapport 16 3 De standaard nader bekeken Inleiding Managementbewering Auditorsrapport De systeembeschrijving Reikwijdte Systeembeschrijving Lay-out Service Organisatie Control-rapport Distributie Subserviceorganisaties 24

4 4 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Veelgestelde vragen Waar moet de gebruiker van een Service Organisatie Control-rapport op letten? Hoe verhoudt een Service Organisatie Control-rapport zich tot een uitbestedingscontract? Welke eisen worden aan een serviceorganisatie gesteld? Wanneer is de auditor onafhankelijk? Wat zijn de kosten van een Service Organisatie Control-rapport? Wie mag een auditorsrapport afgeven? Kan continuïteit van de dienstverlening deel uitmaken van de scope? Moet het altijd een ISAE 3402 Service Organisatie Control-rapport zijn? 33 5 Over KPMG Contactinformatie 35

5 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Introductie De strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren is een normaal onderdeel van de bedrijfsvoering. Het management van de uitbestedende organisatie blijft echter verantwoordelijk voor het geheel, dus ook voor de onderdelen die zijn uitbesteed. Deze constatering geeft het toepassingsgebied aan van deze praktijkgids over Service Organisatie Control-rapporten met betrekking tot beheersingsmaatregelen gericht op de financiële verslaglegging. De praktijkgids is de vierde van een in 2007 gestarte reeks van publicaties over de totstandkoming en het gebruik van assurancerapporten. Met als eerste de praktijkgids SAS 70. Uitbesteding kan op bijna elk proces betrekking hebben. Sommige van de uitbestede processen zijn zo belangrijk voor de bedrijfsvoering dat de beheersing ervan in het directe aandachtsgebied van het management valt. Door uitbesteding kunnen belangrijke controles (key controls) uit het zicht raken en is er geen directe invloed op het naleven van de gemaakte uitvoeringsafspraken. Een Service Organisatie Control-rapport geeft de uitbestedende organisatie inzicht en zekerheid inzake de uitvoering van controls. Een praktisch alternatief voor het zelf op onderzoek uitgaan bij de serviceorganisatie. Uitbesteding betreft velerlei gebieden, zoals logistiek, IT, het verzorgen van registraties, vertegenwoordigingen, etc. Beheersingsmaatregelen zijn er met betrekking tot diverse kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. Ieder gebied kent zijn eigen normen en vormen voor het afleggen van verantwoording. Specifiek voor uitbestedingen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie is het ISAE 3402-assurancerapport ontwikkeld, meestal aangeduid als Service Organisatie Control-rapport. Het rapport is bestemd voor het management van de uitbestedende organisatie en haar accountant. Het geeft invulling aan de onvolledigheid van het controlraamwerk die is ontstaan doordat de uitbestedende organisatie zelf niet meer in staat is de volledigheid, juistheid en tijdigheid van de uitbestede processen te controleren. De controle kan alleen op een indirecte wijze plaatsvinden op basis van de opgeleverde informatie zoals service level- en incidentenrapportages.

6 6 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Een ISAE 3402 Service Organisatie Control-rapport is een prima sluitstuk voor het management van de gebruikersorganisatie en haar accountant om zekerheid over het totaalbeeld te verkrijgen. De procesbeschrijving (onder ISAE 3402 gedefinieerd als systeem 1 ) en de gedetailleerde beheersingsmaatregelen in het ISAE 3402 Service Organisatie Control-rapport worden door een onafhankelijke auditor beoordeeld en aangevuld met een auditorsrapport en informatie over de uitgevoerde testen. Dit oordeel geeft ook zekerheid dat het rapport aan de vormvoorschriften voldoet en de organisatie in opzet, bestaan en werking (voor een Type II-rapport) overeenkomt met de beschrijving. Het voldoen aan de vorm vereisten uit de standaard is belangrijk wil het rapport bruikbaar zijn voor de externe accountant van de uitbestedende organisatie. Hiermee komen we bij de kern van een ISAE Het systeem omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruiker de diensten te verlenen.

7 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Service Organisatie Control-rapport. De standaard is in de eerste plaats opgezet als een verantwoordingsrapport van de serviceorganisatie naar de accountant van de uitbestedende organisatie. Het rapport komt voor de accountant in de plaats van eigen testwerkzaamheden op de werking van de interne controls die van belang zijn voor de juistheid en volledigheid van de financiële verantwoording van de uitbestedende organisatie. Op basis van de door een collega-auditor afgegeven auditorsrapport en de in het rapport opgenomen resultaten van de testwerkzaamheden kan hij beoordelen welke aanvullende werkzaamheden nodig zijn voor zijn controle van de jaarrekening van zijn opdrachtgever, de uitbestedende organisatie. In Nederland is de internationale ISAE 3402-standaard overgenomen door de Nederlandse Beroepsorganisatie van Accountants (NBA) onder de naam NV COS 3402 en door de beroepsorganisatie van IT-auditors NOREA onder de naam Richtlijn Beide zijn gelijkluidend. In deze publicatie worden de standaarden aangeduid onder de naam van de gemeenschappelijke bron: ISAE Een ISAE 3402-assurancerapport is bestemd voor de uitbestedende organisatie (de gebruiker) en haar accountant. Het rapport komt voort uit regels voor onderlinge informatie-uitwisseling tussen auditors. Een ISAE 3402-assurancerapport sluit naadloos aan op de vereisten uit ISA 402. Deze auditstandaard geeft voor de accountant aan hoe te handelen in situaties waarin zijn controleklant voor de financiële verslaglegging relevante processen heeft uitbesteed aan een serviceorganisatie. Vanuit corporate governance bezien is toegevoegde waarde voor de bestuurder van de uitbestedende organisatie zo groot dat zijn accountant als gebruiker dikwijls op de tweede plaats is komen te staan. Het doel van deze praktijkgids is om verstrekkers en gebruikers van ISAE 3402 Service Organisatie Control-rapporten inzicht te geven in de specifieke aspecten van dit soort assurancerapporten. Door het verschil tussen de uitgangspunten in gebruik van de rapportage, zoals het de opstellers van de standaard voor ogen staat en het gebruik in de praktijk is er helaas nog weleens sprake van onbegrip of misverstanden. 2 ISAE International Standard Assurance Engagement

8 8 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 ISAE 3402 Service Organisatie 1 Control-rapport

9 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Een ISAE 3402 Service Organisatie Control-rapport beschrijft het transactieverwerkend systeem van een serviceorganisatie en de wijze waarop dit wordt beheerst door de serviceorganisatie. Het wordt opgesteld door de serviceorganisatie en beoordeeld door een door de serviceorganisatie aangestelde auditor (de service auditor). De service auditor verrijkt het rapport met informatie over de uitgevoerde testwerkzaamheden en met zijn oordeel. 1.1 Geschiedenis Hoewel er vele lokale vormen bestonden van assurancerapporten met betrekking tot uitbestede processen, was de Amerikaanse SAS 70-standaard tot 2011 de facto standaard. Service Organisatie Control-rapporten op basis van ISAE 3402 zijn de opvolger daarvan. Uitgaande van de Amerikaanse SAS 70-standaard en de algemene assurancestandaard ISAE 3000 heeft de International Auditing and Standards Board (IAASB) van de International Federation of Accountants (IFAC) ISAE 3402 ontwikkeld. Deze standaard is door nationale standaardzetters overgenomen, ook in Nederland. Voor Nederlandse rapporten die buiten Nederland worden gebruikt kan aan ISAE 3402 worden gerefereerd. Zoals in de introductie genoemd hebben de NBA en de NOREA de standaard overgenomen onder de naam NV COS 3402, respectievelijk Richtlijn In de Verenigde Staten is de standaard overgenomen onder SSAE 16 en de naam SOC 1 3. Om de ISAE 3402 te kunnen inpassen in de Amerikaanse set van standaarden is de standaard op een aantal punten aangepast; de aanpassingen zijn echter niet van invloed op de inhoud van het assurancerapport. Nu er een internationale bron standaard is met een lokale implementatie is het niet nodig om op basis van een standaard te werken die buiten de eigen jurisdictie valt. Voor internationaal gebruik kan het auditorsrapport worden uitgebracht onder ISAE 3402 of op basis van NV COS 3402 / Richtlijn 3402 met een verwijzing naar ISAE SOC Service Organisation Control

10 10 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Type I en Type II Er zijn twee typen Service Organisatie Control-rapporten: Type I en Type II. Het Type I-rapport betreft een momentopname. Een Type 1 Service Organisatie Control-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Basaal gesteld beantwoordt de auditor de vraag: Komt de beschrijving van het rapport overeen met de werkelijke situatie?. Het oordeel van de auditor wordt verwoord in het auditorsrapport. Het Type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming met de beschrijving is. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode door de auditor getest. Het oordeel wordt door de auditor verwoord in het auditorsrapport. De uitgevoerde testwerkzaamheden met betrekking tot de beheersingsmaatregelen en de bevindingen worden aan het rapport toegevoegd, meestal in een sectie met de titel informatie verstrekt door de service auditor. Indien over een Service Organisatie Control-rapport wordt gesproken, wordt over het algemeen een Type II-rapport bedoeld. Een Type I-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

11 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wat is een Service Organisatie Control-rapport niet? Misverstanden berusten meestal op een situatie waarin er een gevoel is het te begrijpen, maar dat dit begrip eigenlijk niet (geheel) juist is. Als het beeld niet juist is, is dit gevaarlijker dan een erkenning dat het begrip ontbreekt. Door het specifieke karakter kan het lastig zijn om precies te begrijpen wat een Service Organisatie Control-rapport is. Voor een goed begrip volgen in de onderstaande paragrafen elementen die dikwijls verkeerd worden geïnterpreteerd Het is geen certificaat Een Service Organisatie Control-rapport wordt nog wel eens op één lijn gesteld met een ISO-certificaat. Een certificaat is echter beperkter dan een rapport. Bij een certificaat staan de normen en daarmee de scope vast. Een certificaat wordt wel of niet behaald. Een Service Organisatie Control-rapport geeft een beschrijving volgens een vast formaat. Scope en normen worden bepaald door de serviceorganisatie en worden door de service auditor op hun toereikendheid beoordeeld. Het auditorsrapport geeft de zekerheid dat de beschrijving overeenkomt met de werkelijkheid en dat het rapport aan de standaard voldoet. Naast de zekerheid die de auditor geeft, biedt het rapport inzicht in de situatie. De lezer kan het rapport gebruiken voor een eigen evaluatie van de beheersingsmaatregelen binnen de serviceorganisatie. Als lezer weet je wat je krijgt voorgeschoteld en dat je de daarin gepresenteerde informatie kunt vertrouwen. Het rapport is genuanceerd. De gebruiker moet het doornemen om te weten wat hij eraan heeft Het is geen rapport opgesteld door de auditor De Service Organisatie Control-rapportage wordt opgesteld door een serviceorganisatie. Hierbij kan zij rekening houden met eisen die door gebruikers aan het rapport gesteld worden. Het management van de serviceorganisatie bevestigt in haar managementbewering dat het rapport aan de criteria uit de ISAE 3402-standaard voldoet. Het auditorsrapport bevat het oordeel van de auditor ten aanzien van opzet, bestaan en werking (Type II) van de in het rapport beschreven beheersings-processen. Het auditorsrapport zonder de beschrijving van het systeem en de daarbij behorende beheersingsmaatregelen heeft geen betekenis, hiervoor bevat het te weinig inhoudelijke informatie.

12 12 Praktijkgids 4, Service Organisatie Control-rapport, ISAE ISAE 3402 geeft geen inhoudelijke norm In feite is de ISAE 3402 standaard leeg. De standaard geeft een kader om eenduidig verantwoording over het ontwerp, de implementatie en het naleven van beheersingsdoelstellingen te kunnen afleggen. De serviceorganisatie bepaalt de scope en beheersingsdoelstellingen van het rapport. Dit kan in overleg met de gebruiker, maar dat hoeft niet. De standaard geeft aan wat de serviceorganisatie en de auditor in het Service Organisatie Control-rapport moeten opnemen en geeft de kaders voor de werkzaamheden van de auditor. Het beschikbaar zijn van een Service Organisatie Control-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. De rapportage kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor. Het Service Organisatie Control-rapport geeft zekerheid en inzicht. Het is aan de lezer om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan zijn kwaliteitseisen voldoet. Uit de praktijk zijn situaties bekend waarin de serviceorganisatie een bewuste keus maakt om een deel van het proces buiten de scope te laten. De motivatie hiervoor is dan in het rapport opgenomen. De auditor beoordeelt in zo n geval de scope als onvolledig en neemt in het auditorsrapport een kwalificatie op ten aanzien van de scope. Is het rapport nu waardeloos? Nee, dat niet. Het kan zelfs zijn dat de gebruikers erom hebben gevraagd. Als er geen rapport was, dan bleven zij in het ongewisse. Nu weten de gebruikers van het rapport precies waar ze aan toe zijn en kunnen zij zelf aanvullende (gegevensgerichte) controlemaatregelen treffen. De accountant van de gebruikersorganisatie zal op basis van het rapport concluderen dat hij op zoek moet gaan naar compenserende controles binnen de organisatie van financial audit-klant, de uitbestedende organisatie.

13 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Hoe misverstanden te voorkomen Het vooraf onderkennen van deze misverstanden kan teleurstelling over de bruikbaarheid van het Service Organisatie Control-rapport voorkomen. Communicatie tussen de opsteller (serviceorganisatie) en de gebruikers van het rapport (de uitbestedende organisatie) is hierbij de sleutel. Het initiatief om tot een Service Organisatie Control-rapport te komen ligt bij de serviceorganisatie. In tegenstelling tot een algemeen assurancerapport is bij een rapportage op basis van ISAE 3402 de serviceorganisatie altijd de opsteller van het rapport en de opdrachtgever voor de audit door de service auditor. Als de serviceorganisatie dit zonder afstemming met de gebruiker doet, is de kans is groot dat de gebruiker het rapport niet begrijpt, respectievelijk dat het niet aan zijn behoefte voldoet. Hierdoor loopt de gebruikswaarde voor de gebruiker, en zijn accountant sterk terug. Een reactie op deze constatering zou kunnen zijn om vooraf aan de klanten te vragen wat zij graag zouden willen ontvangen. De kans is groot dat de klanten dat niet weten of dat zij met een onmogelijke lijst ( doet u mij maar alles ) van wensen komen. De praktijk heeft uitgewezen dat een Type I-rapport hiervoor uitkomst kan bieden. Dit rapport is goed te gebruiken voor een eerste concrete communicatie met de gebruiker. Voor de opsteller betekent dit dat er opbouwend gewerkt wordt, het Type I-rapport is het fundament voor het toekomstige Type II-rapport. Bij de verstrekking van het Type I-rapport wordt aangegeven dat dit de opmaat is voor een Type II-rapport. Het rapport is het concrete ijkpunt voor het afstemmen van de scope en het vernemen van mogelijke andere wensen van de gebruiker. Naast rapporten bestemd voor een groep gebruikers zijn er ook rapporten die bestemd zijn voor één gebruiker. Deze rapporten worden op maat gemaakt, over het algemeen op verzoek van de gebruiker, die daarbij de gewenste scope en de gewenste beheersingsdoelstellingen aangeeft. Ook hier is het zinvol om de inhoud van het rapport vooraf in concept met de gebruiker af te stemmen, wat hier gezien de relatie veeleer een natuurlijke actie zal zijn.

14 14 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Service Organisatie Controlrapporten tegen het licht van de groei in uitbesteding

15 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Vormen van uitbesteding In de uitbestedingsmarkt wordt een onderscheid gemaakt in de uitbesteding van IT-diensten (ITO 4 ) en de uitbesteding van businessprocessen (BPO 5 ). Het gestructureerd uitbesteden van processen, en daarmee de behoefte aan assurancerapporten is begonnen met de automatisering van bedrijfsprocessen. De verwerking van gegevens vindt hierdoor niet meer onder de eigen aansturing plaats, er moet worden vertrouwd op de integriteit van de serviceorganisatie. Blind vertrouwen is echter wel wat veel gevraagd, de gebruiker wil inzicht in de beheersing hebben. Dit betekent dat de gebruiker of zijn vertegenwoordiger de serviceorganisatie zou moeten bezoeken om vast te stellen of de integriteit- en beschikbaarheidsrisico s voldoende zijn afgedekt. De mogelijkheid hiertoe wordt in het uitbestedingscontract vastgelegd als right to audit. Deze werkwijze heeft voor beide partijen een groot nadeel. De uitbestedende organisatie heeft capaciteit nodig om deze controles uit te (laten) voeren; dit is niet in lijn met de intentie van de uitbesteding, namelijk vereenvoudiging en efficiëntie. De serviceorganisatie wordt geconfronteerd met een groot aantal audits vanuit haar klanten, wat veel capaciteit kost om dit in goede banen te leiden. De oplossing die hiervoor gevonden is we spreken over ongeveer dertig jaar terug was een audit ten behoeve van de uitbestedende organisatie. In de Nederlandse accountantsliteratuur werd dit al snel aangeduid met de term TPM, wat staat voor Third Party Mededeling. Het faciliteren van IT is een ondersteunend proces. De tendens van uitbesteding strekte zich uit naar andere, meer inhoudelijke businessprocessen. Nadat de processing van salarissen was uitbesteed, breidde zich dit uit naar salarisverwerking en nog verder naar onderdelen ter ondersteuning van de HR-functie. Invulling van het right to audit bij dit model van business process outsourcing heeft dezelfde knelpunten als hiervoor genoemd. BPO is qua materie meer divers dan uitbestede IT-diensten. Dit heeft zijn invloed op de eisen die aan de inhoud van een assurancerapport worden gesteld. Het rapport moet specifiek inzicht geven wil het voor de gebruiker van toegevoegde waarde zijn. 4 ITO IT Outsourcing 5 BPO Business Process Outsourcing

16 16 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Voor het begrip van de ISAE 3402-standaard moeten de gebruikers van de standaard zich realiseren dat deze is opgesteld door een standard setting board (IAASB) voor auditors. De standaard is ontwikkeld om inzage tegeven in, en assurance te geven over beheersingsmaatregelen die (indirect) bijdragen aan een juiste en volledige financiële verslaglegging door de uitbestedende organisatie. 2.2 Betekenis assurancerapporten Een Service Organisatie Control-rapport is geen kwaliteitskeurmerk, maar een serviceorganisatie die een Service Organisatie Control-rapport op kan stellen moet een stabiel en uitgewerkt systeem van interne beheersing hebben. Als dit niet de situatie is, dan is het onmogelijk om een dergelijk rapport op te stellen. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie. Serviceorganisaties die een Service Organisatie Control-rapport beschikbaar stellen aan hun klanten hebben een streepje voor op hun concurrenten die dit niet kunnen. Zij leveren naast de service ook inzicht in de kwaliteitsmaatregelen met betrekking tot de service. 2.3 Doeltreffendheid ISAE 3402-rapport Zoals reeds eerder vermeld, is een Service Organisatie Control-rapport gericht op de beheersingsmaatregelen met betrekking tot processen die (indirect) een relatie hebben met de financiële verantwoording van de uitbestedende organisatie. Deze doelgerichtheid heeft het voordeel dat de gebruiker, het financieel management van de gebruikersorganisatie en haar accountant het rapport direct zullen herkennen. Zij weten welke waarde zij er aan toe kunnen kennen en kunnen er naar vragen. Bij een aanvraag kan worden volstaan met het aangeven van de gewenste scope en eventueel, de in het rapport op te nemen, beheersingsdoelstellingen. De kenmerken hoeven in de vraagstelling niet gedefinieerd te worden, deze liggen in de standaard al vast.

17 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Deze duidelijkheid heeft ook een nadeel, de scope heeft zijn beperkingen. In een situatie met een andere context moet worden teruggevallen op de al lang bestaande algemene assurancestandaard, ISAE ISAE 3402 is een specifieke uitwerking van ISAE Keuzes die ISAE 3000 mogelijk maakt, zijn binnen ISAE 3402 geconcretiseerd. Dit geeft de mogelijkheid het model van het ISAE 3402-assurancerapport onder ISAE 3000 (aangepast) te gebruiken. Het bovenstaande is door de AICPA (American Institute of Certified Public Accountants, de Amerikaanse beroepsorganisatie van accountants) herkend, maar wordt door het ontbreken van richtlijnen tegelijkertijd als een bedreiging voor de kwaliteit gezien. Om de herkenbaarheid en voorspelbaarheid van Service Organisatie Control-rapporten ten aanzien van IT-gerelateerde processen te bewerkstelligen, is in de Verenigde Staten specifieke guidance ontwikkeld, te weten het SOC 2- en het SOC 3-rapport. Deze rapporten hebben betrekking op de betrouwbaarheid, beschikbaarheid en vertrouwelijkheid (privacy) van IT-dienstverlening en volgen zo veel mogelijk het rapportagemodel ISAE 3402, in de Verenigde Staten aangeduid met SOC 1. De SOC 2/SOC 3 guidance is niet gebaseerd op ISAE 3000, maar op een in de Verenigde Staten geldende, min of meer gelijkluidende, standaard. Buiten de Verenigde Staten kan de SOC 2/SOC 3 guidance zonder meer worden gevolgd met als uiteindelijke referentie de assurancestandaard ISAE Dit leidt tot enkele formele aanpassingen in de bewoordingen in het auditorrapport. Let wel op dat SOC 1, SOC 2 en SOC 3 in de Verenigde Staten gedeponeerde Trade Marks zijn. De SOC 2/SOC 3-rapportages zijn bijzonder geschikt voor het verkrijgen van assurance bij IT-dienstverlening in de Cloud. Een verdere uitwerking hiervan valt buiten de reikwijdte van deze publicatie. Nadere informatie hierover is te vinden in specifiek hierop betrekking hebbende publicaties. 6 ISAE 3000 is in Nederland geïmplementeerd onder de naam COS 3000 (NBA) en Richtlijn 3000 (NOREA).

18 18 Praktijkgids 4, Service Organisatie Control-rapport, ISAE De standaard nader bekeken

19 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Inleiding Het Service Organisatie Control-rapport onder ISAE 3402 is opgebouwd volgens de in de standaard opgenomen criteria. Zowel het management als de auditor verklaart in zijn uiting dat het rapport aan deze criteria voldoet. In dit hoofdstuk wordt hier nader op ingegaan. 3.2 Managementbewering Kenmerkend voor een Service Organisatie Control-rapport is de managementbewering. Zonder managementbewering is het geen Service Organisatie Control-rapport overeenkomstig de standaard. In de managementbewering verklaart het management dat het rapport aan de vereisten van de standaard voldoet en dat de beschrijving overeenkomt met de situatie op het genoemde moment (Type 1) respectievelijk overeenkomt met de situatie gedurende de rapportageperiode (Type II). In de standaard is een voorbeeld van een managementbewering opgenomen. Voorbeeld klinkt wat vrijblijvender dan dat het is. De op te nemen teksten komen direct voort uit de standaard en geven daardoor weinig ruimte voor creativiteit. Het verantwoordelijk management baseert zijn verklaring op de uitgevoerde management controls. Dit kunnen eigen waarnemingen zijn, maar ook door het lager management opgestelde in-control statements en rapportages van interne controleafdelingen, interne accountants, klachtenafhandeling, etc. De omvang van de organisatie is bepalend voor de mix van monitoringmaatregelen die als toereikend kan worden gekwalificeerd. Het is te verwachten dat managers die hun verantwoordelijkheden serieus nemen dit op orde hebben. De managementbewering wordt niet geaudit door de service auditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen voorzien van twee kwaliteitsuitspraken, één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn.

20 20 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Auditorsrapport Het auditorsrapport is de rapportage die de auditor aan het Service Organisatie Control-rapport toevoegt. Zoals reeds eerder vermeld: de systeembeschrijving in het Service Organisatie Control-rapport is de verantwoordelijkheid van de serviceorganisatie, de auditor is verantwoordelijk voor de review daarvan en voor de rapportage van zijn bevindingen. Voorbeeldteksten voor het auditorsrapport zijn in de bijlage bij de standaard opgenomen. De strekking van de standaard laat weinig ruimte om hierin te wijzigen, anders dan het toevoegen van de bevindingen uit de audit. Ook hier geldt, als het formaat uit de standaard niet wordt gevolgd, is er geen sprake meer van een ISAE 3402-assurancerapport. Wat niet wil zeggen dat het geen assurancerapport meer is, maar wel dat het niet meer aan de specifieke vereisten van ISAE 3402 voldoet. Al lijkt het auditorsrapport standaard te zijn, het moet gelezen worden, nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Inzicht in de gegeven zekerheid wordt verkregen door kennis te nemen van de inhoud van het auditorsrapport. 3.4 De systeembeschrijving De in de standaard gebruikte termen zijn strak gedefinieerd. Eén van deze termen is systeem van de serviceorganisatie. Het systeem omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruiker de diensten te verlenen. Naast de reikwijdte dient de beschrijving ten minste te bevatten: soorten diensten, procedures, informatiestromen, verwerking andere gebeurtenissen dan standaardtransacties, procedure ten aanzien van Service Level-rapportages, de beheersingsdoelstellingen en beheersingsmaatregelen, door de gebruikersorganisatie te treffen beheersingsmaatregelen,

21 Praktijkgids 4, Service Organisatie Control-rapport, ISAE overige aspecten ten aanzien van: - beheersingsomgeving, - risico-inschatting, - informatiesysteem en communicatie, - beheersingsactiviteiten, - monitoringmaatregelen. In een Type II-rapport, een beschrijving van de relevante wijzigingen gedurende de verslagperiode Reikwijdte De reikwijdte van het ISAE 3402-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het moet aansluiten bij een dienst die als geheel wordt afgenomen. Voor een organisatie die bijvoorbeeld de salarisverwerking heeft uitbesteed, heeft een rapport met betrekking tot de beheersing van de onderliggende IT-infrastructuur beperkte toegevoegde waarde. Voor de uitbestedende organisatie gaat het om de beheersing van het gehele salarisverwerkingsproces, niet alleen om de onderliggende IT-processen. Er is zelfs een risico dat door misinterpretatie de gebruiker het gevoel krijgt dat het gehele proces van salarisverwerking onder control is, terwijl het rapport alleen betrekking heeft op de controleaspecten ten aanzien van de IT-infrastructuur. Een ander voorbeeld is de uitbesteding van een proces dat bestaat uit frontoffice- en backofficefuncties. In dat geval kan niet worden volstaan met een rapport waarin alleen de backofficefunctie in scope is. Omdat een backofficefunctie niet zonder een frontofficefunctie kan, zou het rapport een onvolledig beeld geven, hetgeen een bron van misinterpretatie kan zijn Systeembeschrijving Zoals hiervoor is beschreven, wordt het proces waarop het assurancerapport betrekking heeft in de ISAE 3402-standaard systeem genoemd. Systeem is dus veel breder dan het informatiesysteem. Onder de oude SAS 70-standaard was een systeembeschrijving geen strikte vereiste. De meeste elementen van een systeembeschrijving waren echter ook opgenomen in een SAS 70-rapportage, maar dan vooral om controls inzichtelijk te maken. Bij Service Organisatie Control-rapporten die omgezet zijn vanuit oude SAS 70-rapporten is dit nog terug te zien.

22 22 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Een rapportagecriterium dat bij de omzetting regelmatig over het hoofd wordt gezien is de procesbeschrijving met betrekking tot de verwerking van nietroutinematige transacties. Hierbij is te denken aan incidentafhandeling, het inregelen van nieuwe klanten, etc. In een Type II-rapport heeft het oordeel van de auditor over de systeembeschrijving betrekking op de opzet en het bestaan ervan gedurende de verslagperiode. 7 De auditor kan zijn oordeel alleen afgeven als de wijzigingen tijdens de verslagperiode in het rapport zijn opgenomen. Een beschrijving van de relevante wijzigingen is bij een Type II-rapport dan ook als een vereiste in de standaard opgenomen. In een aantal gevallen komt het voor dat de beheersingsmaatregelen binnen de serviceorganisatie niet de gehele beheersingsdoelstelling afdekken. Bijvoorbeeld als de serviceorganisatie voor de volledigheid van de verwerking van de mutaties afhankelijk is van de aanlevering door de gebruikersorganisatie. De gebruikersorganisatie zal zelf op basis van de verwerkingsrapporten de volledigheid van de verwerking van de mutaties moeten waarborgen. De serviceorganisatie kan immers alleen de volledigheid van de verwerking van de aan haar aangeboden mutaties vaststellen. De voor het proces essentiële beheersingsmaatregelen binnen de gebruikersorganisatie moeten in het rapport worden vermeld. In de standaard wordt dit aangeduid met aanvullende interne beheersingsmaatregelen van de gebruikende entiteit. 3.5 Lay-out Service Organisatie Control-rapport De standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. Ook de oude SAS 70-standaard kende geen voorgeschreven formaat; echter de door het AICPA uitgegeven guidance werkte vanuit een rapport dat was opgebouwd uit vier secties. Een lay-out die zo goed als door alle serviceorganisaties gevolgd werd. In lijn met de opbouw van de oude SAS 70-rapporten hebben de ISAE 3402-rapporten in de praktijk een gelijke opbouw gekregen. Wordt hierbij rekening gehouden met 7 Het oordeel over de werking (operational effectiveness) beperkt zich tot de beheersingsmaatregelen zoals opgenomen in het hoofdstuk Beheersdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor

23 Praktijkgids 4, Service Organisatie Control-rapport, ISAE de invoeging van de managementbewering, dan is de indeling van een ISAE 3402-rapport als volgt: 1 Auditorsrapport. 2 Managementbewering. 3 Systeembeschrijving. 4 Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor. 5 Overige informatie. De beheersingsdoelstellingen en beheersingsmaatregelen worden in de standaard als onderdeel van de systeembeschrijving genoemd. Deze worden in een aparte sectie opgenomen om te voorkomen dat er in het rapport doublures voorkomen. Bij een Type II-rapport worden de beheersingsmaatregelen door de auditor op hun effectiviteit (werking) gedurende de rapportageperiode getest. De auditor documenteert dit in het rapport door aan de beheersingsmaatregelen de uitgevoerde tests en de testresultaten toe te voegen. Het volgen van deze structuur voorkomt dat de beheersingsdoelstellingen en beheersingsmaatregelen twee keer in het rapport moeten worden opgenomen, één keer in de systeembeschrijving en vervolgens in de sectie met de documentatie van de door auditor uitgevoerde testwerkzaamheden. De sectie Overige informatie valt buiten de scope van de audit. Het onderzoek van de auditor gaat niet verder dan vast te stellen dat de inhoud van deze sectie niet strijdig is met zijn beeld van de organisatie en de systeembeschrijving. In zijn auditorsrapport spreekt de auditor geen oordeel uit over de in deze sectie opgenomen informatie. 3.6 Distributie Het Service Organisatie Control-rapport kan zowel door de service auditor als door de serviceorganisatie worden opgemaakt. Het meest gebruikelijk is dat de serviceorganisatie het rapport opmaakt in haar eigen (corporate) lay-out. Nadat de auditor tot zijn oordeel is gekomen, overhandigt hij de tekst van zijn auditorsrapport en de testinformatie aan de serviceorganisatie en machtigt hij haar om dit in het rapport op te nemen.

24 24 Praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Het Service Organisatie Control-rapport is bestemd voor de organisaties die de diensten in scope gedurende de rapportageperiode (bij een Type I op het rapportagemoment) hebben afgenomen. In de laatste paragraaf van het auditorsrapport staat in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door deze groep gebruikers en hun accountants. De distributieverantwoordelijkheid ligt bij de serviceorganisatie; gezien het vertrouwelijke karakter van het rapport moet de serviceorganisatie hier verantwoord mee omgaan. Het rapport is beslist niet bedoeld voor een vrije publicatie op het internet. In de Verenigde Staten is het gebruikelijk dat de auditor het gehele rapport opmaakt. In Nederland komt dit ook voor, maar dat is meer uitzondering dan regel. De auditor ontvangt de systeembeschrijving inclusief de beheersingsdoelstellingen en beheersingsmaatregelen, eventueel overige informatie en de managementbewering en voegt dit samen met zijn rapportage en testinformatie. De auditor draagt de rapporten over aan de serviceorganisatie die zorg draagt voor de distributie. 3.7 Subserviceorganisaties De serviceorganisatie waaraan het werk is uitbesteed kan, op haar beurt, een deel van het proces uitbesteden aan een derde. Denk aan een serviceorganisatie die de salarisverwerking verzorgt en die voor de IT-infrastructuur gebruik maakt van een derde partij. Volgens de standaard kan hier op twee manieren mee worden omgegaan: Carve-out het aan de subserviceorganisatie uitbestede proces wordt niet in het rapport betrokken (in de Nederlandse standaard wordt dit de uitsluitingsmethode genoemd). Inclusive het aan de subserviceorganisatie uitbestede proces wordt in het rapport opgenomen, (in de Nederlandse standaard wordt dit de opnamemethode genoemd). Let op dat in een aantal situaties waar derden betrokken zijn geen sprake hoeft te zijn van een subserviceorganisatie. Soms blijkt dat bij nadere analyse de derde partij als een leverancier is te karakteriseren; een leverancier is geen onderdeel van het proces, hij levert een product of een (informatie)dienst. Een voorbeeld

25 Praktijkgids 4, Service Organisatie Control-rapport, ISAE hiervan is de aanlevering van koersinformatie aan vermogensbeheerders. De leverancier daarvan moet in het rapport worden genoemd, verdere uitwerking is echter niet nodig. Dit wordt niet aangeduid met carve-out / uitsluiting. Bij een carve-out gaat het om een subserviceorganisatie die deel uitmaakt maakt van het uitbestede proces. Zonder afbreuk te doen aan de bruikbaarheid van het rapport kan het aan de subserviceorganisatie uitbestede procesonderdeel uit de scope worden weggelaten als: er geen key controls binnen dit proces zijn opgenomen; de subserviceorganisatie een assurancerapport publiceert, dat ook beschikbaar is voor de klant van de serviceorganisatie; de serviceorganisatie zelf voldoende controles kan uitvoeren op het proces van de subserviceorganisatie. Deze laatste variant wordt ook wel de monitoring approach genoemd. In het rapport worden beheersingsdoelstellingen opgenomen die betrekking hebben op de beheersing van de uitbesteding. Beheersingsmaatregelen die hierbij horen zijn bijvoorbeeld: analyse van Service Level-rapportages, opvolging incidentenrapportage, visuele inspectie van de uitbestedingslocatie en analyse en opvolging van ontvangen assurancerapporten. De auditor moet in zijn auditorsrapport melding maken van de uitsluiting van door subserviceorganisaties uitgevoerde procesonderdelen. Bij het volgen van de opnamemethode (inclusive report) worden de door de subserviceorganisatie uitgevoerde processen in het rapport meegenomen. Alle elementen moeten in het rapport worden opgenomen: de beschrijving van het systeem, de beheersingsdoelstellingen en beheersingsmaatregelen en een bewering (assertion) van het management. Indien de inrichting van de subserviceorganisatie sterk afwijkt van die van de serviceorganisatie ontstaan er als het ware twee rapporten in één. De opnamemethode is eigenlijk alleen geschikt voor organisaties die organisatorisch gezien dicht bij elkaar liggen, bijvoorbeeld twee dochterondernemingen. De auditor moet de subserviceorganisatie in zijn audit betrekken. In zijn auditorsrapport vermeldt de auditor dat zijn testwerkzaamheden en oordeelsvorming ook betrekking hebben op de processen bij de subserviceorganisatie.

26 26 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Veelgestelde vragen

27 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Waar moet de gebruiker van een Service Organisatie Control-rapport op letten? Voor de accountant van de uitbestedende organisatie komt het Service Organisatie Control-rapport in de plaats van eigen testwerkzaamheden. Dit is mogelijk omdat het rapport niet alleen een oordeel van een collega bevat, maar ook informatie over de door die collega uitgevoerde testwerkzaamheden. Het gebruik van het Service Organisatie Control-rapport als controlebewijs is vastgelegd in auditstandaard ISA 402, door de NBA geïmplementeerd als NV COS 402 De controleconsequenties van het gebruikmaken van serviceorganisaties door entiteiten. Een Service Organisatie Control-rapport volgens NV COS 3402 / Richtlijn 3402 bevat alle informatie om aan de vereisten van NV COS 402 te kunnen voldoen. Het rapport is voor de accountant de bron voor het verkrijgen van zekerheid en informatie over de interne beheersing binnen de serviceorganisatie. Het oordeel van de service auditor heeft betrekking op de kwaliteitsvereisten van het rapport (de criteria) en de implementatie en effectieve werking (Type II) van de beheersingsmaatregelen. Met andere woorden, de service auditor beantwoordt de vraag: Voldoet het rapport aan de vormvereisten en is het rapport een toereikende, juiste en volledige weergave van de werkelijke situatie?. Naast kennisname van het rapport zal de ontvangende accountant altijd nog gegevensgerichte controlewerkzaamheden moeten uitvoeren om een bewering in de jaarrekening in haar geheel te kunnen beoordelen. Het gebruik van het rapport door het management van de gebruikersorganisatie is niet zo gereguleerd als het gebruik door accountants. Voor hen is het rapport enerzijds een bron om vast te stellen in hoeverre de afspraken uit de contracten zijn nagekomen. Anderzijds maakt het deel uit van het bouwwerk van interne controles. De informatie uit het Service Organisatie Control-rapport in combinatie met de eigen complementary user entity controls moet ertoe leiden dat het proces aantoonbaar in control is.

28 28 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Hoe verhoudt een Service Organisatie Controlrapport zich tot een uitbestedingscontract? In uitbestedingscontracten wordt dikwijls zonder veel verdere specificatie opgenomen dat de opdrachtgever het recht heeft om audits uit te voeren. De serviceorganisatie realiseert zich meestal niet hoe kostbaar het kan zijn om deze audits in goede banen te leiden. Omdat de audit vaak van essentieel belang is voor de accountantscontrole van de jaarrekening zal de opdrachtgever vrijwel altijd invulling willen geven aan dit recht van audit. Door het opstellen van een Service Organisatie Control-rapport kan de serviceorganisatie de regie in hand houden en ook proactief te werk gaan in de communicatie met haar opdrachtgever. Bij meer generieke processen, die in eenzelfde vorm door veel partijen wordt afgenomen (bijvoorbeeld software as a service of andere Cloud ITservicemodellen), zal het recht van audit geen deel uitmaken van het contract. De serviceorganisatie zou haar efficiëntie verliezen als zij dit wel mogelijk zou maken. Indien de serviceorganisatie haar stelsel van interne controle zichtbaar wil maken voor haar klanten is ook hier een Service Organisatie Control-rapport de oplossing. Het wordt een onderscheidend kenmerk; er wordt niet alleen verwerkingsservice geleverd maar daarboven wordt een door een auditor beoordeeld rapport inzake de beheersingsmaatregelen aan de gebruikers ter beschikking gesteld. 4.3 Welke eisen worden aan een serviceorganisatie gesteld? Een serviceorganisatie moet in staat zijn haar beheersingsraamwerk en de onderliggende beheersingsmaatregelen inzichtelijk te maken om een Service Organisatie Control-rapport te kunnen opstellen. Daarboven moet zij in staat zijn om aan te tonen dat zij gewerkt heeft volgens de in het rapport gedocumenteerde interne controleprocessen. Een serviceorganisatie moet hier een zekere mate van volwassenheid voor hebben, anders lukt dit niet.

29 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Voor een serviceorganisatie is het opzetten van een Service Organisatie Controlrapport dikwijls een versnelling in de professionalisering van de administratieve organisatie. Een Service Organisatie Control-rapport met een schoon auditorsrapport is hier het doel waar naartoe wordt gewerkt. Voorafgaande aan de audit kan de service auditor een zogenaamde diagnostic review uitvoeren resulterend in een adviesrapport. Het rapport bevat geen oordeel, maar uitsluitend een advies ten aanzien van de punten die in het concept Service Organisatie Control-rapport verbeterd kunnen worden. De service auditor kan op basis van zijn beoordeling adviseren; hij kan geen concreet ontwerp van beheersingsdoelstellingen en beheersingsmaatregelen maken en niet helpen bij de inrichting of bij de uitvoering van de controls. Met deze activiteiten zou hij zijn onafhankelijkheid als service auditor verliezen. Het adviesrapport is uitsluitend bestemd voor de serviceorganisatie, en kan niet worden gedeeld met derden buiten de serviceorganisatie. 4.4 Wanneer is de auditor onafhankelijk? Een auditor die betrokken is geweest bij het inrichten van de beheersingsorganisatie kan deze daarna niet beoordelen. Hij is niet meer onafhankelijk. De onafhankelijkheid komt niet in het geding als hij, zoals in de voorgaande paragraaf al genoemd, adviseert over de normen die hij hanteert en hoe die uitwerken op de serviceorganisatie. Afgezien van een bijzondere situatie onder de Amerikaanse wetgeving 8 kan een accountant gebruikmaken van een rapport dat door hem zelf of door een kantoorgenoot is geaudit. Uit het oogpunt van onafhankelijkheid is dit niet anders dan dat hij in opdracht van de gebruikersorganisatie bij de serviceorganisatie audits op het interne controlesysteem zou hebben uitgevoerd. Hij beoordeelt zijn eigen werk niet, hij maakt gebruik van zijn eigen werk. 8 De uitzondering onder de Amerikaanse SEC-reguleringen zijn erg specifiek en bij gebruik van de rapporten buiten de Verengde Staten niet relevant. Neem in concrete situaties contact op met een ter zake deskundige professional.

30 30 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wat zijn de kosten van een Service Organisatie Control-rapport? In de besluitvorming om tot een Service Organisatie Control-rapport te komen wordt al snel naar de auditkosten gekeken. Dit is de meest zichtbare post, maar niet de grootste post. In het eerste jaar is de grootste investering het opstellen van een beschrijving van de beheersprocessen volgens de vereisten van de standaard en het aantoonbaar maken dat op de beschreven wijze is gewerkt. Bij het opstellen van de rapportage is het bijna onvermijdelijk dat er nog wat adminstratief organisatorische aanpassingen moet worden gemaakt om tot een toereikend raamwerk van beheersingsmaatregelen te komen en de werking hiervan aantoonbaar te maken. Een Service Organisatie Control-rapport is dynamisch; het volgt de ontwikkeling van de organisatie. Ook in de volgende jaren zal geïnvesteerd moeten worden in het onderhoud van het rapport en het proces van oplevering van controleinformatie. Door inschakeling van de internal audit-functie en/of interne controleafdelingen bij het uitvoeren van testwerk kan de externe auditor besparen op zijn tijdsbesteding. Dit is echter meer een verschuiving van kosten dan een echte besparing. Door het beschikbaar stellen van een Service Organisatie Control-rapport aan haar gebruikers voorkomt de serviceorganisatie dat zij capaciteit vrij moet maken voor het begeleiden van auditors van de gebruikersorganisatie. De inspanning voor het in goede banen leiden van deze audits moet niet worden onderschat. Zij kunnen talrijk zijn en zijn naar hun aard moeilijk in te plannen. Op de lange termijn wordt nog een bijkomende bate waargenomen. Door het optimaliseren van beheersingsmaatregelen en het doorlopend testen van de werking ervan ontstaat een organisatie die soepeler opereert. Er wordt minder van incident naar incident gewerkt, maar meer proactief in een beheerst proces.

31 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Wie mag een auditorsrapport afgeven? Het uitvoeren van assurancewerkzaamheden is wettelijk niet afgeschermd. Een ieder kan assurancerapporten afgeven. Voor organisaties die zich gebonden hebben aan de NBA geldt, volgens de door de NBA uitgevaardigde nadere voorschriften accountantskantoren, dat assurance rapporten moet worden afgegeven door een door NBA erkende auditor 9. Deze auditor moet zich houden aan de algemene ethische, deskundigheids-, kwaliteitsbeheersings- en onafhankelijkheidsregels. Het is aan de gebruiker van het Service Organisatie Control-rapport (de gebruikersorganisatie en haar accountant) om vast te stellen of de betrokken auditor / auditorganisatie hem voldoende vertrouwen inboezemt om op de inhoud van het rapport te willen steunen. 9 Registeraccountant (RA) of Register IT Auditor (RE)

32 32 Praktijkgids 4, Service Organisatie Control-rapport, ISAE Kan continuïteit van de dienstverlening deel uitmaken van de scope? De Nederlandse accountant is verplicht in zijn accountantsverslag te rapporteren over de bij normale uitoefening van zijn taak in het kader van de controle van jaarrrekening waargenomen risico s ten aanzien van de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Het ISAE 3402 rapport kan hiervoor een bron van informatie zijn voor de accountant van de gebruikersorganisatie. De vraag is dan ook in hoeverre continuïteit van de dienstverlening deel kan uitmaken van de scope? In principe kunnen beheersingsmaatregelen met betrekking tot continuïteitsdoelstellingen geen deel uitmaken van de scope van het Service Organisatie Control rapport onder ISAE Dit komt voort uit de gedefinieerde reikwijdte van de standaard. De reikwijdte van een ISAE 3402 rapport is beperkt tot: interne beheersingsmaatregelen die waarschijnlijk relevant zijn voor de interne beheersing van de gebruikende entiteit in relatie tot de financiële verslaglegging De bepaling of de interne beheersingsmaatregelen relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming. Een controledoelstelling omtrent foutloos herstel en de tijdige beschikbaarheid van data is veelal mogelijk. Denk hierbij aan de back-up en recovery maatregelen. Controledoelstellingen gericht op de toekomst (bv bedrijfscontinuïteit) gaan verder dan de reikwijdte van de standaard en horen niet thuis in een ISAE 3402 rapport. Een voorbeeld van een veelgebruikte controledoelstelling omtrent back-up en recovery-maatregelen is: De beheersingsmaatregelen bieden een redelijke mate van zekerheid dat de data regelmatig is geback-upt en beschikbaar is voor herstel in geval van verwerkingsfouten, onverwachte onderbrekingen bij de verwerking, of beide.

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen 38 SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Drs. J.J. van Beek RE RA is als partner werkzaam

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard Anno Perk MSc, Stacy Warner CISA en drs. Marcel Fikke RE RA CISA Het uitbesteden van processen heeft altijd impact

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

SAS 70 en daarna: controls reporting in een breder kader

SAS 70 en daarna: controls reporting in een breder kader SAS 70 en daarna: controls reporting in een breder kader Stefan Verweij en Suzanne Keijl, Systems & Process Assurance Ondernemingen besteden in toenemende mate processen uit, ook processen die in het verleden

Nadere informatie

Ronald van der Wal Enterprise Risk Services

Ronald van der Wal Enterprise Risk Services Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

ADVISORY. Praktijkgids 5. Assurancerapporten voor IT-serviceorganisaties SOC 2. september 2014. kpmg.nl

ADVISORY. Praktijkgids 5. Assurancerapporten voor IT-serviceorganisaties SOC 2. september 2014. kpmg.nl ADVISORY Praktijkgids 5 Assurancerapporten voor IT-serviceorganisaties SOC 2 september 2014 kpmg.nl 2 Praktijkgids 5, Assurancerapporten voor IT-serviceorganisaties SOC 2 Praktijkgids 5, Assurancerapporten

Nadere informatie

Praktijkervaringen binnen SAS70-trajecten

Praktijkervaringen binnen SAS70-trajecten Compact 2005/2 Praktijkervaringen binnen SAS70-trajecten Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Het uitbesteden van bedrijfsprocessen aan derden wint aan populariteit. Recentelijk

Nadere informatie

Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages

Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Controlrapportages SOC 2 en SOC 3 Han Boer RE RA en drs. Jaap van Beek RE RA In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten

Nadere informatie

Norm inzake de toepassing van de ISA's in Belgie

Norm inzake de toepassing van de ISA's in Belgie Norm inzake de toepassing van de ISA's in Belgie De Raad van het Instituut van de Bedrijfsrevisoren, Overwegende dat het moderniseren van het norrnatief kader voor de uitvoering van revisorale opdrachten

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

De toegevoegde waarde van een ISAE 3402-

De toegevoegde waarde van een ISAE 3402- De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 600 GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN EEN ANDERE AUDITOR

INTERNATIONALE CONTROLESTANDAARD 600 GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN EEN ANDERE AUDITOR INTERNATIONALE CONTROLESTANDAARD 600 GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN EEN ANDERE AUDITOR INHOUDSOPGAVE Paragrafen Inleiding... 1-5 Voorwaarden voor het aanvaarden van de opdracht als groepsauditor...

Nadere informatie

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control RiskTransparant, deel 2 De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control In deze tweede serie uit een reeks van zeven delen, delen wij

Nadere informatie

Herziening van ISA 580 Schriftelijke bevestigingen: Ondersteuning van andere controle-informatie

Herziening van ISA 580 Schriftelijke bevestigingen: Ondersteuning van andere controle-informatie Josef Ferlings, Lid van de IAASB, Lid van de IAASB Representations Task Force en Voorzitter van de Auditafdeling IDW Hauptfachausschuss Herziening van ISA 580 Schriftelijke bevestigingen: Ondersteuning

Nadere informatie

Formulering oordeel van een IT-auditor

Formulering oordeel van een IT-auditor 30 Formulering oordeel van een IT-auditor Drs. R.J.M. van Langen RA, T. Shioda en mw. drs. M.J.A. Koedijk RA De aard en reikwijdte van de IT-auditwerkzaamheden in het algemeen zijn zeer divers. Wel zal

Nadere informatie

ISA 501, CONTROLE-INFORMATIE SPECIFIEKE OVERWEGINGEN VOOR GESELECTEERDE ELEMENTEN

ISA 501, CONTROLE-INFORMATIE SPECIFIEKE OVERWEGINGEN VOOR GESELECTEERDE ELEMENTEN INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 501, CONTROLE-INFORMATIE SPECIFIEKE OVERWEGINGEN VOOR GESELECTEERDE ELEMENTEN Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse taal gepubliceerd

Nadere informatie

Controleprotocol subsidies gemeente Amersfoort

Controleprotocol subsidies gemeente Amersfoort Controleprotocol subsidies gemeente Amersfoort Controleprotocol voor de accountantscontrole bij door de gemeente Amersfoort gesubsidieerde organisaties November 2014 # 4174019 Algemeen Op grond van de

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015 Gemeenschappelijke Regeling Maasveren Limburg Noord Accountantsverslag 2014 april 2015 Inhoudsopgave 1. Inleiding 2. Aard en reikwijdte van de werkzaamheden 3. Bevindingen naar aanleiding van de eindejaarscontrole

Nadere informatie

ISAE 3402 en de internal auditor

ISAE 3402 en de internal auditor ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland Disclosure

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE

INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE INHOUDSOPGAVE Paragrafen Inleiding...1-5 Definities... 6 Aard van de controledocumentatie...7-8 Vorm, inhoud en omvang van de controledocumentatie...9-24

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

ISA 705, AANPASSINGEN VAN HET OORDEEL IN DE CONTROLEVERKLARING VAN DE ONAFHANKELIJKE AUDITOR

ISA 705, AANPASSINGEN VAN HET OORDEEL IN DE CONTROLEVERKLARING VAN DE ONAFHANKELIJKE AUDITOR INTERNATIONAL STANDARD ON AUDITING (ISA) ISA 705, AANPASSINGEN VAN HET OORDEEL IN DE CONTROLEVERKLARING VAN DE ONAFHANKELIJKE AUDITOR Deze Internationale controlestandaard (ISA) werd in 2009 in de Engelse

Nadere informatie

Dit document maakt gebruik van bladwijzers. NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen

Dit document maakt gebruik van bladwijzers. NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen Dit document maakt gebruik van bladwijzers NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvoverslagen 31 januari 2014 NBA-handreiking 1123 Gecombineerde verklaring bij financiële en mvo-verslagen

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Controleprotocol. geriatrische revalidatiezorg (GRZ) 2013. - Nacalculatie DBC s GRZ. - Oude parameters. - vaststelling verrekenbedrag 2013

Controleprotocol. geriatrische revalidatiezorg (GRZ) 2013. - Nacalculatie DBC s GRZ. - Oude parameters. - vaststelling verrekenbedrag 2013 Controleprotocol geriatrische revalidatiezorg (GRZ) 2013 - Nacalculatie DBC s GRZ - Oude parameters - vaststelling verrekenbedrag 2013 Ten behoeve van de uit te voeren controle door externe accountant

Nadere informatie

Controleprotocol provincie Utrecht

Controleprotocol provincie Utrecht Controleprotocol provincie Utrecht Controleprotocol voor de accountantscontrole bij door de provincie Utrecht gesubsidieerde instellingen Januari 2010 Controleprotocol provincie Utrecht 1 van 7 Controleprotocol

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V. Dit Reglement is goedgekeurd door de Raad van Commissarissen van Telegraaf Media Groep N.V. op 17 september 2013. 1. Inleiding De Auditcommissie is een

Nadere informatie

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties Scriptievoorstel v0.3 Het effect van organisatiecultuur op de IT-auditaanpak Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Nadere informatie

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015 Dit document maakt gebruik van bladwijzers. Consultatiedocument 4 juni 2015 Consultatieperiode loopt tot 1 september 2015 Consultatiedocument gewijzigde Standaard 3000 en Stramien Inhoudsopgave 1 Inleiding

Nadere informatie

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol.

Vast te stellen het volgende in artikel 14 van de Subsidieverordening Rotterdam 2014 bedoelde SVR2014-subsidiecontroleprotocol. Bijlage bij Subsidieverordening Rotterdam 2014 Het college van Burgemeester en Wethouders van de gemeente Rotterdam, Gelet op artikel 14 van de Subsidieverordening Rotterdam 2014; Besluiten: Vast te stellen

Nadere informatie

Verordening 217 Concept aangeboden aan de Provinciale Staten

Verordening 217 Concept aangeboden aan de Provinciale Staten Verordening 217 Concept aangeboden aan de Provinciale Staten Controleverordening Randstedelijke Rekenkamer De Randstedelijke Rekenkamer besluit: overwegende dat: op grond van de wet van 2 juli 2003, Stb.

Nadere informatie

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INHOUDSOPGAVE Paragraaf Inleiding... 1-3 Definities... 4 Gebeurtenissen die zich vóór de datum van de controleverklaring

Nadere informatie

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM

Nederlandse Beroepsorganisatie van Accountants t.a.v. Adviescollege voor Beroepsreglementeting Postbus 7984 1008 AD AMSTERDAM E Ernst & Young Accountants LLP Telt +31 88 407 1000 Boompjes 258 Faxt +31 88407 8970 3011 XZ Rotterdam, Netherlands ey.corn Postbus 2295 3000 CG Rotterdam, Netherlands Nederlandse Beroepsorganisatie van

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 501 CONTROLE-INFORMATIE AANVULLENDE BESCHOUWINGEN VOOR SPECIFIEKE ASPECTEN

INTERNATIONALE CONTROLESTANDAARD 501 CONTROLE-INFORMATIE AANVULLENDE BESCHOUWINGEN VOOR SPECIFIEKE ASPECTEN INTERNATIONALE CONTROLESTANDAARD 501 CONTROLE-INFORMATIE AANVULLENDE BESCHOUWINGEN VOOR SPECIFIEKE ASPECTEN INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Het fysiek bijwonen van voorraadopnames... 4-18 Dit

Nadere informatie

Dag accountantsverklaring, hallo controleverklaring

Dag accountantsverklaring, hallo controleverklaring Dag accountantsverklaring, hallo controleverklaring Op 15 december 2010 nemen we afscheid van de accountantsverklaring en begroeten we de controleverklaring. Vanaf die datum moeten alle verklaringen voldoen

Nadere informatie

ISAE 3402: Externe auditor niet langer nodig!

ISAE 3402: Externe auditor niet langer nodig! ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich

Nadere informatie

Accountantsverslag 2012

Accountantsverslag 2012 pwc I Accountantsverslag 2012 Permar Energiek B.V. 24 mei 2013 pwc Permar Energiek B.V. T.a.v. de Raad van Commissarissen en de Directie Horaplantsoen 2 6717LT Ede 24 mei 2013 Referentie: 31024B74/DvB/e0291532/zm

Nadere informatie

Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties

Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties Accountants kunnen prima rapporteren over het jaarverslag van goede doelen organisaties Gert-Peter den Hollander Samenvatting Voor goededoelenorganisaties (en andere organisaties zonder winststreven) is

Nadere informatie

Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering

Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering Beleidsregel Kaderregeling Administratieve Organisatie en Interne Controle inzake DBC-registratie en facturering 1. ALGEMEEN a. Deze beleidsregel is van toepassing op organen voor gezondheidszorg als vermeld

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Opzet beantwoording consultatievragen herziene NV COS editie 2014

Opzet beantwoording consultatievragen herziene NV COS editie 2014 1. Heeft u specifieke vragen of opmerkingen bij de aangepaste vertalingen van Standaarden 200-810 en 3402 (voor de nieuwe of herziene Standaarden zijn aparte vragen in hoofdstuk 2)? nee. 2. Kunt u zich

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

De controle van de groepsjaarrekening

De controle van de groepsjaarrekening De controle van de groepsjaarrekening Frans de Groot en Victor Valckx, Assurance Organisaties reageren steeds sneller met overnames, herstructureringen, reorganisaties en internationalisering op de dynamische

Nadere informatie

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde. 1 Q&A Volmachten Q Onder welke voorwaarden staat het een verzekeraar vrij om een volmacht te verlenen aan een gevolmachtigde agent (GA) voor het namens en voor rekening van de verzekeraar sluiten van verzekeringen?

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Provinciale Normenkader Rechtmatigheid 2015(aangepast)

Provinciale Normenkader Rechtmatigheid 2015(aangepast) Provinciale Normenkader Rechtmatigheid 2015(aangepast) Inleiding Met ingang van 2004 moeten alle provinciale jaarrekeningen worden voorzien van een accountantsverklaring met betrekking tot de financiële

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014. Deloitte Accountants B.V. Park Veidzigt 25 4336 DR Middelburg Postbus 7056 4330 GB Middelburg Nederland Tel: 088 288 2888 Fax 088 288 9895 www.deloitte.n1 Openbaar Lichaam Afvalstoffenverwijdering Zeeland

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording

Advies commissie BBV aan ministerie van BZK mei 2013. Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording Samenvatting Mede op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de commissie BBV een onderzoek

Nadere informatie

Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering en de directie van Hanzevast capital N.V. Verklaring betreffende de jaarrekening Wij hebben de in dit rapport opgenomen

Nadere informatie

Verordening gedrags- en beroepsregels accountants (VGBA)

Verordening gedrags- en beroepsregels accountants (VGBA) (VGBA) Geldend per 1 januari 2014 Verordening gedrags- en beroepsregels accountants De ledenvergadering van de Nederlandse beroepsorganisatie van accountants, Gelet op artikel 19, tweede lid, aanhef en

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

ISAE 3402: een nieuw hoofdstuk voor de IT-auditor

ISAE 3402: een nieuw hoofdstuk voor de IT-auditor ISAE 3402: een nieuw hoofdstuk voor de IT-auditor De SAS70-standaard is sinds jaar en dag dé internationale standaard voor het geven van zekerheid over uitbestede processen. Door de IAASB is eind december

Nadere informatie

Artikel 1. Definities

Artikel 1. Definities Pagina 1 van 5 Artikel 1. Definities Onder a van dit artikel wordt aangegeven wat daarin wordt verstaan onder het begrip accountant. Een bevoegd account voor de controle van de gemeentelijke jaarrekening

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 250 HET IN AANMERKING NEMEN VAN WET- EN REGELGEVING BIJ EEN CONTROLE VAN FINANCIËLE OVERZICHTEN

INTERNATIONALE CONTROLESTANDAARD 250 HET IN AANMERKING NEMEN VAN WET- EN REGELGEVING BIJ EEN CONTROLE VAN FINANCIËLE OVERZICHTEN INTERNATIONALE CONTROLESTANDAARD 250 HET IN AANMERKING NEMEN VAN WET- EN REGELGEVING BIJ EEN CONTROLE VAN FINANCIËLE OVERZICHTEN INHOUDSOPGAVE Paragrafen Inleiding... 1-8 Verantwoordelijkheid van de leiding

Nadere informatie

SAS70 en de internal auditor

SAS70 en de internal auditor SAS70 binnenwerk 17-01-2008 16:22 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

Nadere informatie

REGLEMENT VAN DE AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN

REGLEMENT VAN DE AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN REGLEMENT VAN DE AUDITCOMMISSIE VAN DE RAAD VAN COMMISSARISSEN Dit reglement is op 11 mei 2012 vastgesteld door de raad van commissarissen van Koninklijke FrieslandCampina N.V. (de "Vennootschap"). Artikel

Nadere informatie

Inleiding / Doel van de vraag om advies. Belangrijkste gegevens van het dossier ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS

Inleiding / Doel van de vraag om advies. Belangrijkste gegevens van het dossier ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS Ref : Accom AFWIJKING 2005/1 Samenvatting van het advies dd. 17 mei 2005 met betrekking tot een vraag om afwijking van de regel die

Nadere informatie

Controleprotocol nacalculatie 2012. Voor ambulancediensten en centrale posten ambulancevervoer

Controleprotocol nacalculatie 2012. Voor ambulancediensten en centrale posten ambulancevervoer Controleprotocol nacalculatie 2012 Voor ambulancediensten en centrale posten ambulancevervoer 2 januari 2013 1. Inleiding Het Controleprotocol nacalculatie 2012 bevat het toetsingskader voor de door de

Nadere informatie

SAS70 en de internal auditor

SAS70 en de internal auditor SAS70 binnenwerk 07-01-2008 21:03 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V.

REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. REGLEMENT VOOR DE AUDIT, COMPLIANCE EN RISICO COMMISSIE VAN PROPERTIZE B.V. Datum: 11 mei 2015 Artikel 1. Definities AvA: Commissie: Reglement: RvB: RvC: Vennootschap: de algemene vergadering van aandeelhouders

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Gezien het voorstel van het college van Burgemeester en Wethouders van 23 september 2003;

Gezien het voorstel van het college van Burgemeester en Wethouders van 23 september 2003; Gemeente Ooststellingwerf De raad van de gemeente Ooststellingwerf; nr. A.6 Gezien het voorstel van het college van Burgemeester en Wethouders van 23 september 2003; gelet op artikel 213 van de gemeentewet;

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Dit document maakt gebruik van bladwijzers.

Dit document maakt gebruik van bladwijzers. Dit document maakt gebruik van bladwijzers. Extract consultatiedocument herziene NV COS versie 2014: Herziening Standaard 4410 Samenstellingsopdrachten 1 oktober 2013 Reacties voor 11 november 2013 14.00

Nadere informatie

Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering en de directie van Vlootfonds Hanzevast 3 ms Hanze Göteborg N.V. Verklaring betreffende de jaarrekening Wij hebben de in

Nadere informatie

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie W. Veldhuizen Z. Haji Rasoul Amsterdam, 13 maart 2008 Vrije Universiteit Amsterdam FEWEB,

Nadere informatie

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE

COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE COMPLIANCE MET DE NEDERLANDSE CORPORATE GOVERNANCE CODE Corporate Governance Novisource streeft naar een organisatiestructuur die onder meer recht doet aan de belangen van de onderneming, haar klanten,

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1.1. Inleiding DTe vraagt ter verificatie van de aangeleverde cijfers een assurance-rapport van een externe accountant. Een assurance-rapport dient eenmaal per jaar

Nadere informatie

Modelverslagen met betrekking tot de statistieken

Modelverslagen met betrekking tot de statistieken Bijlage 6 Circulaire _2011_06-6 dd. 14 februari 2011 Modelverslagen met betrekking tot de statistieken Toepassingsveld: Openbare instellingen voor collectieve belegging naar Belgisch recht met een veranderlijk

Nadere informatie

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014 De10itte. Deloitte Accountants B.V. Meander 551 6825 MD Am hem Postbus 30265 6803 AG Am hem Nederland Tel: (088) 288 2888 Fax: (088) 288 9777 www. deloitte.nl Erfgoedcentru m Achterhoek en Liemers Accountantsverslag

Nadere informatie

Traumazorg Opleiden, Trainen, Oefenen 2014

Traumazorg Opleiden, Trainen, Oefenen 2014 Accountantsprotocol Beschikbaarheidbijdrage cure - op aanvraag Traumazorg Opleiden, Trainen, Oefenen 2014 Bij het aanvraagformulier vaststelling beschikbaarheidbijdrage Traumazorg Opleiden, Trainen, Oefenen

Nadere informatie

van van feitelijke bevindingen OPDRACHT Wij hebben een aantal specifieke Werkzaamheden verricht met betrekking tot het (financieel)

van van feitelijke bevindingen OPDRACHT Wij hebben een aantal specifieke Werkzaamheden verricht met betrekking tot het (financieel) van Aan: opdrachtgever van feitelijke bevindingen Betreft: Rapport van feitelijke bevindingen inzake onderzoek (financieel) jaarverslag en additionele informatie van (naam lokale mediainstelling te...

Nadere informatie

Gemeente Lelystad Ingekomen 16 JUN 2015. Kopie aan:

Gemeente Lelystad Ingekomen 16 JUN 2015. Kopie aan: 0^=> \d ju^va.' lot's OLJ&rje^oeUi naarcs 150014156 Gemeente Lelystad Ingekomen 16 JUN 2015 Kopie aan: Orteliuslaan 982 3528 BD Utrecht Postbus 3180 3502 GD Utrecht Nederland Tel: 088 288 2888 Fax: 088

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring

Concept Praktijkhandreiking 1119 Nadere toelichtingen in de goedkeurende controleverklaring Nadere toelichtingen in de goedkeurende controleverklaring maart 2012 Concept Praktijkhandreiking 1119 Inleiding Binnen de huidige wet- en regelgeving kan de accountant reeds uitdrukkelijk inspelen op

Nadere informatie

De logica achter de ISA s en het interne controlesysteem

De logica achter de ISA s en het interne controlesysteem De logica achter de ISA s en het interne controlesysteem In dit artikel wordt de logica van de ISA s besproken in relatie met het interne controlesysteem. Hieronder worden de componenten van het interne

Nadere informatie

Toelichting op de artikelen

Toelichting op de artikelen Toelichting op de artikelen Artikel 213 Gemeentewet Artikel 213 1. De raad stelt bij verordening regels vast voor de controle op het financiële beheer en op de inrichting van de financiële organisatie.

Nadere informatie

Aanvraagformulier. voor het aanvragen van een vergunning voor het leveren van elektriciteit en/of gas aan kleinverbruikers

Aanvraagformulier. voor het aanvragen van een vergunning voor het leveren van elektriciteit en/of gas aan kleinverbruikers Aanvraagformulier voor het aanvragen van een vergunning voor het leveren van elektriciteit en/of gas aan kleinverbruikers Versie van 13 januari 2015 1 Inleiding De Elektriciteitswet 1998 (hierna: E-wet)

Nadere informatie

Samenvatting van het advies goedgekeurd op 2 juni 2004 en uitgebracht op grond van artikel 133, tiende lid van het Wetboek van vennootschappen

Samenvatting van het advies goedgekeurd op 2 juni 2004 en uitgebracht op grond van artikel 133, tiende lid van het Wetboek van vennootschappen ADVIES- EN CONTROLECOMITÉ OP DE ONAFHANKELIJKHEID VAN DE COMMISSARIS Ref : Accom ADVIES 2004/1 Samenvatting van het advies goedgekeurd op 2 juni 2004 en uitgebracht op grond van artikel 133, tiende lid

Nadere informatie