Page 1 of 16. Vertaling NEDERLANDS INTERNATIONAL STANDARD ON AUDITING 265 INTERNATIONAL STANDARD ON AUDITING 265

Transcriptie

1 INTERNATIONAL STANDARD ON AUDITING 265 COMMUNICATING DEFICIENCIES IN INTERNAL CONTROL TO THOSE CHARGED WITH GOVERNANCE AND MANAGEMENT (Effective for audits of financial statements for periods beginning on or after December 15, 2009) Introduction CONTENTS Paragraph Scope of this ISA 1-3 Effective Date 4 Objective 5 Definitions 6 Requirements 7-11 Application and Other Explanatory Material INTERNATIONAL STANDARD ON AUDITING 265 MEEDELEN VAN TEKORTKOMINGEN IN DE INTERNE BEHEERSING AAN DE MET GOVERNANCE BELASTE PERSONEN EN HET MANAGEMENT (Van toepassing op controles van financiële overzichten over verslagperioden beginnend op of na 15 december 2009) Inleiding INHOUDSOPGAVE Toepassingsgebied van deze ISA 1-3 Ingangsdatum 4 Doelstelling 5 Definities 6 Vereisten 7-11 Toepassingsgerichte en overige verklarende teksten Paragraaf Determination of Whether Deficiencies in Internal Control Have Been Identified A1-A4 Bepalen of tekortkomingen in de interne beheersing geïdentificeerd zijn A1-A4 Significant Deficiencies in Internal Control A5- A11 Communication of Deficiencies in Internal Control A12- A30 Significante tekortkomingen in de interne beheersing Meedelen van tekortkomingen in de interne beheersing A5-A11 A12-A30 Page 1 of 16

2 International Standard on Auditing (ISA) 265, Communicating Deficiencies in Internal Control to Those Charged with Governance and Management should be read in conjunction with ISA 200, Overall Objectives of the Independent Auditor and the Conduct of an Audit in Accordance with International Standards on Auditing. Introduction Scope of this ISA 1. This International Standard on Auditing (ISA) deals with the auditor s responsibility to communicate appropriately to those charged with governance and management deficiencies in internal contro 1 that the auditor has identified in an audit of financial statements. This ISA does not impose additional responsibilities on the auditor regarding obtaining an understanding of internal control and designing and performing tests of controls over and above the requirements of ISA 315 and ISA ISA establishes further requirements and provides guidance regarding the auditor s responsibility to communicate with those charged with governance in relation to the audit. 2. The auditor is required to obtain an understanding of internal control relevant to the audit when identifying and assessing the risks of material misstatement. 7 In making those risk assessments, the auditor considers internal control in order to design audit procedures that are appropriate in the circumstances, but not for the purpose of expressing an opinion on the effectiveness of internal control. The auditor may identify deficiencies in internal control not only during this risk assessment process but also at any other stage of the audit. This ISA specifies International Standard on Auditing (ISA) 265, Meedelen van tekortkomingen in de interne beheersing aan de met governance belaste personen en het management, moet worden gelezen in samenhang met ISA 200, Algehele doelstellingen van de onafhankelijke auditor, alsmede het uitvoeren van een controle overeenkomstig de International Standards on Auditing. Inleiding Toepassingsgebied van deze ISA 1. Deze International Standard on Auditing (ISA) behandelt de verantwoordelijkheid van de auditor om tekortkomingen in de interne beheersing 4 die hij bij een controle van financiële overzichten heeft geïdentificeerd, op passende wijze mee te delen aan de met governance belaste personen en het management. Deze ISA legt aan de auditor geen aanvullende verantwoordelijkheden op met betrekking tot het verwerven van inzicht in de interne beheersing en het opzetten en uitvoeren van toetsingen van interne beheersingsmaatregelen naast de vereisten die in ISA 315 en ISA omschreven zijn. ISA stelt verdere vereisten vast en verschaft leidraden omtrent de verantwoordelijkheid van de auditor om met de met governance belaste personen over de controle te communiceren. 2. Van de auditor wordt vereist dat hij een voor de controle relevant inzicht in de interne beheersing verwerft bij het identificeren en inschatten van de risico s op een afwijking van materieel belang 8. Bij het maken van dergelijke risicoinschattingen neemt de auditor de interne beheersing in aanmerking, teneinde controlewerkzaamheden op te zetten die in de gegeven omstandigheden passend zijn, maar niet met het doel een oordeel over de effectiviteit van de interne beheersing tot uitdrukking te brengen. De auditor kan niet alleen tijdens dit risico ISA 315, Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment, paragraphs 4 and 12. ISA 330, The Auditor s Responses to Assessed Risks. ISA 260, Communication with Those Charged with Governance. ISA 315, Risico s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving, de paragrafen 4 en 12. ISA 330, Inspelen door de auditor op ingeschatte risico s. ISA 260, Communicatie met de met governance belaste personen. ISA 315, paragraph 12. Paragraphs A60-A65 provide guidance on controls relevant to the audit. ISA 315, paragraaf 12. In de paragrafen A60 t/m A65 wordt toelichting gegeven over interne beheersingsmaatregelen die relevant zijn voor de controle. Page 2 of 16

3 which identified deficiencies the auditor is required to communicate to those charged with governance and management. 3. Nothing in this ISA precludes the auditor from communicating to those charged with governance and management other internal control matters that the auditor has identified during the audit. Effective Date 4. This ISA is effective for audits of financial statements for periods beginning on or after December 15, Objective 5. The objective of the auditor is to communicate appropriately to those charged with governance and management deficiencies in internal control that the auditor has identified during the audit and that, in the auditor s professional judgment, are of sufficient importance to merit their respective attentions. Definitions 6. For purposes of the ISAs, the following terms have the meanings attributed below: (a) (b) Deficiency in internal control This exists when: (i) A control is designed, implemented or operated in such a way that it is unable to prevent, or detect and correct, misstatements in the financial statements on a timely basis; or (ii) A control necessary to prevent, or detect and correct, misstatements in the financial statements on a timely basis is missing. Significant deficiency in internal control A deficiency or combination of deficiencies in internal control that, in the auditor s professional judgment, is of sufficient importance to merit the attention of those charged with governance. (Ref: Para. A5) inschattingsproces maar ook in elk ander stadium van de controle tekortkomingen in de interne beheersing identificeren. Deze ISA specificeert welke geïdentificeerde tekortkomingen van de auditor worden vereist aan de met governance belaste personen en het management mee te delen. 3. Niets in deze ISA belet de auditor om andere aangelegenheden omtrent de interne beheersing die hij tijdens de controle heeft geïdentificeerd, aan de met governance belaste personen en aan het management mee te delen. Ingangsdatum 4. Deze ISA is van toepassing op controles van financiële overzichten over verslagperioden die op of na 15 december 2009 aanvangen. Doelstelling Definities 5. De doelstelling van de auditor is het op passende wijze aan de met governance belaste personen en aan het management meedelen van tekortkomingen in de interne beheersing die de auditor tijdens de controle heeft geïdentificeerd en die op grond van de professionele oordeelsvorming van de auditor voldoende belangrijk zijn om hun respectieve aandacht te verdienen. 6. In het kader van de ISA s hebben de volgende termen de hierna weergegeven betekenis: (a) (b) Tekortkoming in de interne beheersing Deze bestaat wanneer: (i) een interne beheersingsmaatregel op dusdanige wijze is opgezet, geïmplementeerd of operationeel is dat deze niet in staat is om afwijkingen in de financiële overzichten tijdig te voorkomen, of te detecteren en te corrigeren; of (ii) een interne beheersingsmaatregel ontbreekt die nodig is om afwijkingen in de financiële overzichten tijdig te voorkomen, of te detecteren en te corrigeren. significante tekortkoming in de interne beheersing Een tekortkoming of een combinatie van tekortkomingen in de interne beheersing die, op grond van de professionele oordeelsvorming van de auditor, voldoende belangrijk is om de aandacht van de met governance belaste personen te verdienen. Page 3 of 16

4 Requirements 7. The auditor shall determine whether, on the basis of the audit work performed, the auditor has identified one or more deficiencies in internal control. (Ref: Para. A1- A4) 8. If the auditor has identified one or more deficiencies in internal control, the auditor shall determine, on the basis of the audit work performed, whether, individually or in combination, they constitute significant deficiencies. (Ref: Para. A5-A11) 9. The auditor shall communicate in writing significant deficiencies in internal control identified during the audit to those charged with governance on a timely basis. (Ref: Para. A12-A18, A27) 10. The auditor shall also communicate to management at an appropriate level of responsibility on a timely basis: (Ref: Para. A19, A27) Vereisten (Zie Par. A5) 7. De auditor dient te bepalen of, op basis van de uitgevoerde controlewerkzaamheden, de auditor één of meer tekortkomingen in de interne beheersing heeft geïdentificeerd. (Zie Par. A1-A4) 8. Indien de auditor één of meer tekortkomingen in de interne beheersing heeft geïdentificeerd, dient de auditor, op basis van de uitgevoerde controlewerkzaamheden te bepalen of deze hetzij individueel, hetzij gecombineerd significante tekortkomingen vormen. (Zie Par. A5-A11) 9. De auditor dient significante tekortkomingen in de interne beheersing die hij tijdens de controle heeft geïdentificeerd, tijdig schriftelijk aan de met governance belaste personen mee te delen. (Zie Par. A12-A18, A27) 10. De auditor dient tevens tijdig het volgende aan het management op het passende verantwoordelijkheidsniveau mee te delen: (Zie Par. A19, A27) (a) (b) In writing, significant deficiencies in internal control that the auditor has communicated or intends to communicate to those charged with governance, unless it would be inappropriate to communicate directly to management in the circumstances; and (Ref: Para. A14, A20-A21) Other deficiencies in internal control identified during the audit that have not been communicated to management by other parties and that, in the auditor s professional judgment, are of sufficient importance to merit management s attention. (Ref: Para. A22-A26) (a) (b) schriftelijk, significante tekortkomingen in de interne beheersing die de auditor heeft meegedeeld of voornemens is aan de met governance belaste personen mee te delen, tenzij het in de gegeven omstandigheden niet passend zou zijn om dit rechtstreeks aan het management mee te delen; en (Zie Par. A14, A20-A27) andere tijdens de controle geïdentificeerde tekortkomingen in de interne beheersing die niet door andere partijen aan het management zijn meegedeeld en die, op grond van de professionele oordeelsvorming van de auditor, voldoende belangrijk zijn om de aandacht van het management te verdienen. (Zie Par. A22-A26) 11. The auditor shall include in the written communication of significant deficiencies in internal control: 11. De auditor dient in de schriftelijke communicatie over significante tekortkomingen in de interne beheersing het volgende op te nemen: (a) A description of the deficiencies and an explanation of their potential effects; and (Ref: Para. A28) (a) een omschrijving van de tekortkomingen en een uitleg over de mogelijke gevolgen ervan; en (Zie Par. A28) (b) Sufficient information to enable those charged with governance and management to understand the context of the communication. In particular, the auditor shall explain that: (Ref: Para. A29-A30) (b) voldoende informatie om de met governance belaste personen en het management inzicht in de context van de communicatie te verschaffen. De auditor dient in het bijzonder uit te leggen dat: (Zie Par. A29-A30) (i) The purpose of the audit was for the auditor to express an opinion on (i) het doel van de controle was dat de auditor een oordeel over de Page 4 of 16

5 the financial statements; (ii) The audit included consideration of internal control relevant to the preparation of the financial statements in order to design audit procedures that are appropriate in the circumstances, but not for the purpose of expressing an opinion on the effectiveness of internal control; and (iii) The matters being reported are limited to those deficiencies that the auditor has identified during the audit and that the auditor has concluded are of sufficient importance to merit being reported to those charged with governance. financiële overzichten tot uitdrukking brengt; (ii) de controle onder meer betrekking had op het overwegen van de interne beheersing die voor het opstellen van de financiële overzichten relevant is teneinde controlewerkzaamheden op te zetten die in de gegeven omstandigheden passend zijn, maar niet met het doel een oordeel over de effectiviteit van de interne beheersing tot uitdrukking te brengen; en (iii) de aangelegenheden waarover wordt gerapporteerd, beperkt zijn tot die tekortkomingen die de auditor tijdens de controle heeft geïdentificeerd en waarvoor de auditor tot de conclusie is gekomen dat deze voldoende belangrijk zijn om aan de met governance belaste personen te worden gerapporteerd. *** *** Application and Other Explanatory Material Determination of Whether Deficiencies in Internal Control Have Been Identified (Ref: Para. 7) A1. In determining whether the auditor has identified one or more deficiencies in internal control, the auditor may discuss the relevant facts and circumstances of the auditor s findings with the appropriate level of management. This discussion provides an opportunity for the auditor to alert management on a timely basis to the existence of deficiencies of which management may not have been previously aware. The level of management with whom it is appropriate to discuss the findings is one that is familiar with the internal control area concerned and that has the authority to take remedial action on any identified deficiencies in internal control. In some circumstances, it may not be appropriate for the auditor to discuss the auditor s findings directly with management, for example, if the findings appear to call management s integrity or competence into question (see paragraph A20). A2. In discussing the facts and circumstances of the auditor s findings with management, the auditor may obtain other relevant information for further consideration, such as: Toepassingsgerichte en overige verklarende teksten Bepalen of tekortkomingen in de interne beheersing geïdentificeerd zijn (Zie Par. 7) A1. Bij het bepalen of de auditor één of meerdere tekortkomingen in de interne beheersing heeft geïdentificeerd, is het mogelijk dat de auditor de relevante feiten en omstandigheden van zijn bevindingen bespreekt met het management op het passende verantwoordelijkheidsniveau. Deze bespreking verschaft de auditor de gelegenheid om het management tijdig attent te maken op tekortkomingen waarvan het management mogelijk nog geen kennis had. Het passende managementniveau om de bevindingen te bespreken, is het niveau dat bekend is met het betrokken gebied van de interne beheersing en dat de bevoegdheid heeft om corrigerende maatregelen te nemen tegen alle geïdentificeerde tekortkomingen in de interne beheersing. In sommige omstandigheden kan het niet passend zijn dat de auditor zijn bevindingen rechtstreeks met het management bespreekt, bijvoorbeeld indien de bevindingen de integriteit of competentie van het management in twijfel trekken (Zie Par. A20). A2. Bij het bespreken met het management van de feiten en omstandigheden van de bevindingen van de auditor kan de auditor andere relevante informatie verkrijgen voor verdere overweging, zoals: Management s understanding of the actual or suspected causes of the deficiencies. het inzicht dat het management heeft in de feitelijke of vermoede oorzaken van de tekortkomingen; Exceptions arising from the deficiencies that management may have noted, uitzonderingen die voortkomen uit de tekortkomingen die het management Page 5 of 16

6 for example, misstatements that were not prevented by the relevant information technology (IT) controls. mogelijk heeft opgemerkt, bijvoorbeeld afwijkingen die niet door de relevante informatietechnologie (IT) controls voorkomen zijn; A preliminary indication from management of its response to the findings. een voorlopige indicatie van de wijze waarop het management op de bevindingen zal inspelen. Considerations Specific to Smaller Entities A3. While the concepts underlying control activities in smaller entities are likely to be similar to those in larger entities, the formality with which they operate will vary. Further, smaller entities may find that certain types of control activities are not necessary because of controls applied by management. For example, management s sole authority for granting credit to customers and approving significant purchases can provide effective control over important account balances and transactions, lessening or removing the need for more detailed control activities. A4. Also, smaller entities often have fewer employees which may limit the extent to which segregation of duties is practicable. However, in a small owner-managed entity, the owner-manager may be able to exercise more effective oversight than in a larger entity. This higher level of management oversight needs to be balanced against the greater potential for management override of controls. Overwegingen die specifiek voor kleinere entiteiten gelden A3. Hoewel de aan interne beheersingsmaatregelen ten grondslag liggende concepten in kleinere entiteiten waarschijnlijk vergelijkbaar zijn met die van grotere entiteiten, zal de mate van formaliteit waarmee deze worden toegepast, verschillen. Daarnaast kunnen kleinere entiteiten bepaalde interne beheersingsmaatregelen niet nodig achten vanwege de interne beheersingsmaatregelen die door het management worden toegepast. Zo is het mogelijk dat de exclusieve bevoegdheid van het management om krediet aan cliënten te verstrekken en om significante aankopen goed te keuren, in een doeltreffende interne beheersing van belangrijke rekeningsaldi en transacties resulteert, waardoor minder of geen behoefte is aan meer gedetailleerde interne beheersingsactiviteiten. A4. Ook hebben kleinere entiteiten vaak minder werknemers, hetgeen de mate waarin functiescheiding uitvoerbaar is, kan beperken. In een kleine entiteit waarvan de bestuurder tevens eigenaar is, kan de eigenaar-bestuurder evenwel in staat zijn effectiever toezicht uit te oefenen dan in een grotere entiteit. Het is nodig deze verhoogde vorm van toezicht van het management af te wegen tegen de grotere kans dat het management interne beheersingsmaatregelen doorbreekt. Significant Deficiencies in Internal Control (Ref: Para. 6(b), 8) Significante tekortkomingen in de interne beheersing (Zie Par. 6(b), 8) A5. The significance of a deficiency or a combination of deficiencies in internal control depends not only on whether a misstatement has actually occurred, but also on the likelihood that a misstatement could occur and the potential magnitude of the misstatement. Significant deficiencies may therefore exist even though the auditor has not identified misstatements during the audit. A6. Examples of matters that the auditor may consider in determining whether a deficiency or combination of deficiencies in internal control constitutes a significant deficiency include: A5. De significantie van een tekortkoming of van een combinatie van tekortkomingen in de interne beheersing hangt niet alleen af van de vraag of een afwijking echt heeft plaatsgevonden, maar ook van de waarschijnlijkheid dat een afwijking zou kunnen plaatsvinden, alsmede van de potentiële orde van grootte van de afwijking. Er kan derhalve van significante tekortkomingen sprake zijn, ook al heeft de auditor gedurende de controle geen afwijkingen geïdentificeerd. A6. Voorbeelden van aangelegenheden die de auditor in overweging kan nemen bij het bepalen of een tekortkoming of combinatie van tekortkomingen in de interne beheersing een significante tekortkoming vormt, zijn onder meer: The likelihood of the deficiencies leading to material misstatements in the financial statements in the future. de waarschijnlijkheid dat de tekortkomingen in de toekomst tot afwijkingen van materieel belang in de financiële overzichten zullen leiden; Page 6 of 16

7 The susceptibility to loss or fraud of the related asset or liability. The subjectivity and complexity of determining estimated amounts, such as fair value accounting estimates. The financial statement amounts exposed to the deficiencies. The volume of activity that has occurred or could occur in the account balance or class of transactions exposed to the deficiency or deficiencies. The importance of the controls to the financial reporting process; for example: de vatbaarheid van het desbetreffende actief of passief voor verlies of fraude; de subjectiviteit en complexiteit van het bepalen van geschatte bedragen, zoals schattingen van de reële waarde; de bedragen in de financiële overzichten die aan de tekortkomingen zijn blootgesteld; de omvang van de activiteiten die hebben plaatsgevonden of zouden kunnen plaatsvinden in het rekeningsaldo of de transactiestroom die aan de tekortkoming of tekortkomingen zijn blootgesteld; o General monitoring controls (such as oversight of management). het belang van de interne beheersingsmaatregelen voor het proces van financiële verslaggeving, bijvoorbeeld: o Controls over the prevention and detection of fraud. o Controls over the selection and application of significant accounting policies. o Controls over significant transactions with related parties. o algemene interne beheersingsmaatregelen in het kader van de monitoring (zoals door het management uitgeoefend toezicht); o interne beheersingsmaatregelen met betrekking tot het voorkomen en detecteren van fraude; o Controls over significant transactions outside the entity s normal course of business. o interne beheersingsmaatregelen met betrekking tot de selectie en toepassing van belangrijke grondslagen voor financiële verslaggeving; o Controls over the period-end financial reporting process (such as controls over non-recurring journal entries). o interne beheersingsmaatregelen met betrekking tot significante transacties met verbonden partijen; The cause and frequency of the exceptions detected as a result of the deficiencies in the controls. o interne beheersingsmaatregelen met betrekking tot significante transacties die buiten het normale verloop van de bedrijfsvoering van de entiteit vallen; The interaction of the deficiency with other deficiencies in internal control. o interne beheersingsmaatregelen met betrekking tot het proces van financiële verslaggeving aan het einde van de verslagperiode (zoals interne beheersingsmaatregelen met betrekking tot eenmalige journaalboekingen); de oorzaak en frequentie van de uitzonderingen die als gevolg van de tekortkomingen in de interne beheersingsmaatregelen zijn gedetecteerd; de interactie tussen de tekortkoming en andere tekortkomingen in de interne Page 7 of 16

8 beheersingsmaatregelen. A7. Indicators of significant deficiencies in internal control include, for example: Evidence of ineffective aspects of the control environment, such as: o Indications that significant transactions in which management is financially interested are not being appropriately scrutinized by those charged with governance. o o Identification of management fraud, whether or not material, that was not prevented by the entity s internal control. o Management s failure to implement appropriate remedial action on significant deficiencies previously communicated. A7. Indicatoren van significante tekortkomingen in de interne beheersing zijn bijvoorbeeld: informatie die ineffectieve aspecten van de interne beheersingsomgeving aantoont, zoals: o indicaties dat significante transacties waarbij het management een financieel belang heeft, niet op passende wijze kritisch door de met governance belaste personen zijn onderzocht; o geïdentificeerde gevallen van door het management gepleegde fraude die al dan niet van materieel belang zijn en die niet door de interne beheersing van de entiteit zijn voorkomen; Absence of a risk assessment process within the entity where such a process would ordinarily be expected to have been established. o het niet nemen van passende corrigerende maatregelen door het management met betrekking tot eerder meegedeelde significante tekortkomingen. Evidence of an ineffective entity risk assessment process, such as management s failure to identify a risk of material misstatement that the auditor would expect the entity s risk assessment process to have identified. het ontbreken van een risico-inschattingsproces binnen de entiteit waar een dergelijk proces gewoonlijk geacht wordt te zijn ingesteld; Evidence of an ineffective response to identified significant risks (e.g., absence of controls over such a risk). * Misstatements detected by the auditor s procedures that were not prevented, or detected and corrected, by the entity s internal control. Restatement of previously issued financial statements to reflect the correction of a material misstatement due to error or fraud. informatie die een ineffectief risico-inschattingsproces van de entiteit aantoont, zoals het niet identificeren door het management van een risico van materieel belang waarvan de auditor zou verwachten dat het door het risico-inschattingsproces van de entiteit zou zijn geïdentificeerd; informatie die aantoont dat op ineffectieve wijze op geïdentificeerde significante risico s is ingespeeld (bijvoorbeeld het ontbreken van interne beheersingsmaatregelen met betrekking tot een dergelijk risico); * Evidence of management s inability to oversee the preparation of the financial statements. door de controlewerkzaamheden van de auditor gedetecteerde afwijkingen die door de interne beheersing van de entiteit niet werden voorkomen, of gedetecteerd en gecorrigeerd zijn; het aanpassen van eerder gepubliceerde financiële overzichten om de correctie van een afwijking van materieel belang als gevolg van fouten of van fraude te weerspiegelen; Page 8 of 16

9 informatie die de onmogelijkheid van het management aantoont om op het opstellen van de financiële overzichten toezicht te houden. A8. Controls may be designed to operate individually or in combination to effectively prevent, or detect and correct, misstatements. 9 For example, controls over accounts receivable may consist of both automated and manual controls designed to operate together to prevent, or detect and correct, misstatements in the account balance. A deficiency in internal control on its own may not be sufficiently important to constitute a significant deficiency. However, a combination of deficiencies affecting the same account balance or disclosure, relevant assertion, or component of internal control may increase the risks of misstatement to such an extent as to give rise to a significant deficiency. A9. Law or regulation in some jurisdictions may establish a requirement (particularly for audits of listed entities) for the auditor to communicate to those charged with governance or to other relevant parties (such as regulators) one or more specific types of deficiency in internal control that the auditor has identified during the audit. Where law or regulation has established specific terms and definitions for these types of deficiency and requires the auditor to use these terms and definitions for the purpose of the communication, the auditor uses such terms and definitions when communicating in accordance with the legal or regulatory requirement. A10. Where the jurisdiction has established specific terms for the types of deficiency in internal control to be communicated but has not defined such terms, it may be necessary for the auditor to use judgment to determine the matters to be communicated further to the legal or regulatory requirement. In doing so, the auditor may consider it appropriate to have regard to the requirements and guidance in this ISA. For example, if the purpose of the legal or regulatory requirement is to bring to the attention of those charged with governance certain internal control matters of which they should be aware, it may be appropriate to regard such matters as being generally equivalent to the significant deficiencies required by this ISA to be communicated to those charged with governance. A8. Interne beheersingsmaatregelen kunnen opgezet zijn om individueel of gecombineerd effectief afwijkingen te voorkomen, of te detecteren en te corrigeren 10. Interne beheersingsmaatregelen met betrekking tot vorderingen kunnen bijvoorbeeld bestaan uit zowel geautomatiseerde als handmatige interne beheersingsmaatregelen die zijn opgezet om gezamenlijk te functioneren teneinde afwijkingen in het rekeningsaldo te voorkomen dan wel te detecteren en te corrigeren. Het is mogelijk dat een tekortkoming in de interne beheersing op zich niet voldoende belangrijk is om een significante tekortkoming te vormen. Een combinatie van tekortkomingen die hetzelfde rekeningsaldo of dezelfde toelichting, relevante bewering, of component van de interne beheersing beïnvloedt, kan evenwel de risico s op een afwijking van materieel belang dermate vergroten dat deze tot een significante tekortkoming aanleiding kan geven. A9. In sommige rechtsgebieden kan wet- of regelgeving als vereiste stellen (met name voor controles van beursgenoteerde entiteiten) dat de auditor één of meerdere specifieke soorten tekortkomingen in de interne beheersing die de auditor tijdens de controlewerkzaamheden heeft geïdentificeerd, aan de met governance belaste personen of aan andere relevante partijen (zoals regelgevers of toezichthouders) meedeelt. Indien bij wet- of regelgeving specifieke termen en definities voor deze soorten tekortkomingen zijn vastgesteld en van de auditor wordt vereist dat hij deze termen en definities gebruikt ten behoeve van de communicatie hierover, gebruikt de auditor deze termen en definities wanneer hij in overeenstemming met het door wet- of regelgeving gestelde vereiste communiceert. A10. Indien het rechtsgebied specifieke termen heeft vastgesteld voor de diverse soorten tekortkomingen in de interne beheersing die moeten worden meegedeeld, maar deze termen niet nader heeft gedefinieerd, kan het noodzakelijk blijken dat de auditor oordeelsvorming moet toepassen om de mee te delen aangelegenheden te bepalen, in aanvulling op het door wet- of regelgeving gestelde vereiste. Hierbij kan de auditor het als passend beschouwen om rekening te houden met de vereisten en leidraden in deze ISA. Als het door wet- of regelgeving gestelde vereiste er bijvoorbeeld in bestaat om bepaalde aangelegenheden inzake de interne beheersing waarvan de met governance belaste personen kennis zouden moeten hebben, onder hun aandacht te brengen, kan het passend zijn om dergelijke aangelegenheden als algemeen genomen equivalent te beschouwen met de 9 10 ISA 315, paragraph A66. ISA 315, paragraaf A66. Page 9 of 16

10 A11. The requirements of this ISA remain applicable notwithstanding that law or regulation may require the auditor to use specific terms or definitions. Communication of Deficiencies in Internal Control Communication of Significant Deficiencies in Internal Control to Those Charged with Governance (Ref: Para. 9) A12. Communicating significant deficiencies in writing to those charged with governance reflects the importance of these matters, and assists those charged with governance in fulfilling their oversight responsibilities. ISA 260 establishes relevant considerations regarding communication with those charged with governance when all of them are involved in managing the entity. 11 A13. In determining when to issue the written communication, the auditor may consider whether receipt of such communication would be an important factor in enabling those charged with governance to discharge their oversight responsibilities. In addition, for listed entities in certain jurisdictions, those charged with governance may need to receive the auditor s written communication before the date of approval of the financial statements in order to discharge specific responsibilities in relation to internal control for regulatory or other purposes. For other entities, the auditor may issue the written communication at a later date. Nevertheless, in the latter case, as the auditor s written communication of significant deficiencies forms part of the final audit file, the written communication is subject to the overriding requirement 13 for the auditor to complete the assembly of the final audit file on a timely basis. ISA 230 states that an appropriate time limit within which to complete the assembly of the final audit file is ordinarily not more than 60 days after the date of the auditor s report. 14 significante tekortkomingen waarvan op grond van deze ISA wordt vereist dat deze aan de met governance belaste personen worden meegedeeld. A11. De vereisten van deze ISA blijven van toepassing, ondanks het feit dat de auditor krachtens wet- of regelgeving specifieke termen of definities vereist is te gebruiken. Meedelen van tekortkomingen in de interne beheersing Meedelen van significante tekortkomingen in de interne beheersing aan de met governance belaste personen (Zie Par. 9) A12. Het schriftelijk meedelen van significante tekortkomingen aan de met governance belaste personen geeft het belang van deze aangelegenheden aan en vormt een hulpmiddel voor de met governance belaste personen bij het uitvoeren van hun toezichtstaken. In ISA 260 worden relevante overwegingen vastgesteld betreffende de communicatie met de met governance belaste personen in het geval zij allemaal bij het leiden van de entiteit betrokken zijn 12. A13. Bij het bepalen wanneer schriftelijke communicatie zal worden uitgebracht, kan de auditor in overweging nemen of het ontvangen van dergelijke communicatie een belangrijke factor zou zijn om de met governance belaste personen in staat te stellen hun toezichtstaken te vervullen. Daarnaast is het mogelijk dat bij beursgenoteerde entiteiten in bepaalde rechtsgebieden, de met governance belaste personen de schriftelijke communicatie vóór de datum van goedkeuring van de financiële overzichten moeten ontvangen om op grond van regelgeving dan wel om andere redenen specifieke verantwoordelijkheden in verband met de interne beheersing te vervullen. Bij andere entiteiten kan de auditor de schriftelijke communicatie op een latere datum uitbrengen. Niettemin is in het laatstgenoemde geval de schriftelijke communicatie onderhevig aan het overheersende vereiste 15 voor de auditor om het samenstellen van het definitieve controledossier tijdig af te ronden, aangezien de schriftelijke mededeling door de auditor van significante tekortkomingen deel uitmaakt van het definitieve controledossier. Overeenkomstig ISA 260, paragraph 13. ISA 260, paragraaf 13. ISA 230, Audit Documentation, paragraph 14. ISA 230, paragraph A21. ISA 230, Controledocumentatie, paragraaf 14. Page 10 of 16

11 A14. Regardless of the timing of the written communication of significant deficiencies, the auditor may communicate these orally in the first instance to management and, when appropriate, to those charged with governance to assist them in taking timely remedial action to minimize the risks of material misstatement. Doing so, however, does not relieve the auditor of the responsibility to communicate the significant deficiencies in writing, as this ISA requires. A15. The level of detail at which to communicate significant deficiencies is a matter of the auditor s professional judgment in the circumstances. Factors that the auditor may consider in determining an appropriate level of detail for the communication include, for example: The nature of the entity. For instance, the communication required for a public interest entity may be different from that for a non-public interest entity. The size and complexity of the entity. For instance, the communication required for a complex entity may be different from that for an entity operating a simple business. The nature of significant deficiencies that the auditor has identified. The entity s governance composition. For instance, more detail may be needed if those charged with governance include members who do not have significant experience in the entity s industry or in the affected areas. Legal or regulatory requirements regarding the communication of specific types of deficiency in internal control. A16. Management and those charged with governance may already be aware of significant deficiencies that the auditor has identified during the audit and may have chosen not to remedy them because of cost or other considerations. The responsibility for evaluating the costs and benefits of implementing remedial ISA 230 is een passende termijn om het definitieve controledossier af te ronden gewoonlijk niet meer dan zestig dagen na de datum van de controleverklaring is 16. A14. Ongeacht de timing van de schriftelijke mededeling van significante tekortkomingen kan de auditor deze in eerste instantie mondeling aan het management en, in voorkomend geval, aan de met governance belaste personen, meedelen om hen van dienst te zijn bij het nemen van tijdige corrigerende maatregelen teneinde de risico s op een afwijking van materieel belang tot een minimum te beperken. Dit ontheft de auditor evenwel niet van de verplichting om de significante tekortkomingen schriftelijk mee te delen, zoals deze ISA vereist. A15. De mate van detaillering waarmee significante tekortkomingen worden meegedeeld, is een kwestie van professionele oordeelsvorming van de auditor in de gegeven omstandigheden. Factoren die de auditor in overweging kan nemen bij het bepalen van een passende mate van detaillering in de mededeling, zijn bijvoorbeeld: de aard van de entiteit. Zo kan de voor een organisatie van openbaar belang vereiste communicatie verschillen van die voor een entiteit die geen organisatie van openbaar belang is; de omvang en complexiteit van de entiteit. Zo kan de communicatie voor een complexe entiteit verschillen van die voor een entiteit die een eenvoudig bedrijf voert; de aard van de door de auditor geïdentificeerde significante tekortkomingen; de samenstelling van de governancestructuur van de entiteit. Zo is het mogelijk dat er een grotere mate van detaillering nodig is indien onder de met governance belaste personen leden zijn die geen significante ervaring hebben in de sector van de entiteit of in de desbetreffende deelgebieden; vereisten op grond van wet- of regelgeving betreffende de mededeling van specifieke soorten tekortkomingen in de interne beheersing. A16. Het is mogelijk dat het management en de met governance belaste personen reeds kennis hebben van significante tekortkomingen die de auditor tijdens de controlewerkzaamheden heeft geïdentificeerd, en er uit kostenoverwegingen of om andere redenen voor hebben gekozen deze tekortkomingen niet te verhelpen. 16 ISA 230, paragraaf A21. Page 11 of 16

12 action rests with management and those charged with governance. Accordingly, the requirement in paragraph 9 applies regardless of cost or other considerations that management and those charged with governance may consider relevant in determining whether to remedy such deficiencies. A17. The fact that the auditor communicated a significant deficiency to those charged with governance and management in a previous audit does not eliminate the need for the auditor to repeat the communication if remedial action has not yet been taken. If a previously communicated significant deficiency remains, the current year s communication may repeat the description from the previous communication, or simply reference the previous communication. The auditor may ask management or, where appropriate, those charged with governance, why the significant deficiency has not yet been remedied. A failure to act, in the absence of a rational explanation, may in itself represent a significant deficiency. Considerations Specific to Smaller Entities A18. In the case of audits of smaller entities, the auditor may communicate in a less structured manner with those charged with governance than in the case of larger entities. De verantwoordelijkheid voor het evalueren van de kosten en baten van het implementeren van corrigerende maatregelen ligt bij het management en de met governance belaste personen. Bijgevolg is hetgeen op grond van paragraaf 9 is vereist van toepassing, ongeacht de kostenoverwegingen of andere redenen die het management en de met governance belaste personen relevant achten om te bepalen of dergelijke tekortkomingen verholpen zullen worden. A17. Het feit dat de auditor in een eerdere controle een significante tekortkoming aan de met governance belaste personen en het management heeft meegedeeld, neemt niet weg dat de auditor de tekortkoming opnieuw moet meedelen als er nog geen corrigerende maatregelen zijn genomen. Indien een eerder meegedeelde significante tekortkoming blijft bestaan, kan in de mededeling voor het huidige jaar de beschrijving van de eerdere mededeling worden herhaald, of simpelweg naar de eerdere mededeling worden verwezen. De auditor kan het management of, in voorkomend geval, de met governance belaste personen vragen waarom de significante tekortkoming nog niet is verholpen. Het niet nemen van maatregelen wanneer hiervoor geen rationele verklaring bestaat, kan op zichzelf een significante tekortkoming zijn. Overwegingen die specifiek voor kleinere entiteiten gelden A18. In het geval van controles van kleinere entiteiten kan de auditor op een minder gestructureerde wijze communiceren met de met governance belaste personen dan indien het grotere entiteiten betreft. Communication of Deficiencies in Internal Control to Management (Ref: Para. 10) Meedelen van tekortkomingen in de interne beheersing aan het management (Zie Par. 10) A19. Ordinarily, the appropriate level of management is the one that has responsibility and authority to evaluate the deficiencies in internal control and to take the necessary remedial action. For significant deficiencies, the appropriate level is likely to be the chief executive officer or chief financial officer (or equivalent) as these matters are also required to be communicated to those charged with governance. For other deficiencies in internal control, the appropriate level may be operational management with more direct involvement in the control areas affected and with the authority to take appropriate remedial action. Communication of Significant Deficiencies in Internal Control to Management (Ref: Para. 10(a)) A20. Certain identified significant deficiencies in internal control may call into question the integrity or competence of management. For example, there may be evidence A19. Het management op het passende verantwoordelijkheidsniveau is gewoonlijk het management dat de verantwoordelijkheid en de bevoegdheid heeft om de tekortkomingen in de interne beheersing te evalueren en om de noodzakelijke corrigerende maatregelen te nemen. Voor significante tekortkomingen is het passende verantwoordelijkheidsniveau doorgaans de chief executive officer of de chief financial officer (of het equivalent daarvan), aangezien deze aangelegenheden tevens aan de met governance belaste personen moeten worden meegedeeld. Voor andere tekortkomingen in de interne beheersing kan het passende verantwoordelijkheidsniveau het operationele management zijn dat directer bij de getroffen deelgebieden van de interne beheersing betrokken is en dat de bevoegdheid heeft om passende corrigerende acties te ondernemen. Meedelen van significante tekortkomingen in de interne beheersing aan het management (Zie Par. 10(a)) A20. Door bepaalde geïdentificeerde significante tekortkomingen in de interne beheersing kan de integriteit of deskundigheid van het management ter discussie Page 12 of 16

13 of fraud or intentional non-compliance with laws and regulations by management, or management may exhibit an inability to oversee the preparation of adequate financial statements that may raise doubt about management s competence. Accordingly, it may not be appropriate to communicate such deficiencies directly to management. A21. ISA 250 establishes requirements and provides guidance on the reporting of identified or suspected non-compliance with laws and regulations, including when those charged with governance are themselves involved in such non-compliance. 17 ISA 240 establishes requirements and provides guidance regarding communication to those charged with governance when the auditor has identified fraud or suspected fraud involving management. 18 Communication of Other Deficiencies in Internal Control to Management (Ref: Para. 10(b)) A22. During the audit, the auditor may identify other deficiencies in internal control that are not significant deficiencies but that may be of sufficient importance to merit management s attention. The determination as to which other deficiencies in internal control merit management s attention is a matter of professional judgment in the circumstances, taking into account the likelihood and potential magnitude of misstatements that may arise in the financial statements as a result of those deficiencies. A23. The communication of other deficiencies in internal control that merit management s attention need not be in writing but may be oral. Where the auditor has discussed the facts and circumstances of the auditor s findings with management, the auditor may consider an oral communication of the other deficiencies to have been made to management at the time of these discussions. Accordingly, a formal communication need not be made subsequently. komen te staan. Er kan bijvoorbeeld informatie bestaan die fraude of opzettelijke niet-naleving van wet- en regelgeving door het management aantoont, of het management kan blijk geven van onmogelijkheid om toezicht te houden op het opstellen van adequate financiële overzichten, waardoor de auditor een reden heeft om de competentie van het management in twijfel te trekken. Bijgevolg is het mogelijk niet passend om dergelijke tekortkomingen direct aan het management mee te delen. A21. ISA 250 stelt vereisten vast en verschaft leidraden omtrent het rapporteren van een geïdentificeerde of vermoede niet-naleving van wet- en regelgeving, met inbegrip van gevallen waarin de met governance belaste personen zelf bij een dergelijke niet-naleving betrokken zijn 19. ISA 240 stelt vereisten vast en verschaft leidraden betreffende de communicatie aan de met governance belaste personen wanneer de auditor een fraude of een vermoede fraude heeft geïdentificeerd waarbij het management betrokken is. 20 Meedelen van andere tekortkomingen in de interne beheersing aan het management (Zie Par.10(b)) A22. Tijdens de controle kan de auditor andere tekortkomingen in de interne beheersing identificeren die geen significante tekortkomingen zijn, maar die mogelijk van voldoende belang zijn om de aandacht van het management te verdienen. Het bepalen welke andere tekortkomingen in de interne beheersing de aandacht van het management verdienen, is een kwestie van professionele oordeelsvorming in de gegeven omstandigheden, rekening houdend met de waarschijnlijkheid en potentiële orde van grootte van afwijkingen die als gevolg van deze tekortkomingen in de financiële overzichten kunnen voorkomen. A23. Andere tekortkomingen in de interne beheersing die de aandacht van het management verdienen, hoeven niet schriftelijk maar kunnen ook mondeling worden meegedeeld. Ingeval de auditor de feiten en omstandigheden van de bevindingen van de auditor met het management heeft besproken, is het mogelijk dat de auditor overweegt dat de andere tekortkomingen op het moment van deze besprekingen mondeling zijn meegedeeld. Bijgevolg hoeft geen formele mededeling meer te worden verricht ISA 250, Consideration of Laws and Regulations in an Audit of Financial Statements, paragraphs ISA 240, The Auditor s Responsibilities Relating to Fraud in an Audit of Financial Statements, paragraph 41. ISA 250, Het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten, de paragrafen ISA 240, De verantwoordelijkheden van de auditor met betrekking tot fraude in het kader van een controle van financiële overzichten, paragraaf 41. Page 13 of 16

14 A24. If the auditor has communicated deficiencies in internal control other than significant deficiencies to management in a prior period and management has chosen not to remedy them for cost or other reasons, the auditor need not repeat the communication in the current period. The auditor is also not required to repeat information about such deficiencies if it has been previously communicated to management by other parties, such as internal auditors or regulators. It may, however, be appropriate for the auditor to re-communicate these other deficiencies if there has been a change of management, or if new information has come to the auditor s attention that alters the prior understanding of the auditor and management regarding the deficiencies. Nevertheless, the failure of management to remedy other deficiencies in internal control that were previously communicated may become a significant deficiency requiring communication with those charged with governance. Whether this is the case depends on the auditor s judgment in the circumstances. A25. In some circumstances, those charged with governance may wish to be made aware of the details of other deficiencies in internal control the auditor has communicated to management, or be briefly informed of the nature of the other deficiencies. Alternatively, the auditor may consider it appropriate to inform those charged with governance of the communication of the other deficiencies to management. In either case, the auditor may report orally or in writing to those charged with governance as appropriate. A26. ISA 260 establishes relevant considerations regarding communication with those charged with governance when all of them are involved in managing the entity. 21 A24. Indien de auditor in een voorgaande periode tekortkomingen in de interne beheersing andere dan significante tekortkomingen aan het management heeft meegedeeld, en het management er uit kostenoverwegingen of om andere redenen voor heeft gekozen deze niet te verhelpen, hoeft de auditor de mededeling in de huidige periode niet te herhalen. Van de auditor wordt evenmin vereist om informatie over dergelijke tekortkomingen te herhalen indien die reeds eerder door andere partijen, zoals interne auditors of regelgevers of toezichthouders, aan het management zijn meegedeeld. Het kan echter wel passend zijn dat de auditor deze andere tekortkomingen opnieuw meedeelt indien er een wijziging van management heeft plaatsgehad, dan wel indien nieuwe informatie onder de aandacht van de auditor is gekomen die het eerdere inzicht van de auditor en van het management in de tekortkomingen wijzigt. Niettemin is het mogelijk dat het nalaten van het management om overige tekortkomingen in de interne beheersing te verhelpen die reeds voorheen waren meegedeeld, een significante tekortkoming wordt waarvoor het vereist is dat deze aan de met governance belaste personen wordt meegedeeld. Of dat het geval is, hangt af van de professionele oordeelsvorming van de auditor in de gegeven omstandigheden. A25. In sommige omstandigheden kunnen de met governance belaste personen wensen te worden ingelicht over de details van andere tekortkomingen in de interne beheersing die de auditor aan het management heeft meegedeeld, dan wel om op beknopte wijze over de aard van de overige tekortkomingen te worden geïnformeerd. Daarnaast kan de auditor het ook passend achten om de met governance belaste personen op de hoogte te stellen van de mededeling van overige tekortkomingen aan het management. In beide gevallen kan de auditor, naargelang passend is, mondeling of schriftelijk aan de met governance belaste personen rapporteren. A26. ISA 260 geeft relevante overwegingen omtrent het communiceren met de met governance belaste personen in het geval al deze personen bij het leiden van de entiteit betrokken zijn 22. Considerations Specific to Public Sector Entities (Ref: Para. 9-10) Overwegingen die specifiek voor entiteiten in de publieke sector gelden (Zie Par. 9-10) A27. Public sector auditors may have additional responsibilities to communicate deficiencies in internal control that the auditor has identified during the audit, in ways, at a level of detail and to parties not envisaged in this ISA. For example, significant deficiencies may have to be communicated to the legislature or other A27. Auditors van de publieke sector kunnen aanvullende verantwoordelijkheden hebben omtrent het meedelen van door de auditor tijdens de controle geïdentificeerde tekortkomingen in de interne beheersing op een wijze, in een mate van detaillering, en aan partijen die niet in deze ISA zijn vermeld. Zo is het ISA 260, paragraph 9. ISA 260, paragraaf 9. Page 14 of 16