De mogelijke rollen van de internal auditor in een ISAE 3402-traject

Transcriptie

1 De mogelijke rollen van de internal auditor in een ISAE 3402-traject Gebruik met bronvermelding toegestaan Erasmus Universiteit Rotterdam Postinitiële opleiding Internal Auditing & Advisory Erasmus School of Accounting & Assurance (ESAA) Laren, 3 juni 2013 Martijn van Iterson Studentnummer: Begeleider: Ron de Korte

2 Voorwoord Dit referaat is geschreven ter afronding van de postinitiële opleiding Internal Auditing & Advisory van de Erasmus School of Accounting & Assurance (ESAA). Ik wil graag mijn begeleider Ron de Korte bedanken voor zijn input en suggesties en voor het benaderen van internal auditors ten behoeve van dit referaat. Verder wil ik alle geïnterviewden bedanken voor hun openheid tijdens de interviews. Mijn dank gaat tevens uit naar mijn collega s, die mij de tijd hebben geboden om dit referaat af te kunnen ronden. Speciale dank gaat hierbij uit naar Nicole, die mijn taalgebruik kritisch heeft beoordeeld. Tot slot had ik dit referaat nooit kunnen schrijven zonder de steun van Sady. Martijn van Iterson Laren, 3 juni 2013 pagina 2 van 44

3 Samenvatting Bedrijven besteden steeds meer processen uit aan serviceorganisaties. Daarnaast verlangt wet- en regelgeving in toenemende mate van de gebruikersorganisaties dat zij in control zijn. De serviceorganisatie kon in het verleden de gebruikersorganisatie hierbij helpen door het uitgeven van een SAS 70-rapport. In de loop van 2011 is dit rapport vervangen door het ISAE 3402-rapport. In het SAS 70-traject kon de internal auditor van zowel de gebruikersorganisatie als de serviceorganisatie een rol spelen. De invoering van ISAE 3402 kan van invloed zijn op deze rollen. Dit heeft geleid tot de volgende centrale vraag in dit onderzoek: Welke rol kan een internal auditor vervullen in een ISAE 3402-traject? Voor de beantwoording van deze vraag wordt allereerst in hoofdstuk 2 de SAS 70-standaard beschreven. Het SAS 70-rapport werd door het management van de gebruikersorganisatie gebruikt om te beoordelen of de beheersing van de uitbestede processen aan de serviceorganisatie voldeed aan de eisen van de gebruikersorganisatie. De external auditor van de gebruikersorganisatie gebruikte het SAS 70-rapport om inzicht te krijgen in de administratieve organisatie en interne controle van de serviceorganisatie, om zodoende zekerheid te verkrijgen ten behoeve van de jaarrekeningcontrole van de gebruikersorganisatie. Daarna wordt in hoofdstuk 3 ISAE 3402 beschreven, inclusief de overeenkomsten en verschillen met SAS 70. De belangrijkste overeenkomsten betreffen de doelgroep van het rapport, de twee type rapporten, het gebrek aan een inhoudelijke norm en een aantal inhoudelijk eisen aan het rapport. De belangrijkste verschillen betreffen het type standaard, het gebruikmaken van de internal auditfunctie, het oordeel van de auditor en het toevoegen van een risicoanalyse, een managementverklaring en een beoordeling van de geschiktheid van de criteria. In hoofdstuk 4 worden de rollen van de internal auditor en zijn samenwerking met de external auditor behandeld aan de hand van beroepsregels, regelgeving en praktijkhandleidingen. Vervolgens worden in hoofdstuk 5 deze rollen en samenwerking zoals die aanwezig zijn in de praktijk beschreven. Uit het praktijkonderzoek blijkt dat de internal auditor van de serviceorganisatie zich bij zijn werkzaamheden voor het ISAE 3402-traject beperkt tot de reikwijdte van de beheersmaatregelen van de financiële verantwoording. Hij verbreedt deze reikwijdte niet met beheersmaatregelen die betrekking hebben op andere KSF en die door het management zijn benoemd. In hoofdstuk 6 wordt de centrale vraag beantwoord. De internal auditor van de gebruikersorganisatie kan bij een ISAE 3402-traject vooraf het management adviseren over de impact van wet- en regelgeving op het voornemen tot uitbesteding van processen over te gaan. Daarnaast adviseert de internal auditor van zowel de gebruikersorganisatie als de serviceorganisatie het management vooraf over de inhoud van het ISAE 3402-rapport, waarbij hij onder andere de wet- en regelgeving waaraan de gebruikersorganisatie en de inhoud van het rapport aan moeten voldoen in acht neemt. Hiermee neemt de reikwijdte van de werkzaamheden van de internal auditor toe met compliance ten opzichte van de werkzaamheden die hij uitvoert ten behoeve van de external auditor. Naast de beheersmaatregelen inzake financiële verantwoording en compliance kan de internal auditor ook de effectiviteit en de efficiency van de getroffen beheersmaatregelen beoordelen. Hiermee kan hij additionele zekerheid geven aan het management over de kwaliteit van de beheersmaatregelen gericht op het realiseren van de organisatiedoelstellingen. De internal auditor van de serviceorganisatie kan dus bij het uitvoeren van pagina 3 van 44

4 testwerkzaamheden voor de external auditor een bredere optiek gebruiken dan voor het ISAE 3402-rapport noodzakelijk is. Naast de genoemde COSO IC-componenten kan hij hierbij ook aandacht besteden aan andere KSF en die het management van de serviceorganisatie van belang vindt. Op deze wijze kan de internal auditor het management ondersteunen door toegevoegde waarde te bieden aan het ISAE 3402-rapport. pagina 4 van 44

5 Inhoudsopgave Voorwoord... 2 Samenvatting Inleiding Aanleiding Probleemstelling Motivering keuze onderwerp Onderzoeksmethode Begripsbepaling & afbakening Leeswijzer De SAS 70-standaard Inleiding Het SAS 70-rapport Wet- en regelgeving Inhoud SAS 70-rapport Wat is ISAE 3402? Inleiding Overeenkomsten met SAS Verschillen met SAS Exposure Draft ISAE Rollen van de internal auditor Beroepsregels Wetgeving en standaarden Richtlijnen Praktijkhandleidingen beroepsorganisaties Eerdere onderzoeken over samenwerking tussen internal en external auditors Vooronderzoek Praktijkonderzoek Inleiding Welke rol mag de internal auditor uitvoeren? Welke rol voert de internal auditor uit? Gebruikersorganisatie Serviceorganisatie Accountantsorganisatie Welke rol wil de internal auditor uitvoeren? Analyse praktijkonderzoek Conclusie Deelvragen Centrale vraag Onderzoeksverantwoording...37 Literatuurlijst...39 Bijlage 1 Richtlijnen 3402 van NBA en NOREA...40 Bijlage 2 Overzicht interviews...42 Bijlage 3 Uitkomsten beoordeling relatie internal auditor met external auditor...43 pagina 5 van 44

6 1 Inleiding 1.1 Aanleiding Bedrijven besteden steeds meer processen uit aan serviceorganisaties. Daarnaast verlangt wet- en regelgeving in toenemende mate van de gebruikersorganisaties dat zij in control zijn (zoals de Wet op het financieel toezicht en de Wet bescherming persoonsgegevens). Voor de controle van de jaarrekening van de gebruikersorganisatie wil de accountant zekerheden ontvangen dat de interne controlemaatregelen van de uitbestede processen voldoende zijn. De serviceorganisatie kan hieraan voldoen door het leveren van een SAS 70- rapport. Op basis van dit rapport kan het management van de gebruikersorganisatie zich een oordeel vormen over de kwaliteit van de uitbestede processen en de effectiviteit van de controlemaatregelen. Daarnaast zullen zij het rapport overhandigen aan de accountant. In het SAS 70-traject kan een internal auditfunctie meerdere rollen vervullen, zowel binnen de gebruikersorganisatie als binnen de serviceorganisatie en zowel als adviseur als als uitvoerder van auditwerkzaamheden. De internal auditor kan zelf werkzaamheden uitvoeren, die later door de external auditor kunnen worden beoordeeld. Ook kan de internal auditor als onderdeel van het external auditteam fungeren. Tot slot kan de internal auditor het management ondersteunen in het SAS 70-traject (zowel vooraf, tijdens als achteraf). Eind 2009 heeft de International Auditing and Assurance Standards Board een nieuwe standaard gepubliceerd voor rapportage over interne beheersing van uitbestede activiteiten en certificering door externe accountants: International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Service Organization. Deze standaard heeft de SAS-70 standaard in de loop van 2011 vervangen. Hierbij kan de vraag worden gesteld wat de gevolgen zijn voor de internal auditor van de overgang van de SAS 70-standaard naar de ISEA 3402-standaard. Deze vraag heeft geleid tot de doelstelling van dit referaat. 1.2 Probleemstelling Doelstelling Het doel van het onderzoek is om inzicht te geven in de mogelijke rol van de internal auditor in een ISAE 3402-traject door een overzicht te geven van de meningen van de betrokken groeperingen (internal en external auditors van zowel gebruikers- als serviceorganisaties) over de knelpunten in de samenwerking tussen de internal en external auditor in een ISAE 3402-traject en over de mogelijke rollen van een internal auditor in het verbetertraject naar aanleiding van een ISAE 3402 rapport. Vraagstelling De centrale vraag van het onderzoek is: Welke rol kan een internal auditor vervullen in een ISAE 3402-traject? Bij deze vraag zijn de volgende deelvragen geformuleerd: Waarin verschillen ISAE 3402 en SAS 70? Welke gevolgen hebben deze verschillen voor de internal auditor, zowel bij de gebruikersorganisatie als bij de serviceorganisatie? Welke argumenten werden gebruikt bij de SAS 70-verklaring die de samenwerking tussen de internal auditor en de external auditor in de weg staan? Geeft de invoering van de ISAE 3402-standaard een ander licht op deze argumenten? In hoeverre wijkt de definitieve ISAE 3402-standaard af van de intentie van de nieuwe standaard? pagina 6 van 44

7 Wat zien internal auditors van zowel gebruikersorganisaties als serviceorganisaties feitelijk in de praktijk? Wat is de oorzaak van de ontstane praktijksituatie? Wat kan de rol van de internal auditor zijn in een verbetertraject naar aanleiding van een ISAE 3402-rapport? 1.3 Motivering keuze onderwerp Tijdens mijn werkzaamheden als operational auditor op de Internal Audit Department van een gebruikersorganisatie ben ik geconfronteerd met SAS 70-verklaringen van serviceorganisaties. Hierbij was mijn rol om deze verklaringen te beoordelen aan de hand van een controlelijst van de external auditor, waarbij op hoofdlijnen een inhoudelijke toets van het rapport werd uitgevoerd. De invoering van de ISAE 3402 standaard als opvolger van de SAS 70-standaard riep de volgende vragen bij mij op: Welke werkzaamheden kan een internal auditor uitvoeren bij een ISAE 3402-traject? Wat is er veranderd voor een internal auditor naar aanleiding van de invoering van de ISAE 3402 standaard? 1.4 Onderzoeksmethode Het onderzoek bestaat uit een theoretisch gedeelte (bestudering van de literatuur) en uit een praktisch gedeelte. Door middel van het literatuuronderzoek worden de eerste drie onderzoeksvragen beantwoord, waarbij ook de betekenis van SAS 70 en ISAE 3402 wordt onderzocht. Voor het praktijkgedeelte zijn er interviews gehouden met internal auditors van zowel serviceorganisaties als van gebruikersorganisaties. Daarnaast vinden er reviews plaats op ISAE 3402-dossiers van diverse Internal Audit Departments. Tot slot wordt er een interview gehouden met een external auditor die werkzaam is voor zowel serviceorganisaties als voor gebruikersorganisaties. 1.5 Begripsbepaling & afbakening In dit onderzoek worden de volgende definities gehanteerd: Internal audit De IIA definieert Internal audit als volgt 1 : Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren. De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren. External auditor De volgende external auditors hebben in Nederland de bevoegdheid om een ISAE verklaring te ondertekenen: RA: registeraccountant zoals ingeschreven in het register van de NBA 2 ; RE: register EDP-auditor zoals ingeschreven in het register van de NOREA 3 (mits behorend tot een onderneming die professionele diensten levert op het gebied van auditing). De Wet toezicht accountantsorganisaties kent onder andere de volgende twee definities (RA): Externe accountant: de natuurlijke persoon die werkzaam is bij of verbonden is aan een accountantsorganisatie en die verantwoordelijk is voor de uitvoering van een wettelijke controle. pagina 7 van 44

8 Accountantsorganisatie: een onderneming of instelling die bedrijfsmatig wettelijke controles verricht, dan wel een organisatie waarin zodanige ondernemingen of instellingen met elkaar zijn verbonden. Volgens artikel 10 van de statuten van de NOREA worden Register EDP-auditors (RE) geacht op te treden als EDP-auditor wanneer zij op grond van een onderzoek met betrekking tot de situatie ten aanzien van de informatie-technologie in een organisatie een oordeel of advies geven. Het object van het onderzoek is de mogelijke rol van de internal auditor in het ISAE traject. Het gaat hierbij om internal auditors bij zowel gebruikers- als serviceorganisaties. Het onderzoek richt zich op de Nederlandse situatie, waardoor de SSAE 16-verklaring (gericht op de Amerikaanse markt) buiten het onderzoek valt. Daarnaast valt eventuele onderuitbesteding door de serviceorganisatie ook buiten het onderzoek. 1.6 Leeswijzer In hoofdstuk 2 wordt de SAS 70-standaard beschreven. Daarna wordt in hoofdstuk 3 ISAE 3402 beschreven, inclusief de overeenkomsten en verschillen met SAS 70. In hoofdstuk 4 worden de rollen van de internal auditor en zijn samenwerking met de external auditor behandeld aan de hand van beroepsregels, regelgeving en praktijkhandleidingen. Vervolgens worden in hoofdstuk 5 deze rollen en samenwerking zoals die aanwezig zijn in de praktijk beschreven. In hoofdstuk 6 wordt dit referaat afgesloten met het beantwoorden van de deelvragen en met de conclusie van het onderzoek. pagina 8 van 44

9 2 De SAS 70-standaard 2.1 Inleiding Bedrijven besteden steeds vaker werkzaamheden uit aan andere gespecialiseerde partijen (serviceorganisaties). Argument daarvoor is dat dit een goede methode is om meer focus te creëren op de eigen kernactiviteiten. Werkzaamheden die vaak worden uitbesteed zijn onder andere het beheren van de ICT en het uitvoeren van de salarisadministratie, het vermogensbeheer, de pensioenadministratie en de hypotheekadministratie. De Wet op het financieel toezicht definieert uitbesteden als volgt: het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. Van Puijenbroek 4 beschrijft een aantal voor- en nadelen van uitbesteding. De belangrijkste redenen om processen uit te besteden zijn kostenreductie en verhoging van de kwaliteit. De kostenreductie wordt bereikt doordat de serviceorganisatie schaalvoordelen kan behalen door hetzelfde type activiteiten uit te voeren voor meerdere gebruikersorganisaties. De verhoging van de kwaliteit wordt gerealiseerd door betere ICT, beter ingerichte processen en op dat gebied toegewijd en deskundig management. Naast deze voordelen beschrijft Van Puijenbroek de volgende risico s: een serviceorganisatie die niet in staat is de service te leveren volgens de afgesproken normen; de afhankelijkheid van een serviceorganisatie terwijl de onderneming juist maximale flexibiliteit nodig heeft; de mogelijkheid dat de strategische focus van de serviceorganisatie verandert; de mogelijkheid dat uitbesteding heeft plaatsgevonden naar een serviceorganisatie die in een later stadium wordt gekocht door een concurrent; de kans op insolventie of faillissement van de serviceorganisatie; het in rekening brengen van hoge kosten door de leverancier voor het leveren van extra service als gevolg van slecht gedefinieerde contractuele voorwaarden voor de geleverde diensten. Het management van organisaties die processen uitbesteden (gebruikersorganisaties) blijft verantwoordelijk voor de uitbestede processen, ondanks dat zij geen directe invloed meer hebben op deze processen. Daarnaast wil de external auditor van de gebruikersorganisatie zekerheid ontvangen over de uitbestede processen die een materiële invloed hebben op de jaarrekening. Als gevolg hiervan zal een gebruikersorganisatie afspreken met de serviceorganisatie dat zij recht heeft op inzicht in de kwaliteit van de interne beheersing. Deze afspraken worden vastgelegd in de Service Level Agreement, en bestaan uit de mogelijkheid tot het uitvoeren van een eigen audit en/of het ontvangen van een SAS 70-rapport. De external auditor van de gebruikersorganisatie kan op de volgende drie manieren zekerheid ontvangen over de uitbestede processen: 1. door zelf (of, indien aanwezig, door de internal auditor van de gebruikersorganisatie) werkzaamheden uit te voeren bij de serviceorganisatie; 2. middels verbandcontroles bij de gebruikersorganisatie (deze controle biedt meestal niet voldoende zekerheid); 3. door middel van een mededeling van een derde (SAS 70-rapport). pagina 9 van 44

10 Het uitvoeren van eigen audits is kostbaar voor de gebruikersorganisatie en niet efficiënt voor de serviceorganisatie, dus er zal vaak worden gekozen voor het opstellen van een SAS 70-rapport. 2.2 Het SAS 70-rapport De opkomst van uitbesteding heeft in de Verenigde Staten geleid tot de SAS 70-standaard. Deze standaard is in 1992 uitgegeven door het American Institute of Certified Public Accountants (AICPA) onder de naam Statement on Auditing Standards No. 70 Reports on the Processing of Transactions by Service Organizations (SAS 70). Deze auditstandaard wordt gebruikt om in geval van uitbesteding van processen te rapporteren over de interne controle van serviceorganisaties. De benaming van de standaard is later door de AICPA aangepast naar AU Section 324 Service Organizations, maar de standaard staat nog steeds bekend als de SAS 70-standaard. In het vervolg van dit referaat wordt daarom het begrip SAS 70 gehanteerd. Een SAS 70-rapport is een rapport waarin een serviceorganisatie beschrijft hoe zij haar processen beheerst. Daarnaast beschrijft zij welke beheersdoelstellingen zij heeft gedefinieerd en welke controlemaatregelen zij heeft genomen om deze doelstellingen te behalen. Het rapport wordt dus opgesteld door de serviceorganisatie, die ook de scope van het rapport bepaalt. Een external auditor voegt een rapport toe (auditor s report) waarin hij ingaat op de realisatie van de beschreven beheersdoelstellingen. Daarnaast verantwoordt hij in een toelichting de door hem uitgevoerde testwerkzaamheden en wat het resultaat van deze testwerkzaamheden is. Het management van de gebruikersorganisatie kan het SAS 70-rapport gebruiken om te beoordelen of de beheersing van de uitbestede processen aan de serviceorganisatie voldoet aan de eisen van de gebruikersorganisatie. De external auditor van de gebruikersorganisatie kan het rapport gebruiken om inzicht te krijgen in de administratieve organisatie en interne controle van de serviceorganisatie, om zodoende zekerheid te verkrijgen ten behoeve van de jaarrekeningcontrole van de gebruikersorganisatie. Het SAS 70-rapport is dan ook van origine een rapport van de auditor van de serviceorganisatie aan de auditor van de gebruikersorganisatie, dat niet verder mag worden verspreid dan het management en de auditor van de gebruikersorganisatie. De external auditor van de gebruikersorganisatie dient een aantal activiteiten uit te voeren voordat hij het SAS 70-rapport zal kunnen gebruiken 5. Hij zal dienen vast te stellen dat de auditor die het rapport heeft afgegeven een te goeder naam en faam bekend staande auditor is. Daarnaast zal hij dienen vast te stellen dat de datering van de beschrijving die door de serviceorganisatie is opgesteld voldoende actueel is om voor hem van dienst te kunnen zijn. Vervolgens zal de external auditor van de gebruikersorganisatie in zijn beoordeling van de toereikendheid van het SAS 70-rapport vaststellen dat hij voldoende informatie heeft om: inzicht te hebben in de beheersmaatregelen van de serviceorganisatie die van invloed kunnen zijn op het verwerken van de transacties van de gebruikersorganisatie; inzicht te hebben in de activiteiten die de serviceorganisatie uitvoert om de relevante transacties van de gebruikersorganisatie te verwerken; vast te stellen of de beheersdoelstellingen relevant zijn voor de beweringen in de financiële verantwoording van de gebruikersorganisatie; vast te stellen of de opzet van de beheersmaatregelen van de serviceorganisatie toereiken is om fouten in de verwerking, die tot een materiële fout in de financiële verantwoording van de gebruikersorganisatie kunnen leiden, te voorkomen dan wel te detecteren. pagina 10 van 44

11 Om het interne beheersingsrisico op een lager niveau dan maximaal te stellen, dient de auditor van de gebruikersorganisatie tot slot vast te stellen dat: een type 2-rapport voldoende informatie bevat over aard, tijdstippen waarop, omvang en resultaten van de testen op de werking van de beheersmaatregelen van de serviceorganisatie, zodat hij op basis van deze informatie voldoende onderbouwing heeft om het interne beheersingsrisico lager dan maximaal te stellen; de periode waarop de werking van de beheersmaatregelen betrekking heeft voldoende is voor het gebruik van de uitkomsten daarvan door de auditor van de gebruikersorganisatie; het rapport van de external auditor van de serviceorganisatie de uitkomsten beschrijft van de testen die van invloed kunnen zijn op de besluitvorming van de external auditor van de gebruikersorganisatie. Als aan bovenstaande is voldaan en er is bewijs dat de relevante beheersmaatregelen van de serviceorganisatie hebben gewerkt, kan de external auditor van de gebruikersorganisatie het SAS 70-rapport gebruiken. Betrokken partijen De IIA visualiseert het spelersveld van de SAS 70-standaard als volgt 5 : De gebruikersorganisatie is de ontvanger van het SAS 70-rapport. Zij toetst dit rapport aan haar eisen van interne beheersing over de uitbestede processen. De external auditor van de gebruikersorganisatie is ook een ontvanger van het SAS 70- rapport. Hij toetst dit rapport aan zijn behoefte voor de jaarrekeningcontrole van de gebruikersorganisatie. De serviceorganisatie is verantwoordelijk voor het SAS 70-rappport met uitzondering van het auditor s report en de bevindingen. De external auditor van de serviceorganisatie is verantwoordelijk voor de certificering van het SAS 70-rapport. Wanneer de gebruikersorganisatie en de serviceorganisatie beschikken over een Internal Audit Department (IAD), kunnen internal auditors op verschillende momenten rollen vervullen gedurende het SAS 70-traject. Deze rollen zijn verder uitgewerkt in hoofdstuk 4. pagina 11 van 44

12 In het Handboek EDP-audting 7 staat beschreven dat het is toegestaan dat medewerkers van de IAD ook meewerken aan een aantal aspecten van het SAS 70-traject. Hierbij bestaan de volgende twee mogelijkheden: medewerkers van de IAD voeren onder leiding van de external auditor testwerkzaamheden uit; medewerkers van de IAD voeren zelfstandig testwerkzaamheden uit en leggen dat vast in dossiers, zoals die gebruikelijk zijn binnen die organisatie. Indien de external auditor wil steunen op de door de IAD uitgevoerde werkzaamheden, moet conform SAS 65 (AU Section 322 The Auditor s Consideration of the Internal Audit Function in an Audit of Financial Statements) worden onderzocht in welke mate de external auditor daarop kan steunen. Aspecten die hierbij ten minste moeten worden onderzocht zijn: de organisatorische positie van de IAD; de competentie van de IAD-medewerkers; de objectiviteit van de IAD-medewerkers; het hebben van een Audit Charter, het toepassen van professionele standaarden alsmede inzicht in doelstellingen en missie van de IAD. In onderstaande figuur is de relatie tussen de vier betrokken partijen bij een SAS 70-rapport weergegeven 6 : uitbestedende organisatie SAS 70-rapport uitbestedingscontract serviceorganisatie opdracht jaarrekeningcontrole accountantsrapport SAS 70-rapport opdracht SAS 70-onderzoek auditor uitbesteder informatieverstrekking auditor serviceorganisatie De gebruikersorganisatie sluit een uitbestedingscontract af met een serviceorganisatie. Uit hoofde van de jaarrekeningcontrole wil de external auditor van de gebruikersorganisatie zekerheid ontvangen dat de uitbestede processen in control zijn. Hij verkrijgt deze zekerheid door het ontvangen van een SAS 70-rapport van de external auditor van de serviceorganisatie. Indien hij vragen heeft over dit rapport, zal hij informatie inwinnen bij de external auditor van de serviceorganisatie. Er zijn diverse redenen waarom serviceorganisaties en gebruikersorganisaties ervoor kiezen om een SAS 70-traject aan te gaan. Voor een serviceorganisatie is het een efficiënte manier om aan alle gebruikers aan te tonen dat aan de verwachte beheersdoelstellingen wordt voldaan. Daarnaast verhoogt het traject het controlebewustzijn en het leervermogen van de medewerkers van de serviceorganisatie, en kan het bestuurders, commissarissen en leden van de raad van toezicht helpen om goed om te gaan met hun toegenomen verantwoordelijkheid en aansprakelijkheid. Voor de gebruikersorganisatie is het SAS 70-rapport een kostenbesparende en efficiënte manier om aan haar external auditor en aan haar toezichthouders aan te tonen dat haar uitbestede processen in control zijn. Daarnaast ontvangt zij zelf inzicht in de sterkte van de interne beheersing van de serviceorganisatie. pagina 12 van 44

13 2.3 Wet- en regelgeving Naar aanleiding van de boekhoudschandalen aan het begin van de 21 e eeuw is het belang toegenomen van goede corporate governance, met daarbij adequate interne beheersmaatregelen. Door de invoering van wetgeving in de Verenigde Staten (Sarbanes- Oxley Act) en in Nederland (Wet op het financieel toezicht en de Pensioenwet) is het belang van het SAS 70-rapport toegenomen. De Sarbanes-Oxley Act (SOx) is van belang voor Nederlandse bedrijven met een notering aan een Amerikaanse beurs. Deze wet werd in 2002 in de Verenigde Staten ingevoerd na boekhoudschandalen bij onder andere WorldCom en Enron. Artikel 404 van deze wet vereist dat ondernemingen de effectiviteit van de interne beheersmaatregelen met betrekking tot financiële rapportering beoordelen en hierover rapporteren. De external auditor dient deze rapportage te beoordelen. Audit Standard No. 5 van de Public Company Accounting Oversight Board (PCAOB) verwijst hierbij naar de SAS 70-standaard in het geval van het gebruik van serviceorganisaties. In 2004 heeft de Pensioen- en Verzekeringskamer (nu De Nederlandsche Bank) de Beleidsregels uitbesteding pensioenfondsen en verzekeraars uitgegeven. Deze beleidsregels zijn nu opgenomen in de Wet op het financieel toezicht (Wft) en de Pensioenwet (PW). Deze wetten bepalen dat de regels die voor financiële ondernemingen en pensioenfondsen gelden ook gelden voor de werkzaamheden die zij uitbesteden aan een derde. Daarbij kunnen regels worden gesteld met betrekking tot de beheersing van de risico s die verband houden met uitbesteding. 2.4 Inhoud SAS 70-rapport Er bestaan twee typen SAS 70-rapporten: Type I: een rapport over de geïmplementeerde beheersmaatregelen op een bepaald tijdstip. Dit rapport wordt ondersteund met een auditor s report dat aangeeft dat de maatregelen toereikend zijn en dat deze op de specifieke datum waren geïmplementeerd (opzet en bestaan). Type II: een rapport over de geïmplementeerde beheersmaatregelen en de werking van die maatregelen over een bepaalde periode (minimaal zes maanden). Het auditor s report is uitgebreid met een oordeel over de werking van deze maatregelen in deze periode (opzet, bestaan en werking). Wanneer er in dit referaat wordt gesproken over SAS 70, dan wordt hiermee SAS 70 type II bedoeld, tenzij anders wordt vermeld. De structuur van het SAS 70-rapport wordt beschreven in de richtlijnen van de Audit Guide 8. Hierin zijn de volgende secties beschreven: Auditor s report (sectie 1) De external auditor brengt een rapport uit over de beschrijving van de interne beheersing zoals deze in sectie 2 is opgenomen door de serviceorganisatie. Zijn bevindingen monden uit in een oordeel 6 : of de beschrijving een getrouw beeld geeft van de relevante aspecten van de beheersmaatregelen die op de aangegeven datum waren geïmplementeerd; of de opzet van de in de beschrijving opgenomen beheersmaatregelen toereikend is om redelijke zekerheid te geven dat de beheersingsdoelstellingen worden bereikt; of de werking van de geteste beheersmaatregelen zoals opgenomen in sectie 3 voldoende effectief is om redelijke, maar geen absolute, zekerheid te geven dat deze beheersmaatregelen in de genoemde periode zijn bereikt (alleen type II-rapport). pagina 13 van 44

14 In het rapport neemt de external auditor op aan wie het rapport mag worden verspreid. Deze verspreidingskring bestaat uit één of meerdere gebruikersorganisaties (maatwerkrapport of generiek rapport) en hun external auditors. Het rapport mag niet worden verspreid onder toekomstige gebruikersorganisaties. Beschrijving van de interne beheersing van de serviceorganisatie (sectie 2) De beschrijving van de interne beheersing van de serviceorganisatie wordt gemaakt door de serviceorganisatie, die verantwoordelijk is voor de juistheid, de volledigheid en de wijze waarop de beschrijving vorm wordt gegeven. De beschrijving dient uit de volgende elementen te bestaan: relevante aspecten van de beheersingsomgeving, risicobepaling, informatievoorziening en communicatie en het toezicht houden op de werking van de beheersmaatregelen; beheersingsdoelstellingen en daaraan gerelateerde beheersmaatregelen; wijzigingen in de beheersmaatregelen sinds het laatste rapport (na datum van ondertekening) of binnen de laatste twaalf maanden indien dat eerder is. De elementen die bij het eerste punt zijn opgenomen, komen overeen met de algemene beheersomgeving zoals is opgenomen in het COSO IC-model. In dit model wordt interne beheersing als volgt gedefinieerd: het proces dat ontworpen is voor het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen op het gebied van: de effectiviteit en efficiency van processen; de betrouwbaarheid van de financiële verantwoording; de naleving van relevante wet- en regelgeving. Het SAS 70-rapport beperkt zich hierbij tot de betrouwbaarheid van de financiële verantwoording. De COSO IC-elementen naleving van wet- en regelgeving en effectiviteit en efficiency van processen vallen dus buiten de scope van het rapport. Informatie van de auditor (sectie 3) De informatie die de auditor opneemt in deze sectie bestaat uit een beschrijving van de testen op de werking van de beheersmaatregelen en de resultaten daarvan (alleen type II). De auditor kan het noodzakelijk achten om overige informatie toe te voegen (bijvoorbeeld aanbevelingen voor verbetering van de beheersmaatregelen). Deze informatie mag hij in deze sectie opnemen. Overige informatie (sectie 4) In deze sectie kan de serviceorganisatie informatie opnemen die buiten de beschrijving van sectie 2 valt. Deze informatie wordt niet afgedekt door de mededeling van de auditor in sectie 1 van het rapport. De serviceorganisatie kan hier bijvoorbeeld informatie opnemen over het Business Continuity Plan. pagina 14 van 44

15 3 Wat is ISAE 3402? 3.1 Inleiding In maart 2006 is de International Auditing and Assurance Standards Board (IAASB) begonnen met het project van de ontwikkeling van International Standard on Assurance Engagements (ISAE) 3402 Assurance Reports on Controls at a Service Organization. Deze standaard is in september 2009 definitief geworden en is van toepassing op assurancerapporten van auditors van de serviceorganisatie over verslagperioden eindigend op of na 15 juni De IAASB is dit project begonnen om de volgende redenen: door de toename van het gebruik van serviceorganisaties en de toenemende complexiteit van de relatie tussen serviceorganisaties en gebruikersorganisaties was er een noodzaak voor een assurance-standaard die aansluit bij de geplande aanpassing van International Standard on Auditing (ISA) 402 Audit Considerations Relating to Entities Using Service Organizations, zodanig dat rapporten die conform ISAE 3402 zijn opgesteld in staat zijn om voldoende bewijs te voorzien zoals wordt gevraagd door de nieuwe ISA 402. Omdat het geen audit op historische informatie betreft, zal de standaard een ISAE zijn en geen ISA. verscheidene opstellers van nationale standaarden hadden recentelijk overeenkomstige standaarden vernieuwd of ontwikkeld, waarbij meerdere opstellers de IAASB hadden verzocht om een internationale standaard te ontwikkelen; ervoor zorg dragen dat de performance van service auditors meer met elkaar in overeenstemming is, waardoor tevens de performance van user auditors die assurance rapporten van service auditors gebruiken meer met elkaar in overeenstemming is. ISAE 3402 behandelt assurance-opdrachten die een rapport opleveren van een professionele auditor die bestemd is voor gebruikersorganisaties en hun auditors. Het rapport gaat over de beheersmaatregelen bij een serviceorganisatie die waarschijnlijk relevant zijn voor de interne beheersing met betrekking tot de financiële verantwoording van de gebruikersorganisatie. Hierbij verschaft de service auditor een redelijke mate van zekerheid over de getroffen beheersmaatregelen. De richtlijn vult NBA Standaard 402 Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie aan, zodat ISAE 3402-rapporten geschikt zijn om de onder deze NBA-standaard vereiste passende onderbouwende informatie te verschaffen. ISAE 3402 is alleen van toepassing wanneer de serviceorganisatie verantwoordelijk is voor, of anderszins in staat is om een bewering te doen over de geschikte opzet van interne beheersmaatregelen. De ISAE 3402-standaard is in Nederland overgenomen door de NBA (NV COS 3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie) en door de NOREA (Richtlijn 3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie). De teksten zijn aan elkaar gelijk, met uitzondering van de aanduiding van het document (standaard versus richtlijn), de aanduiding van de beroepsbeoefenaar (accountant versus auditor) en eventuele verwijzingen naar specifieke andere voorschriften van de desbetreffende beroepsgroep. In de Verenigde Staten heeft de AICPA de standaard Statement on Standards for Attestation Engagements (SSAE) No. 16 Reporting on Controls at a Service Organization uitgegeven. Deze standaard is sterk gebaseerd op ISAE 3402, maar heeft een uitwerking die past binnen de Amerikaanse wet- en regelgeving. Deze standaard is van toepassing op assurancerapporten van auditors van de serviceorganisatie over verslagperioden eindigend op of na 15 juni 2011 en is vanaf die datum de Amerikaanse opvolger van de SAS 70-standaard. Voor pagina 15 van 44

16 serviceorganisaties buiten de Amerikaanse reikwijdte is de ISAE 3402-standaard van toepassing als opvolger van de SAS 70-standaard. 3.2 Overeenkomsten met SAS 70 In deze paragraaf worden de belangrijkste overeenkomsten tussen SAS 70 en ISAE 3402 beschreven. Doelgroep rapport Het ISAE 3402-rapport is bestemd voor de gebruikersorganisatie en haar auditor, en bedoeld om deze auditor redelijke zekerheid te verschaffen over de invloed van uitbestede processen op de financiële verantwoording van de gebruikersorganisatie. Type rapporten ISAE 3402 kent twee type rapporten: een type I rapport waarin de beheersmaatregelen worden beschreven die op een bepaald moment zijn geïmplementeerd (opzet en bestaan) en een type II rapport waarin de beheersmaatregelen worden beschreven die over een bepaalde periode hebben gewerkt (opzet, bestaan en werking). Deze periode zal ten minste zes maanden dienen te bedragen. Inhoudelijke norm De ISAE 3402-standaard geeft een kapstok om verantwoording af te leggen over de opzet, bestaan en werking beheersmaatregelen van serviceorganisaties ten behoeve van gebruikersorganisaties. De reikwijdte en beheersdoelstellingen worden bepaald door de serviceorganisatie. Het rapport Een aantal inhoudelijke vereisten van het ISAE 3402-rapport komen overeen met de vereisten van het SAS 70-rapport. Zo dient de auditor in het ISAE 3402-rapport verslag te doen van de testwerkzaamheden die hij heeft uitgevoerd. Daarbij is hij niet verplicht om de omvang van de steekproefomvang toe te lichten, tenzij hij een relevante afwijking heeft vastgesteld. Gebeurtenissen na de datum van afgifte De service auditor dient belangrijke wijzigingen in de beheersmaatregelen van de serviceorganisatie die plaatsvinden tussen de datum van het onderzoek en de datum van de afgifte van het rapport op te nemen in het rapport. 3.3 Verschillen met SAS 70 In deze paragraaf worden de belangrijkste verschillen tussen SAS 70 en ISAE 3402 beschreven. Hierbij wordt ook beschreven wat de eventuele invloed van deze verschillen is voor de mogelijke rollen van de internal auditor. De standaard De ISAE 3402-standaard is opgesteld door de International Auditing and Assurance Standards Board (IAASB) en is een internationale assurance-standaard, die wereldwijd kan worden toegepast en in Nederland is vertaald als lokale standaard. De SAS 70-standaard is opgesteld door het American Institute of Certified Public Accountants (AICPA) en is een Amerikaanse auditing-standaard. Deze standaard dient in samenhang met de Audit Guide 8 te worden bezien, terwijl alle regelgeving met betrekking tot ISAE 3402 is opgenomen in de standaard zelf. Risicoanalyse In tegenstelling tot SAS 70 gaat ISAE 3402 uit van een risicobenadering. Dit betekent dat een serviceorganisatie de processen en beheersmaatregelen zal beschrijven die tot doel pagina 16 van 44

17 hebben om risico s te vermijden. Hierbij kan de serviceorganisatie gebruik maken van een formeel of informeel proces om deze risico s te identificeren. In dit proces kan de internal auditor het management ondersteunen om de meest relevante processen en beheersmaatregelen te selecteren. Het management blijft hierbij wel verantwoordelijk voor de uiteindelijke selectie. ISAE 3402 vraagt dus om een beschrijving van de key controls, terwijl SAS 70 een beschrijving vraagt van alle beheersmaatregelen van het relevante proces. Managementverklaring In een ISAE 3402-rapport dient het management van de serviceorganisatie te verklaren dat her rapport aan de eisen van de standaard voldoet en dat de beschrijving in het rapport overeenkomt met de situatie op het genoemde moment (type I) of overeenkomt met de situatie in de genoemde periode (type II). Hierin dienen de aspecten van het COSO IC-model te worden beschreven (beheersingsomgeving, risico-inschattingsproces, werkzaamheden betreffende de interne beheersing, informatievoorziening en communicatie en toezicht op de werking van de beheersmaatregelen) die relevant zijn voor het verwerken en rapporteren van de transacties van de gebruikersorganisaties. Het management mag de verklaring van de auditor niet gebruiken voor deze verklaring, maar dient zelf de effectiviteit van de werking van de beheersmaatregelen vast te stellen. De internal auditor van de serviceorganisatie kan het management adviseren om het monitoringsproces in te richten. Dit proces kan bestaan uit continue activiteiten en/of separate activiteiten, waarbij uitzonderingen worden gerapporteerd, tijdige correcties plaatsvinden en de effectiviteit van de getroffen beheersmaatregelen wordt beoordeeld. Geschiktheid van de criteria Op basis van ISAE 3000 Assurance Engagements Other Than Audits or Reviews of Historical Financial Information dient de service auditor vast te stellen of de serviceorganisatie geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van haar systeem, bij het evalueren of de interne beheersmaatregelen op afdoende wijze zijn opgezet en bij het evalueren of de interne beheersmaatregelen effectief werken. De genoemde criteria zijn: de beschrijving geeft alle elementen weer die relevant zijn voor de gebruikersorganisatie; de beheersmaatregelen die in een risicoanalyse zijn geïdentificeerd bieden een redelijke mate van zekerheid dat, indien zij werken, die risico s het bereiken van de interne beheersdoelstellingen niet verhinderen; de interne beheersmaatregelen hebben in de genoemde periode effectief gewerkt. De internal auditor van de serviceorganisatie kan het management ondersteunen om te bepalen of haar beschrijving van het systeem voldoet aan de genoemde criteria. Materialiteit De service auditor dient bij haar planning en werkzaamheden voor een ISAE 3402-rapport de materialiteit met betrekking tot de getrouwe weergave van de beschrijving en de opzet, bestaan en werking van de interne beheersmaatregelen in aanmerking te nemen. De internal auditor kan het management van de serviceorganisatie ondersteunen om de interne beheersmaatregelen meetbaar te maken en om management te adviseren wanneer een gevonden uitzondering materieel is voor het ISAE 3402-rapport. Gebruik van werkzaamheden internal auditors Bij SAS 70 kon de external auditor op twee manieren gebruik maken van de werkzaamheden van internal auditors: door de internal auditor in te zetten als lid van het eigen auditteam of door de aard, timing en omvang van de eigen werkzaamheden aan te passen aan de pagina 17 van 44

18 werkzaamheden van de internal auditor. Volgens ISAE 3402 mag de external auditor alleen nog maar zijn werkzaamheden aanpassen aan de werkzaamheden van de internal auditor, en deze dus niet meer inzetten in het eigen auditteam. Hiermee sluit ISAE 3402 aan bij de internationale standaard COS 610 Using the work of Internal Auditors. Volgens ISAE 3402 is de internal auditor niet onafhankelijk genoeg van de serviceorganisatie, waardoor de service auditor (als enig en volledig verantwoordelijke voor alle elementen van het assurancerapport) de werkzaamheden van de internal auditor dient te beschrijven in zijn rapport. Deze vereiste was niet opgenomen in de SAS 70-standaard. Oordeel van de auditor Bij SAS 70 gaf de service auditor drie keer een oordeel: over de beschrijving, de opzet en de werking van de interne beheersmaatregelen. Bij ISAE 3402 geeft de service auditor één oordeel op basis van de eerder genoemde geschikte criteria, waarbij dus de beschrijving, de opzet en de werking van de interne beheersmaatregelen als één geheel worden beoordeeld. Hierbij dient de service auditor zijn oordeel te formuleren als een direct reporting -conclusie, waarbij de conclusie positief dient te worden verwoord. Dit betekent dat de service auditor bij een assertion-based -rapport (het management voert werkzaamheden uit op basis van een eigen normenkader) een direct-reporting -conclusie geeft (de auditor formuleert de mededeling op basis van eigen uitgevoerde werkzaamheden en normenkader). 9 Tekeningsbevoegdheid SAS 70 is een Amerikaanse auditingstandaard, waardoor in Nederland alleen registeraccountants (RA) de rapporten mochten ondertekenen. ISAE 3402 is een internationale standaard die in Nederland is vertaald door de NBA en de NOREA, waardoor de RE (onder voorwaarden) het rapport mag ondertekenen. Overige informatie In sectie 4 van het SAS 70-rapport kon de serviceorganisatie informatie opnemen die buiten de scope van het rapport viel (niet-financiële informatie zoals een Business Continuity Plan). Sectie 5 van het ISAE 3402-rapport mag niet worden gebruikt voor niet-financiële informatie. De standaard verwijst hiervoor specifiek naar de ISAE 3000-standaard, die voor deze informatie kan worden gebruikt. Verspreidingskring De verspreidingskring van een SAS 70-rapport bestaat uit de gebruikersorganisaties en hun external auditors. Aan deze verspreidingskring heeft ISAE 3402 als voorwaarde gesteld dat het rapport alleen is bedoeld voor gebruikersorganisaties en hun accountants als zij voldoende inzicht hebben om het rapport te beschouwen. Conclusie De invoering van de ISAE 3402-standaard betekent een verbetering van de transparantie en de uniformiteit door 9 : het opnemen van de verklaring van het management; het uitsluiten van de verwarring of een rapport een SAS 70-rapport of een ISAE rapport betrof; de uniforme vertaling van de standaard in het Nederlandse werkgebied; de opname in het rapport van de criteria die door de service auditor moeten worden gebruikt. 3.4 Exposure Draft ISAE 3402 In december 2007 heeft de IAASB een Exposure Draft van ISAE 3402 uitgegeven. Naar aanleiding van de reacties die de IAASB hierop heeft ontvangen, heeft de IAASB pagina 18 van 44

19 aanpassingen gemaakt in de Exposure Draft om te komen tot de definitieve standaard. De belangrijkste wijziging is met betrekking tot de reikwijdte van het rapport 10. De Exposure Draft van ISAE 3402 was geschreven voor gebruik met betrekking tot beheersmaatregelen die relevant zijn voor de financiële verantwoording van de gebruikersorganisatie. Daarnaast mocht het rapport ook worden gebruikt om te rapporteren over andere beheersmaatregelen van de serviceorganisatie, bijvoorbeeld beheersmaatregelen die impact hebben op de compliance van wet- en regelgeving of de kwaliteitscontrole van de gebruikersorganisatie (niet-financiële beheersmaatregelen). Meerdere respondenten gaven hierop als reactie dat een ISAE die specifiek is geschreven voor toepassing op beheersmaatregelen met betrekking tot financiële verantwoording niet zomaar toegepast kan worden op niet-financiële beheersmaatregelen zonder daarbij een specifieke toelichting te geven hoe dit zou moeten worden toegepast. Zij stelden voor dat de niet-financiële beheersmaatregelen buiten de reikwijdte van het rapport zouden vallen en dat hiervoor een aparte ISAE ontwikkeld zou moeten worden. De IAASB was van mening dat zij niet in staat waren om een korte toelichting te maken die specifiek genoeg zou zijn om alle diensten en beheersmaatregelen waarover een service auditor over zou moeten rapporteren te behandelen. Daarnaast wilde de IAASB geen beheersmaatregelen toestaan die nauw verwant zijn aan beheersmaatregelen met betrekking tot de financiële verantwoording, omdat zij bang was dat de reikwijdte van ISAE 3402 hierdoor breder zou worden dan waarvoor de standaard is bedoeld. Als gevolg hiervan heeft de IAASB besloten om de reikwijdte te beperken tot beheersmaatregelen met betrekking tot de financiële verantwoording, en dus beheersmaatregelen met betrekking tot compliance aan wet- en regelgeving en effectiviteit en efficiency uit te sluiten. Voor deze opdrachten verwijst de IAASB naar ISAE-standaard 3000, die geschikt is voor assuranceopdrachten die niet gaan over financiële beheersmaatregelen. pagina 19 van 44

20 4 Rollen van de internal auditor De internal auditor kan meerdere rollen vervullen in het ISAE 3402-traject. Hierbij zal hij in een aantal gevallen samenwerken met de external auditor. In dit hoofdstuk worden deze rollen en de bijbehorende samenwerking tussen de internal auditor en de external auditor beschreven aan de hand van beroepsregels, wetgeving, richtlijnen, auditstandaarden, de praktijkhandleiding van een beroepsorganisatie, eerdere onderzoeken en een vooronderzoek. 4.1 Beroepsregels De Nederlandse Beroepsorganisatie van Accountants (NBA) heeft gedrags- en beroepsregels vastgesteld voor alle accountants die zijn ingeschreven in het accountantsregister. Al deze regelgeving voor accountants is opgenomen in de Handleiding Regelgeving Accountancy (HRA), delen 1 en 1A (NV COS) Regelgeving voor de accountant. In deze HRA (geldend per 15 januari 2011) is in standaard 610 Gebruikmaken van de werkzaamheden van internal auditors (NV COS 610) het volgende opgenomen: Artikel 8. De externe accountant dient te bepalen: a. Of de werkzaamheden van de interne auditors waarschijnlijk adequaat zijn voor de doeleinden van de controle; en b. Zo ja, wat de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing en omvang van de werkzaamheden van de externe accountant zal zijn. Artikel 9. Bij het bepalen of de werkzaamheden van de interne auditors waarschijnlijk adequaat zijn voor de doeleinden van de controle, dient de accountant de volgende zaken te evalueren: a. De objectiviteit van de interne auditfunctie; b. De deskundigheid van de interne auditors; c. De vraag of de werkzaamheden van de interne auditors waarschijnlijk met voldoende professionele zorgvuldigheid worden uitgevoerd; en d. De vraag of er waarschijnlijk doeltreffende communicatie tussen de interne auditors en de externe accountant zal zijn. Artikel 10. Bij het bepalen van de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing en omvang van de werkzaamheden van de externe accountant, dient de externe accountant de volgende zaken in overweging te nemen: a. De aard en reikwijdte van door de interne auditors uitgevoerde of uit te voeren specifieke werkzaamheden; b. De ingeschatte risico s van een afwijking van materieel belang op het niveau van beweringen voor bepaalde transactiestromen, rekeningsaldi en in de financiële overzichten opgenomen toelichtingen; en c. De mate van subjectiviteit die een rol speelt bij de evaluatie van de door de interne auditors verzamelde controle-informatie ter onderbouwing van de relevante beweringen. Artikel 11. Om gebruik te maken van specifieke werkzaamheden van de interne auditors dient de externe accountant die werkzaamheden te evalueren en daarop controlewerkzaamheden uit te voeren om te bepalen of zij adequaat zijn voor de doelstellingen van de externe accountant. Artikel 12. Om te bepalen of de door de interne auditors uitgevoerde specifieke werkzaamheden adequaat zijn voor de doelstellingen van de externe accountant, dient de externe accountant te evalueren of: a. De werkzaamheden werden verricht door interne auditors die beschikken over adequate vaktechnische training en vaardigheid; pagina 20 van 44