Vertaling NEDERLANDS INTERNATIONAL STANDARD ON AUDITING 402. Paragraph. Inleiding

Transcriptie

1 INTERNATIONAL STANDARD ON AUDITING 402 AUDIT CONSIDERATIONS RELATING TO AN ENTITY USING A SERVICE ORGANIZATION (Effective for audits of financial statements for periods beginning on or after December 15, 2009) INTERNATIONAL STANDARD ON AUDITING 402 OVERWEGINGEN MET BETREKKING TOT CONTROLES VAN ENTITEITEN DIE GEBRUIK MAKEN VAN EEN SERVICEORGANISATIE (Van toepassing op controles van financiële overzichten over verslagperioden die op of na 15 december 2009 aanvangen) Introduction CONTENTS Paragraph Scope of this ISA 1-5 Effective Date 6 Objectives 7 Definitions 8 Requirements Obtaining an Understanding of the Services Provided by a Service Organization, Including Internal Control 9-14 Responding to the Assessed Risks of Material Misstatement Type 1 and Type 2 Reports that Exclude the Services of a Subservice Organization 18 Fraud, Non-Compliance with Laws and Regulations and Uncorrected Misstatements in Relation to Activities at the Service Organization 19 Reporting by the User Auditor Application and Other Explanatory Material Obtaining an Understanding of the Services Provided by a Service Organization, Including Internal Control A1-A23 Inleiding INHOUDSOPGAVE Paragraaf Toepassingsgebied van deze ISA 1-5 Ingangsdatum 6 Doelstellingen 7 Definities 8 Vereisten Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie, met inbegrip van de interne beheersing 9-14 Manieren om in te spelen op de ingeschatte risico s op een afwijking van materieel belang Type 1- en type 2-rapporten waarin de diensten van een subserviceorganisatie worden uitgesloten 18 Fraude, niet-naleving van wet- en regelgeving en niet-gecorrigeerde afwijkingen met betrekking tot activiteiten bij de serviceorganisatie 19 Rapportage door de auditor van de gebruikersorganisatie Toepassingsgerichte en overige verklarende teksten Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie, met inbegrip van de interne beheersing A1-A23 Responding to the Assessed Risks of Material Misstatement A24-A39 Manieren om in te spelen op de ingeschatte risico s op een afwijking van materieel belang A24-A39 Page 1 of 31

2 Type 1 and Type 2 Reports that Exclude the Services of a Subservice Organization Fraud, Non-Compliance with Laws and Regulations and Uncorrected Misstatements in Relation to Activities at the Service Organization Reporting by the User Auditor A40 A41 A42-A44 Type 1- en type 2-rapporten waarin de diensten van een subserviceorganisatie worden uitgesloten Fraude, niet-naleving van wet- en regelgeving en niet-gecorrigeerde afwijkingen met betrekking tot activiteiten bij de serviceorganisatie Rapportage door de auditor van de gebruikersorganisatie A40 A41 A42-A44 Introduction Scope of this ISA Inleiding Toepassingsgebied van deze ISA 1. This International Standard on Auditing (ISA) deals with the user auditor s responsibility to obtain sufficient appropriate audit evidence when a user entity uses the services of one or more service organizations. Specifically, it expands on how the user auditor applies ISA and ISA in obtaining an understanding of the user entity, including internal control relevant to the audit, sufficient to identify and assess the risks of material misstatement and in designing and performing further audit procedures responsive to those risks. 2. Many entities outsource aspects of their business to organizations that provide services ranging from performing a specific task under the direction of an entity to replacing an entity s entire business units or functions, such as the tax compliance function. Many of the services provided by such organizations are integral to the entity s business operations; however, not all those services are relevant to the audit. 3. Services provided by a service organization are relevant to the audit of a user entity s financial statements when those services, and the controls over them, are part of the user entity s information system, including related business processes, relevant to financial reporting. Although most controls at the service organization are likely to relate to financial reporting, there may be other controls that may also be relevant to the audit, such as controls over the safeguarding of assets. A service 1. Deze International Standard on Auditing (ISA) behandelt de verantwoordelijkheid van de auditor van de gebruikersorganisatie om voldoende en geschikte controleinformatie te verkrijgen wanneer een gebruikersorganisatie gebruikmaakt van de diensten van een of meer serviceorganisaties. In deze standaard wordt met name uiteengezet hoe de auditor van de gebruikersorganisatie ISA en ISA toepast om een inzicht te verwerven in de gebruikersorganisatie, met inbegrip van de voor de controle relevante interne beheersing, dat hem in staat stelt de risico s op een afwijking van materieel belang te identificeren en in te schatten, en om verdere controlewerkzaamheden die op die risico s inspelen, op te zetten en uit te voeren. 2. Veel entiteiten besteden aspecten van hun bedrijfsvoering uit aan organisaties die diensten verlenen variërend van de uitvoering van een specifieke taak onder de leiding van de entiteit tot de vervanging van volledige bedrijfsonderdelen of bedrijfsfuncties van de entiteit, zoals de fiscale compliancefunctie. Veel van de diensten die door dergelijke organisaties worden verleend, vormen een integrerend onderdeel van de bedrijfsactiviteiten van de entiteit; niet al deze diensten zijn echter relevant voor de controle. 3. Diensten die door een serviceorganisatie worden verleend, zijn relevant voor de controle van de financiële overzichten van een gebruikersorganisatie wanneer die diensten, en de desbetreffende interne beheersingsmaatregelen, deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van de gebruikersorganisatie, met inbegrip van daarmee verband houdende bedrijfsprocessen. Hoewel de meeste interne beheersingsmaatregelen bij de ISA 315, Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment. ISA 330, The Auditor s Responses to Assessed Risks. ISA 315 Risico s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving. ISA 330 Inspelen door de auditor op ingeschatte risico s. Page 2 of 31

3 organization s services are part of a user entity s information system, including related business processes, relevant to financial reporting if these services affect any of the following: The classes of transactions in the user entity s operations that are significant to the user entity s financial statements; The procedures, within both information technology (IT) and manual systems, by which the user entity s transactions are initiated, recorded, processed, corrected as necessary, transferred to the general ledger and reported in the financial statements; serviceorganisatie waarschijnlijk betrekking hebben op financiële verslaggeving, kunnen er andere interne beheersingsmaatregelen voorhanden zijn die ook relevant zijn voor de controle, zoals de interne beheersing met betrekking tot de bescherming van activa. De diensten van een serviceorganisatie maken deel uit van het voor de financiële verslaggeving relevante informatiesysteem van een gebruikersorganisatie, met inbegrip van daarmee verband houdende bedrijfsprocessen, indien zij invloed hebben op een of meer van de volgende aspecten: de transactiestromen in de activiteiten van de gebruikersorganisatie die significant zijn voor de financiële overzichten van de gebruikersorganisatie; (d) (e) The related accounting records, either in electronic or manual form, supporting information and specific accounts in the user entity s financial statements that are used to initiate, record, process and report the user entity s transactions; this includes the correction of incorrect information and how information is transferred to the general ledger; How the user entity s information system captures events and conditions, other than transactions, that are significant to the financial statements; The financial reporting process used to prepare the user entity s financial statements, including significant accounting estimates and disclosures; and de procedures, zowel in IT-systemen als in de handmatige systemen, waardoor de transacties van de gebruikersorganisatie tot stand worden gebracht, vastgelegd, verwerkt, naargelang nodig gecorrigeerd, overgenomen in het grootboek en in de financiële overzichten gerapporteerd; de daarmee verband houdende administratieve vastleggingen, in elektronische dan wel in handmatige vorm, onderbouwende informatie en specifieke in de financiële overzichten van de gebruikersorganisatie opgenomen rekeningen die voor het totstandbrengen, vastleggen, verwerken en rapporteren van transacties van de gebruikersorganisatie worden gebruikt; dit omvat de correctie van onjuiste informatie en de wijze waarop informatie in het grootboek wordt verwerkt. (f) Controls surrounding journal entries, including non-standard journal entries used to record non-recurring, unusual transactions or adjustments. (d) de wijze waarop in het informatiesysteem van de gebruikersorganisatie gebeurtenissen en omstandigheden, uitgezonderd transacties, die significant zijn voor de financiële overzichten, worden vastgelegd; (e) het proces van financiële verslaggeving dat wordt gebruikt om de financiële overzichten van de gebruikersorganisatie op te stellen, met inbegrip van significante schattingen en toelichtingen; en (f) interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige, ongebruikelijke transacties of correcties vast te leggen. 4. The nature and extent of work to be performed by the user auditor regarding the services provided by a service organization depend on the nature and significance of those services to the user entity and the relevance of those services to the audit. 4. De aard en de omvang van de werkzaamheden die de auditor van de gebruikersorganisatie moet uitvoeren met betrekking tot de door een serviceorganisatie verleende diensten, zijn afhankelijk van de aard en de significantie van die diensten voor de gebruikersorganisatie en van de relevantie van die diensten voor de controle. Page 3 of 31

4 5. This ISA does not apply to services provided by financial institutions that are limited to processing, for an entity s account held at the financial institution, transactions that are specifically authorized by the entity, such as the processing of checking account transactions by a bank or the processing of securities transactions by a broker. In addition, this ISA does not apply to the audit of transactions arising from proprietary financial interests in other entities, such as partnerships, corporations and joint ventures, when proprietary interests are accounted for and reported to interest holders. 5. Deze ISA is niet van toepassing op diensten van financiële instellingen die beperkt blijven tot het verwerken, op een bij die financiële instelling door de entiteit aangehouden rekening, van transacties die specifiek door de entiteit worden geautoriseerd, zoals het verwerken van transacties op de lopende rekening door een bank of het verwerken van effectentransacties door een effectenmakelaar. Deze ISA is ook niet van toepassing op de controle van transacties die voortvloeien uit eigendomsbelangen in andere entiteiten zoals maatschappen, vennootschappen en joint ventures, wanneer de eigendomsbelangen administratief zijn verwerkt en aan de belanghebbenden zijn gemeld. Effective Date 6. This ISA is effective for audits of financial statements for periods beginning on or after December 15, Objectives 7. The objectives of the user auditor, when the user entity uses the services of a service organization, are: To obtain an understanding of the nature and significance of the service provided by the service organization and their effect on the user entity s internal control relevant to the audit, sufficient to identify and assess the risks of material misstatement; and To design and perform audit procedures responsive to those risks. Ingangsdatum 6. Deze ISA is van toepassing op controles van financiële overzichten over verslagperioden die op of na 15 december 2009 aanvangen. Doelstellingen 7. De doelstellingen van de auditor van de gebruikersorganisatie, wanneer die gebruikersorganisatie gebruikmaakt van de diensten van een serviceorganisatie: zijn: het verwerven van een inzicht in de aard en de significantie van de door de serviceorganisatie verleende diensten en in het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt om de risico s op een afwijking van materieel belang te identificeren en in te schatten; en het opzetten en uitvoeren van controlewerkzaamheden die op die risico s inspelen. Definitions 8. For purposes of the ISAs, the following terms have the meanings attributed below: Complementary user entity controls Controls that the service organization assumes, in the design of its service, will be implemented by user entities, and which, if necessary to achieve control objectives, are identified in the description of its system. Definities 8. Voor de toepassing van de ISA s hebben onderstaande termen de volgende betekenis: aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie: interne beheersingsmaatregelen waarvan de serviceorganisatie, bij het opzetten van de dienst, aanneemt dat zij door de gebruikersorganisatie zullen Page 4 of 31

5 Report on the description and design of controls at a service organization (referred to in this ISA as a type 1 report) A report that comprises: worden geïmplementeerd en die zij in de beschrijving van haar systeem vermeldt indien ze noodzakelijk zijn om interne beheersingsdoelstellingen te bereiken. (1) A description, prepared by management of the service organization, of the service organization s system, control objectives and related controls that have been designed and implemented as at a specified date; and rapport over de beschrijving en de opzet van interne beheersingsmaatregelen bij een serviceorganisatie (in deze ISA type 1-rapport genoemd): een rapport dat bevat: (2) A report by the service auditor with the objective of conveying reasonable assurance that includes the service auditor s opinion on the description of the service organization s system, control objectives and related controls and the suitability of the design of the controls to achieve the specified control objectives. (1) een door het management van de serviceorganisatie opgestelde beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen die op een gegeven datum opgezet en geïmplementeerd zijn ; en (d). (e). Report on the description, design, and operating effectiveness of controls at a service organization (referred to in this ISA as a type 2 report) A report that comprises: (i) A description, prepared by management of the service organization, of the service organization s system, control objectives and related controls, their design and implementation as at a specified date or throughout a specified period and, in some cases, their operating effectiveness throughout a specified period; and (ii) A report by the service auditor with the objective of conveying reasonable assurance that includes: 1. The service auditor s opinion on the description of the service organization s system, control objectives and related controls, the suitability of the design of the controls to achieve the specified control objectives, and the operating effectiveness of the controls; and 2. A description of the service auditor s tests of the controls and the results thereof. Service auditor An auditor who, at the request of the service organization, provides an assurance report on the controls of a service organization. Service organization A third-party organization (or segment of a thirdparty organization) that provides services to user entities that are part of those entities information systems relevant to financial reporting. (2) een rapport van de auditor van de serviceorganisatie dat ertoe strekt een redelijke mate van zekerheid te verschaffen en waarin hij zijn oordeel geeft over de beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen en over de geschiktheid van de opzet van de interne beheersingsmaatregelen voor het bereiken van de gespecificeerde interne beheersingsdoelstellingen. rapport over de beschrijving, opzet en effectieve werking van interne beheersingsmaatregelen bij een serviceorganisatie (in deze ISA type 2- rapport genoemd): een rapport dat bevat: (i) een door het management van de serviceorganisatie opgestelde beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen, de opzet en de implementatie ervan op een gegeven datum of gedurende een gegeven periode, en in bepaalde gevallen de effectieve werking ervan gedurende een gegeven periode; en (ii) een rapport van de auditor van de serviceorganisatie dat ertoe strekt een redelijke mate van zekerheid te verschaffen en waarin hij: 1. zijn oordeel geeft over de beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen, over de geschiktheid van de opzet van de interne beheersingsmaatregelen voor het bereiken van de gespecificeerde interne beheersingsdoelstellingen alsmede over de effectieve werking van de interne beheersingsmaatregelen; en Page 5 of 31

6 (f). Service organization s system The policies and procedures designed, implemented and maintained by the service organization to provide user entities with the services covered by the service auditor s report. 2. een beschrijving geeft van de toetsingen van de interne beheersingsmaatregelen die hij heeft verricht en de resultaten daarvan. (g). (h). (i). Subservice organization A service organization used by another service organization to perform some of the services provided to user entities that are part of those user entities information systems relevant to financial reporting. User auditor An auditor who audits and reports on the financial statements of a user entity. User entity An entity that uses a service organization and whose financial statements are being audited. (d) (e) (f) auditor van de serviceorganisatie: een auditor die, op verzoek van de serviceorganisatie, een assurancerapport uitbrengt over de interne beheersingsmaatregelen van die organisatie. serviceorganisatie: een derde organisatie (of onderdeel van een derde organisatie) die diensten verleent aan gebruikersorganisaties, welke diensten deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van die gebruikersorganisaties. systeem van een serviceorganisatie: de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet, geïmplementeerd en onderhouden om gebruikersorganisaties de in het rapport van de auditor van de serviceorganisatie beoordeelde diensten te verlenen. (g) subserviceorganisatie: een serviceorganisatie waarvan door een andere serviceorganisatie gebruik wordt gemaakt om enkele van de aan gebruikersorganisaties verleende diensten te verrichten, welke diensten deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van die gebruikersorganisaties. (h) auditor van de gebruikersorganisatie: een auditor die de financiële overzichten van een gebruikersorganisatie controleert en daarover verslag uitbrengt. (i) gebruikersorganisatie: een entiteit die gebruikmaakt van een serviceorganisatie en waarvan de financiële overzichten worden gecontroleerd. Requirements Obtaining an Understanding of the Services Provided by a Service Organization, Including Internal Control Vereisten Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie, met inbegrip van de interne beheersing Page 6 of 31

7 9. When obtaining an understanding of the user entity in accordance with ISA 315, 5 the user auditor shall obtain an understanding of how a user entity uses the services of a service organization in the user entity s operations, including: (Ref: Para. A1-A2) 9. Bij het verwerven van inzicht in de gebruikersorganisatie overeenkomstig ISA dient de auditor van de gebruikersorganisatie inzicht te verwerven in de wijze waarop die organisatie bij haar activiteiten gebruikmaakt van de diensten van een serviceorganisatie, waaronder: (Zie Par. A1-A2) (d) The nature of the services provided by the service organization and the significance of those services to the user entity, including the effect thereof on the user entity s internal control; (Ref: Para. A3-A5) The nature and materiality of the transactions processed or accounts or financial reporting processes affected by the service organization; (Ref: Para. A6) The degree of interaction between the activities of the service organization and those of the user entity; and (Ref: Para. A7) The nature of the relationship between the user entity and the service organization, including the relevant contractual terms for the activities undertaken by the service organization. (Ref: Para. A8-A11) de aard van de diensten die door de serviceorganisatie worden verleend en de significantie van die diensten voor de gebruikersorganisatie, met inbegrip van het effect ervan op de interne beheersing van de gebruikersorganisatie; (Zie Par. A3-A5) de aard en de materialiteit van de verwerkte transacties, rekeningen of financiële verslaggevingsprocessen waarop de serviceorganisatie invloed heeft; (Zie Para. A6) de mate waarin er interactie bestaat tussen de activiteiten van de serviceorganisatie en die van de gebruikersorganisatie; en (Zie Par. A7) (d) de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie, met inbegrip van de relevante contractuele voorwaarden betreffende de door de serviceorganisatie uitgevoerde werkzaamheden. (Zie Par. A8-A11) 10. When obtaining an understanding of internal control relevant to the audit in accordance with ISA 315, 7 the user auditor shall evaluate the design and implementation of relevant controls at the user entity that relate to the services provided by the service organization, including those that are applied to the transactions processed by the service organization. (Ref: Para. A12-A14) 11. The user auditor shall determine whether a sufficient understanding of the nature and significance of the services provided by the service organization and their effect on the user entity s internal control relevant to the audit has been obtained to provide a basis for the identification and assessment of risks of material 10. Bij het verwerven van inzicht in de voor de controle relevante interne beheersing overeenkomstig ISA dient de auditor van de gebruikersorganisatie een evaluatie te verrichten van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten, met inbegrip van de maatregelen die worden toegepast op de door de serviceorganisatie verwerkte transacties. (Zie Par. A12-A14) 11. De auditor van de gebruikersorganisatie dient te bepalen of hij een toereikend inzicht heeft verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt de ISA 315, paragraph 11. ISA 315, paragraaf 11. ISA 315, paragraph 12, ISA 315, paragraaf 12. Page 7 of 31

8 misstatement. risico s op een afwijking van materieel belang te identificeren en in te schatten. 12. If the user auditor is unable to obtain a sufficient understanding from the user entity, the user auditor shall obtain that understanding from one or more of the following procedures: 12. Wanneer de auditor van de gebruikersorganisatie geen toereikend inzicht kan verwerven via de gebruikersorganisatie, dient hij dit inzicht te verwerven via een of meer van de volgende werkzaamheden: Obtaining a type 1 or type 2 report, if available; het verkrijgen van een type 1- of type 2-rapport, indien beschikbaar; Contacting the service organization, through the user entity, to obtaining specific information; het opnemen van contact met de serviceorganisatie, via de gebruikersorganisatie, om specifieke informatie te verkrijgen; Visiting the service organization and performing procedures that will provide the necessary information about the relevant controls at the service organization; or het bezoeken van de serviceorganisatie en het uitvoeren van werkzaamheden die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie; of (d) Using another auditor to perform procedures that will provide the necessary information about the relevant controls at the service organization. (Ref: Para. A15-A20) (d) het gebruikmaken van een andere auditor om werkzaamheden te laten uitvoeren die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie. (Zie Par. A15-A20) Using a Type 1 or Type 2 Report to Support the User Auditor s Understanding of the Service Organization Gebruik van een type 1- of type 2-rapport door de auditor van de gebruikersorganisatie om zijn inzicht in de serviceorganisatie te ondersteunen 13. In determining the sufficiency and appropriateness of the audit evidence provided by a type 1 or type 2 report, the user auditor shall be satisfied as to: The service auditor s professional competence and independence from the service organization; and The adequacy of the standards under which the type 1 or type 2 report was issued. (Ref: Para. A 21) 14. If the user auditor plans to use a type 1 or type 2 report as audit evidence to support the user auditor s understanding about the design and implementation of controls at the service organization, the user auditor shall: Evaluate whether the description and design of controls at the service organization is at a date or for a period that is appropriate for the user 13. Bij het bepalen of de controle-informatie in een type 1- of type 2-rapport voldoende en geschikt is, dient de auditor van de gebruikersorganisatie ervan overtuigd te zijn dat: de auditor van de serviceorganisatie vakbekwaam is en onafhankelijk van de serviceorganisatie; en de standaarden op basis waarvan het type 1- of type 2-rapport is uitgebracht, adequaat zijn. (Zie Par. A21) 14. Wanneer de auditor van de gebruikersorganisatie van plan is een type 1- of type 2-rapport te gebruiken als controle-informatie om zijn inzicht in de opzet en de implementatie van de interne beheersingsmaatregelen bij de serviceorganisatie te ondersteunen, dient hij: te evalueren of de beschrijving en de opzet van de interne Page 8 of 31

9 auditor s purposes; Evaluate the sufficiency and appropriateness of the evidence provided by the report for the understanding of the user entity s internal control relevant to the audit; and Determine whether complementary user entity controls identified by the service organization are relevant to the user entity and, if so, obtain an understanding of whether the user entity has designed and implemented such controls. (Ref: Para. A22-A23) beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden ; te evalueren of de informatie in het rapport voldoende en geschikt is om inzicht te verwerven in de voor de controle relevante interne beheersing van de gebruikersorganisatie; en te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven wat betreft vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd. (Zie Par. A22- A23) Responding to the Assessed Risks of Material Misstatement 15. In responding to assessed risks in accordance with ISA 330, the user auditor shall: Tests of Controls Determine whether sufficient appropriate audit evidence concerning the relevant financial statement assertions is available from records held at the user entity; and, if not, Perform further audit procedures to obtain sufficient appropriate audit evidence or use another auditor to perform those procedures at the service organization on the user auditor s behalf. (Ref: Para. A24-A28) 16. When the user auditor s risk assessment includes an expectation that controls at the service organization are operating effectively, the user auditor shall obtain audit evidence about the operating effectiveness of those controls from one or more of the following procedures: Obtaining a type 2 report, if available; Performing appropriate tests of controls at the service organization; or Using another auditor to perform tests of controls at the service organization on behalf of the user auditor. (Ref: Para. A29-A30) Manieren om in te spelen op de ingeschatte risico s op een afwijking van materieel belang 15. Bij het inspelen op ingeschatte risico s overeenkomstig ISA 330 dient de auditor van de gebruikersorganisatie: te bepalen of er voldoende en geschikte controle-informatie over de relevante in de financiële overzichten opgenomen beweringen beschikbaar is op basis van vastleggingen bij de gebruikersorganisatie; en, zo niet, verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controle-informatie te verkrijgen dan wel gebruik te maken van een andere auditor om die werkzaamheden namens hem bij de serviceorganisatie te laten uitvoeren. (Zie Par. A24-A28) Toetsingen van interne beheersingsmaatregelen 16. Wanneer de auditor van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden: het verkrijgen van een type 2-rapport, indien beschikbaar; het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of het gebruikmaken van een andere auditor om namens hem toetsingen op Page 9 of 31

10 interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten. (Zie Par. A29-A30) Using a Type 2 Report as Audit Evidence that Controls at the Service Organization Are Operating Effectively 17. If, in accordance with paragraph 16, the user auditor plans to use a type 2 report as audit evidence that controls at the service organization are operating effectively, the user auditor shall determine whether the service auditor s report provides sufficient appropriate audit evidence about the effectiveness of the controls to support the user auditor s risk assessment by: (d) Evaluating whether the description, design and operating effectiveness of controls at the service organization is at a date or for a period that is appropriate for the user auditor s purposes; Determining whether complementary user entity controls identified by the service organization are relevant to the user entity and, if so, obtaining an understanding of whether the user entity has designed and implemented such controls and, if so, testing their operating effectiveness; Evaluating the adequacy of the time period covered by the tests of controls and the time elapsed since the performance of the tests of controls; and Evaluating whether the tests of controls performed by the service auditor and the results thereof, as described in the service auditor s report, are relevant to the assertions in the user entity s Financial statements and provide sufficient appropriate audit evidence to support the user auditor s risk assessment. (Ref: Para. A31-A39) Type 1 and Type 2 Reports that Exclude the Services of a Subservice Organization 18. If the user auditor plans to use a type 1 or a type 2 report that excludes the services provided by a subservice organization and those services are relevant to the audit of the user entity s financial statements, the user auditor shall apply the Gebruik van een type 2-rapport als controle-informatie voor de effectieve werking van interne beheersingsmaatregelen bij de serviceorganisatie 17. Indien de auditor van de gebruikersorganisatie overeenkomstig paragraaf 16 van plan is een type 2-rapport te gebruiken als controle-informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie, dient hij na te gaan of het rapport van de auditor van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door: te evalueren of de beschrijving, de opzet en de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden; te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven in de vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de effectieve werking ervan te toetsen; te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en (d) te evalueren of de door de auditor van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen. (Zie Par. A31-A39) Type 1- en type 2-rapporten waarin de diensten van een subserviceorganisatie worden uitgesloten 18. Indien de auditor van de gebruikersorganisatie van plan is gebruik te maken van een type 1- of type 2-rapport waarin de diensten van een subserviceorganisatie worden uitgesloten en die diensten zijn relevant voor de controle van de financiële Page 10 of 31

11 requirements of this ISA with respect to the services provided by the subservice organization. (Ref: Para. A40) Fraud, Non-Compliance with Laws and Regulations and Uncorrected Misstatements in Relation to Activities at the Service Organization overzichten van de gebruikersorganisatie, dient hij de vereisten van deze ISA toe te passen met betrekking tot de door de subserviceorganisatie verleende diensten. (Zie Par. A40) Fraude, niet-naleving van wet- en regelgeving en niet-gecorrigeerde afwijkingen met betrekking tot activiteiten bij de serviceorganisatie 19. The user auditor shall inquire of management of the user entity whether the service organization has reported to the user entity, or whether the user entity is otherwise aware of, any fraud, non-compliance with laws and regulations or uncorrected misstatements affecting the financial statements of the user entity. The user auditor shall evaluate how such matters affect the nature, timing and extent of the user auditor s further audit procedures, including the effect on the user auditor s conclusions and user auditor s report. (Ref: Para. A41) Reporting by the User Auditor 19. De auditor van de gebruikersorganisatie dient bij het management van deze organisatie inlichtingen in te winnen over de vraag of de serviceorganisatie haar melding heeft gedaan, dan wel of zij anderszins kennis heeft, van fraude, nietnaleving van wet- en regelgeving of niet-gecorrigeerde afwijkingen die op de financiële overzichten van de gebruikersorganisatie van invloed zijn. De auditor van de gebruikersorganisatie dient te evalueren op welke wijze dergelijke aangelegenheden invloed hebben op de aard, timing en omvang van zijn verdere controlewerkzaamheden, met inbegrip van het effect op zijn conclusies en op zijn controleverklaring. (Zie Par. A41) Rapportage door de auditor van de gebruikersorganisatie 20. The user auditor shall modify the opinion in the user auditor s report in accordance with ISA if the user auditor is unable to obtain sufficient appropriate audit evidence regarding the services provided by the service organization relevant to the audit of the user entity s financial statements. (Ref: Para. A42) 21. The user auditor shall not refer to the work of a service auditor in the user auditor s report containing an unmodified opinion unless required by law or regulation to do so. If such reference is required by law or regulation, the user auditor s report shall indicate that the reference does not diminish the user auditor s responsibility for the audit opinion. (Ref: Para. A43) 20. De auditor van de gebruikersorganisatie dient het oordeel in zijn controleverklaring overeenkomstig ISA aan te passen indien hij niet in staat is om voldoende en geschikte controle-informatie te verkrijgen over de diensten die door de serviceorganisatie worden verleend en die relevant zijn voor de controle van de financiële overzichten van de gebruikersorganisatie. (Zie Par. A42) 21. De auditor van de gebruikersorganisatie dient in zijn controleverklaring waarin een goedkeurendgoedkeurend oordeel is opgenomen, niet naar de door een auditor van een serviceorganisatie uitgevoerde werkzaamheden te verwijzen, tenzij dit wordt vereist door wet- of regelgeving. Wanneer een dergelijke verwijzing door wet- en regelgeving wordt vereist, dient de auditor van de gebruikersorganisatie in zijn controleverklaring te vermelden dat die verwijzing niets afdoet aan zijn verantwoordelijkheid voor zijn controleoordeel. (Zie Par. A43) 9 10 ISA 705, Modifications to the Opinion in the Independent Auditor s Report, paragraph 6. ISA 705 Aanpassingen van het oordeel in de controleverklaring van de onafhankelijke auditor, paragraaf 6. Page 11 of 31

12 22. If reference to the work of a service auditor is relevant to an understanding of a modification to the user auditor s opinion, the user auditor s report shall indicate that such reference does not diminish the user auditor s responsibility for that opinion. (Ref: Para. A44) 22. Wanneer een verwijzing naar de door een auditor van een serviceorganisatie uitgevoerde werkzaamheden relevant is voor een inzicht in een aanpassing van het oordeel van de auditor van de gebruikersorganisatie, dient de auditor van de gebruikersorganisatie in zijn controleverklaring te vermelden dat die verwijzing niets afdoet aan zijn verantwoordelijkheid voor dat oordeel. (Zie Par. A44) Application and Other Explanatory Material Obtaining an Understanding of the Services Provided by a Service Organization, Including Internal Control Toepassingsgerichte en overige verklarende teksten Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie, met inbegrip van de interne beheersing Sources of Information (Ref: Para. 9) Bronnen van informatie (Zie Par. 9) A1. Information on the nature of the services provided by a service organization may be available from a wide variety of sources, such as: A1. Informatie over de aard van de door een serviceorganisatie verleende diensten kan uit een breed scala aan bronnen worden verkregen, zoals: User manuals. gebruikershandleidingen; System overviews. systeemoverzichten; Technical manuals. technische handleidingen; The contract or service level agreement between the user entity and the service organization. het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de serviceorganisatie; Reports by service organizations, internal auditors or regulatory authorities on controls at the service organization. Reports by the service auditor, including management letters, if available. rapporten van serviceorganisaties, interne auditors of regelgevende of toezichthoudende instanties over interne beheersingsmaatregelen bij de serviceorganisatie; rapporten van de auditor van de serviceorganisatie, met inbegrip van managementletters, indien beschikbaar. A2. Knowledge obtained through the user auditor s experience with the service organization, for example through experience with other audit engagements, may also be helpful in obtaining an understanding of the nature of the services A2. Kennis verkregen uit de ervaring die de auditor van de gebruikersorganisatie met de serviceorganisatie heeft, bijvoorbeeld via andere controleopdrachten, kan ook nuttig zijn om inzicht te verwerven in de aard van de door de serviceorganisatie Page 12 of 31

13 provided by the service organization. This may be particularly helpful if the services and controls at the service organization over those services are highly standardized. Nature of the Services Provided by the Service Organization (Ref: Para. 9) A3. A user entity may use a service organization such as one that processes transactions and maintains related accountability, or records transactions and processes related data. Service organizations that provide such services include, for example, bank trust departments that invest and service assets for employee benefit plans or for others; mortgage bankers that service mortgages for others; and application service providers that provide packaged software applications and a technology environment that enables customers to process financial and operational transactions. A4. Examples of service organization services that are relevant to the audit include: Maintenance of the user entity s accounting records. Management of assets. verleende diensten. Dit kan met name nuttig zijn als de diensten en de desbetreffende interne beheersingsmaatregelen bij de serviceorganisatie in hoge mate gestandaardiseerd zijn. Aard van de door de serviceorganisatie verleende diensten (Zie Para. 9) A3. Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie zoals een organisatie die transacties verwerkt en de daarmee verband houdende verantwoordingsplicht handhaaft of die transacties vastlegt en daaraan gerelateerde gegevens verwerkt. Onder serviceorganisaties die dergelijke diensten verlenen, vallen bijvoorbeeld trustafdelingen van banken die activa voor beloningsregelingen voor het personeel of voor anderen beleggen en beheren, hypotheekbankiers die hypotheken voor anderen beheren, en application service providers die softwarepakketten en een technische infrastructuur ter beschikking stellen zodat cliënten financiële en operationele transacties kunnen verwerken. A4. Voorbeelden van voor de controle relevante diensten van een serviceorganisatie zijn: het bijhouden van de administratieve vastleggingen van de gebruikersorganisatie; Initiating, recording or processing transactions as agent of the user entity. het beheren van activa; het als tussenpersoon voor de gebruikersorganisatie tot stand brengen, vastleggen of verwerken van transacties. Considerations Specific to Smaller Entities A5. Smaller entities may use external bookkeeping services ranging from the processing of certain transactions (for example, payment of payroll taxes) and maintenance of their accounting records to the preparation of their Financial statements. The use of such a service organization for the preparation of its financial statements does not relieve management of the smaller entity and, where appropriate, those charged with governance of their responsibilities for the financial statements. 11 Specifiek voor kleinere entiteiten geldende overwegingen A5. Kleinere entiteiten kunnen gebruikmaken van externe boekhoudkundige diensten variërend van het verwerken van bepaalde transacties (bijvoorbeeld de betaling van loonbelasting) en het bijhouden van de administratieve vastleggingen tot het opstellen van financiële overzichten. Wanneer een kleinere entiteit gebruikmaakt van een dergelijke serviceorganisatie om haar financiële overzichten op te stellen, ontheft dit haar management en, in voorkomend geval, de met governance belaste personen niet van hun verantwoordelijkheden voor de financiële overzichten ISA 200, Overall Objectives of the Independent Auditor and the Conduct of an Audit in Accordance with International Standards on Auditing, paragraphs 4 and A2-A3. ISA 200 Algehele doelstellingen van de onafhankelijke auditor, alsmede het uitvoeren van een controle overeenkomstig de International Standards on Auditing, de paragrafen 4 en A2-A3. Page 13 of 31

14 Nature and Materiality of Transactions Processed by the Service Organization (Ref: Para. 9) Aard en materialiteit van door de serviceorganisatie verwerkte transacties (Zie Par. 9) A6. A service organization may establish policies and procedures that affect the user entity s internal control. These policies and procedures are at least in part physically and operationally separate from the user entity. The significance of the controls of the service organization to those of the user entity depends on the nature of the services provided by the service organization, including the nature and materiality of the transactions it processes for the user entity. In certain situations, the transactions processed and the accounts affected by the service organization may not appear to be material to the user entity s financial statements, but the nature of the transactions processed may be significant and the user auditor may determine that an understanding of those controls is necessary in the circumstances. The Degree of Interaction between the Activities of the Service Organization and the User Entity (Ref: Para. 9) A7. The significance of the controls of the service organization to those of the user entity also depends on the degree of interaction between its activities and those of the user entity. The degree of interaction refers to the extent to which a user entity is able to and elects to implement effective controls over the processing performed by the service organization. For example, a high degree of interaction exists between the activities of the user entity and those at the service organization when the user entity authorizes transactions and the service organization processes and does the accounting for those transactions. In these circumstances, it may be practicable for the user entity to implement effective controls over those transactions. On the other hand, when the service organization initiates or initially records, processes, and does the accounting for the user entity s transactions, there is a lower degree of interaction between the two organizations. In these circumstances, the user entity may be unable to, or may elect not to, implement effective controls over these transactions at the user entity and may rely on controls at the service organization. Nature of the Relationship between the User Entity and the Service Organization (Ref: Para. 9(d)) A6. Een serviceorganisatie kan beleidslijnen en procedures vaststellen die van invloed zijn op de interne beheersing van de gebruikersorganisatie. Deze beleidslijnen en procedures staan ten minste gedeeltelijk fysiek en operationeel apart van de gebruikersorganisatie. De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt af van de aard van de door de serviceorganisatie verleende diensten, met inbegrip van de aard en de materialiteit van de transacties die zij voor de gebruikersorganisatie verwerkt. In bepaalde situaties kunnen de door de serviceorganisatie verwerkte transacties en de daardoor beïnvloede rekeningen niet van materieel belang lijken te zijn voor de financiële overzichten van de gebruikersorganisatie, maar de aard van de verwerkte transacties kan significant zijn en de auditor van de gebruikersorganisatie kan bepalen dat inzicht in die interne beheersingsmaatregelen in de omstandigheden noodzakelijk is. Mate van interactie tussen de activiteiten van de serviceorganisatie en de gebruikersorganisatie (Zie Par. 9) A7. De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt ook af van de mate van interactie tussen de activiteiten van beide organisaties. De mate van interactie verwijst naar in hoeverre de gebruikersorganisatie effectieve interne beheersingsmaatregelen voor de door de serviceorganisatie uitgevoerde verwerking kan toepassen en daadwerkelijk implementeert. Zo bestaat er een hoge mate van interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie wanneer de gebruikersorganisatie transacties autoriseert en de serviceorganisatie die transacties verwerkt en de administratieve verwerking ervan verzorgt. In deze omstandigheden kan het voor de gebruikersorganisatie praktisch uitvoerbaar zijn om effectieve interne beheersingsmaatregelen te implementeren voor die transacties. Wanneer de serviceorganisatie daarentegen transacties voor de gebruikersorganisatie tot stand brengt, of die transacties aanvankelijk vastlegt, verwerkt en de administratieve verwerking ervan verzorgt, is er een kleinere mate van interactie tussen de twee organisaties. In deze omstandigheden kan de gebruikersorganisatie niet in staat zijn om binnen de eigen organisatie effectieve interne beheersingsmaatregelen toe te passen voor deze transacties, of kan zij ervoor kiezen dit niet te doen, en kan zij steunen op interne beheersingsmaatregelen bij de serviceorganisatie. Aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie (Zie Par. 9(d)) A8. The contract or service level agreement between the user entity and the service A8. Het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de Page 14 of 31

15 organization may provide for matters such as: serviceorganisatie kan aangelegenheden regelen zoals: The information to be provided to the user entity and responsibilities for initiating transactions relating to the activities undertaken by the service organization; de aan de gebruikersorganisatie te verstrekken informatie en de verantwoordelijkheden voor het tot stand brengen van transacties die betrekking hebben op de door de serviceorganisatie uitgevoerde activiteiten; The application of requirements of regulatory bodies concerning the form of records to be maintained, or access to them; het toepassen van vereisten van regelgevende of toezichthoudende instanties die betrekking hebben op de vorm van of de toegang tot te bewaren vastleggingen; The indemnification, if any, to be provided to the user entity in the event of a performance failure; de eventuele schadeloosstelling die aan de gebruikersorganisatie moet worden betaald in het geval van een tekortschietende uitvoering; Whether the service organization will provide a report on its controls and, if so, whether such report would be a type 1 or type 2 report; Whether the user auditor has rights of access to the accounting records of the user entity maintained by the service organization and other information necessary for the conduct of the audit; and Whether the agreement allows for direct communication between the user auditor and the service auditor. of de serviceorganisatie een rapport zal uitbrengen over haar interne beheersingsmaatregelen en, zo ja, of een dergelijk rapport een type 1- of een type 2-rapport zal zijn; of de auditor van de gebruikersorganisatie het recht heeft op toegang tot de administratieve vastleggingen van de gebruikersorganisatie die door de serviceorganisatie wordt bijgehouden, alsmede tot andere informatie die noodzakelijk is voor het uitvoeren van de controle; en of de overeenkomst directe communicatie tussen de auditor van de gebruikersorganisatie en de auditor van de serviceorganisatie toestaat. A9. There is a direct relationship between the service organization and the user entity and between the service organization and the service auditor. These relationships do not necessarily create a direct relationship between the user auditor and the service auditor. When there is no direct relationship between the user auditor and the service auditor, communications between the user auditor and the service auditor are usually conducted through the user entity and the service organization. A direct relationship may also be created between a user auditor and a service auditor, taking into account the relevant ethical and confidentiality considerations. A user auditor, for example, may use a service auditor to perform procedures on the user auditor s behalf, such as: Tests of controls at the service organization; or Substantive procedures on the user entity s financial statement transactions and balances maintained by a service organization. A9. Er bestaat een directe relatie tussen de serviceorganisatie en de gebruikersorganisatie en tussen de serviceorganisatie en de auditor van de serviceorganisatie. Deze relaties creëren niet noodzakelijk een directe relatie tussen de auditor van de gebruikersorganisatie en de auditor van de serviceorganisatie. Wanneer er geen directe relatie tussen de auditor van de gebruikersorganisatie en de auditor van de serviceorganisatie bestaat, verloopt de communicatie tussen de auditor van de gebruikersorganisatie en de auditor van de serviceorganisatie gewoonlijk via de gebruikersorganisatie en de serviceorganisatie. Er kan ook een directe relatie worden gecreëerd tussen een auditor van een gebruikersorganisatie en een auditor van een serviceorganisatie, met inachtneming van de toepasselijke ethische en geheimhoudingsoverwegingen. Een auditor van een gebruikersorganisatie kan bijvoorbeeld gebruikmaken van een auditor van een serviceorganisatie om namens hem werkzaamheden uit te voeren zoals: toetsingen van interne beheersingsmaatregelen van de serviceorganisatie; of gegevensgerichte controles met betrekking tot de door een serviceorganisatie bijgehouden transacties en saldi in de financiële overzichten van de Page 15 of 31

16 Considerations Specific to Public Sector Entities A10. Public sector auditors generally have broad rights of access established by legislation. However, there may be situations where such rights of access are not available, for example when the service organization is located in a different jurisdiction. In such cases, a public sector auditor may need to obtain an understanding of the legislation applicable in the different jurisdiction to determine whether appropriate access rights can be obtained. A public sector auditor may also obtain or ask the user entity to incorporate rights of access in any contractual arrangements between the user entity and the service organization. A11. Public sector auditors may also use another auditor to perform tests of controls or substantive procedures in relation to compliance with law, regulation or other authority. Understanding the Controls Relating to Services Provided by the Service Organization (Ref: Para. 10) A12. The user entity may establish controls over the service organization s services that may be tested by the user auditor and that may enable the user auditor to conclude that the user entity s controls are operating effectively for some or all of the related assertions, regardless of the controls in place at the service organization. If a user entity, for example, uses a service organization to process its payroll transactions, the user entity may establish controls over the submission and receipt of payroll information that could prevent or detect material misstatements. These controls may include: Comparing the data submitted to the service organization with reports of information received from the service organization after the data has been processed. Recomputing a sample of the payroll amounts for clerical accuracy and reviewing the total amount of the payroll for reasonableness. gebruikersorganisatie. Overwegingen die specifiek voor entiteiten in de publieke sector gelden A10. Auditors in de publieke sector hebben over het algemeen ruime toegangsrechten die bij wet zijn vastgesteld. Er kunnen zich echter situaties voordoen waarin van dergelijke toegangsrechten geen gebruik kan worden gemaakt, bijvoorbeeld wanneer de serviceorganisatie in een ander rechtsgebied is gevestigd. In dergelijke gevallen kan een auditor in de publieke sector het noodzakelijk vinden om inzicht te verwerven in de wetgeving die van toepassing is in het andere rechtsgebied om na te gaan of passende toegangsrechten kunnen worden verkregen. Een auditor in de publieke sector kan ook toegangsrechten verkrijgen krachtens, of aan de gebruikersorganisatie vragen om deze op te nemen in, een contractuele overeenkomst tussen de gebruikersorganisatie en de serviceorganisatie. A11. Auditors in de publieke sector kunnen ook gebruikmaken van een andere auditor om toetsingen van interne beheersingsmaatregelen of gegevensgerichte controles te laten uitvoeren die betrekking hebben op de naleving van wet en regelgeving of andere van kracht zijnde voorschriften. Inzicht in de interne beheersingsmaatregelen die betrekking hebben op door de serviceorganisatie verleende diensten (Zie Par. 10) A12. De gebruikersorganisatie kan interne beheersingsmaatregelen voor diensten van de serviceorganisatie vaststellen die door de auditor van de gebruikersorganisatie kunnen worden getoetst, zodat deze kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor sommige of alle daarmee verband houdende beweringen, ongeacht de bij de serviceorganisatie bestaande interne beheersingsmaatregelen. Wanneer een gebruikersorganisatie bijvoorbeeld gebruikmaakt van een serviceorganisatie om haar loontransacties te verwerken, kan zij interne beheersingsmaatregelen met betrekking tot de verzending en ontvangst van looninformatie vaststellen die afwijkingen van materieel belang kunnen voorkomen of detecteren. Onder deze interne beheersingsmaatregelen vallen: het vergelijken van de aan de serviceorganisatie verzonden gegevens met informatierapporten van de serviceorganisatie nadat de gegevens zijn verwerkt; het herberekenen van een steekproef van de loonbedragen om deze op hun administratieve juistheid te toetsen, en het beoordelen van het totaalbedrag van de loonkosten om dit op redelijkheid te toetsen. Page 16 of 31

17 A13. In this situation, the user auditor may perform tests of the user entity s controls over payroll processing that would provide a basis for the user auditor to conclude that the user entity s controls are operating effectively for the assertions related to payroll transactions. A14. As noted in ISA 315, 13 in respect of some risks, the user auditor may judge that it is not possible or practicable to obtain sufficient appropriate audit evidence only from substantive procedures. Such risks may relate to the inaccurate or incomplete recording of routine and significant classes of transactions and account balances, the characteristics of which often permit highly automated processing with little or no manual intervention. Such automated processing characteristics may be particularly present when the user entity uses service organizations. In such cases, the user entity s controls over such risks are relevant to the audit and the user auditor is required to obtain an understanding of, and to evaluate, such controls in accordance with paragraphs 9 and 10 of this ISA. Further Procedures When a Sufficient Understanding Cannot Be Obtained from the User Entity (Ref: Para. 12) A15. The user auditor s decision as to which procedure, individually or in combination, in paragraph 12 to undertake, in order to obtain the information necessary to provide a basis for the identification and assessment of the risks of material misstatement in relation to the user entity s use of the service organization, may be influenced by such matters as: The size of both the user entity and the service organization; The complexity of the transactions at the user entity and the complexity of the services provided by the service organization; The location of the service organization (for example, the user auditor may decide to use another auditor to perform procedures at the service A13. In deze situatie kan de auditor van de gebruikersorganisatie toetsingen van de interne beheersingsmaatregelen van de gebruikersorganisatie met betrekking tot de loonadministratie verrichten zodat hij kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor de beweringen die betrekking hebben op de loontransacties. A14. Zoals uiteengezet in ISA , kan de auditor van de gebruikersorganisatie bij sommige risico s van oordeel zijn dat het niet mogelijk of praktisch uitvoerbaar is om voldoende en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen. Dergelijke risico s kunnen verband houden met de onnauwkeurige en onvolledige vastlegging van routinematige en significante transactiestromen of rekeningsaldi, waarvan de kenmerken vaak een hoge mate van geautomatiseerde gegevensverwerking met weinig of geen handmatige interventie mogelijk maken. Er kan met name sprake zijn van dergelijke geautomatiseerde verwerking wanneer de gebruikersorganisatie gebruikmaakt van serviceorganisaties. In dergelijke gevallen zijn de interne beheersingsmaatregelen van de gebruikersorganisatie die op dergelijke risico's betrekking hebben, relevant voor de controle en wordt van de auditor van de gebruikersorganisatie vereist dat hij inzicht verwerft in en een beoordeling verricht van dergelijke interne beheersingsmaatregelen overeenkomstig de paragrafen 9 en 10 van deze ISA. Verdere werkzaamheden wanneer er niet voldoende inzicht in de gebruikersorganisatie kan worden verkregen (Zie Par. 12) A15. De beslissing van de auditor van de gebruikersorganisatie over het controlemiddel dat hij, afzonderlijk of in combinatie, in het geval van paragraaf 12 zal inzetten om de noodzakelijke informatie te verkrijgen op basis waarvan hij de risico s op een afwijking van materieel belang kan identificeren en inschatten die betrekking heeft op het feit dat de gebruikersorganisatie gebruikmaakt van een serviceorganisatie, kan worden beïnvloed door aangelegenheden zoals: de omvang van zowel de gebruikersorganisatie als de serviceorganisatie; de complexiteit van de transacties bij de gebruikersorganisatie en de complexiteit van de door de serviceorganisatie verleende diensten; de locatie van de serviceorganisatie (de auditor van de gebruikersorganisatie ISA 315, paragraph 30. ISA 315, paragraaf 30. Page 17 of 31

18 organization on the user auditor s behalf if the service organization is in a remote location); Whether the procedure(s) is expected to effectively provide the user auditor with sufficient appropriate audit evidence; and The nature of the relationship between the user entity and the service organization. kan bijvoorbeeld besluiten om gebruik te maken van een andere auditor om namens hem werkzaamheden uit te voeren bij de serviceorganisatie wanneer deze zich op een verafgelegen locatie bevindt); de vraag of er van de werkzaamheden wordt verwacht dat zij de auditor van de gebruikersorganisatie daadwerkelijk voldoende en geschikte controleinformatie verschaffen; en de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie. A16. A service organization may engage a service auditor to report on the description and design of its controls (type 1 report) or on the description and design of its controls and their operating effectiveness (type 2 report). Type 1 or type 2 reports may be issued under [proposed] International Standard on Assurance Engagements (ISAE) or under standards established by an authorized or recognized standards setting organization (which may identify them by different names, such as Type A or Type B reports). A17. The availability of a type 1 or type 2 report will generally depend on whether the contract between a service organization and a user entity includes the provision of such a report by the service organization. A service organization may also elect, for practical reasons, to make a type 1 or type 2 report available to the user entities. However, in some cases, a type 1 or type 2 report may not be available to user entities. A18. In some circumstances, a user entity may outsource one or more significant business units or functions, such as its entire tax planning and compliance functions, or finance and accounting or the controllership function to one or more service organizations. As a report on controls at the service organization may not be available in these circumstances, visiting the service organization may be the most effective procedure for the user auditor to gain an understanding of controls at the service organization, as there is likely to be direct interaction of management of the user entity with management at the service organization. A16. Een serviceorganisatie kan een auditor de opdracht geven een rapport op te stellen over de beschrijving en de opzet van haar interne beheersingsmaatregelen (type 1- rapport) of over de beschrijving en de opzet alsook de effectieve werking van haar interne beheersingsmaatregelen (type 2-rapport). Type 1- of type2-rapporten kunnen worden uitgebracht overeenkomstig International Standard on Assurance Engagements (ISAE) dan wel overeenkomstig standaarden die zijn vastgesteld door een daartoe bevoegde of erkende organisatie (die een andere naam kan gebruiken, zoals type A- of type B-rapporten). A17. Of er een type 1-of type 2-rapport beschikbaar is, zal over het algemeen afhangen van de vraag of het contract tussen een serviceorganisatie en een gebruikersorganisatie voorziet in de opstelling van een dergelijk rapport door de serviceorganisatie. Een serviceorganisatie kan er, om praktische redenen, ook voor kiezen een type 1- of type-2 rapport beschikbaar te stellen aan haar gebruikersorganisaties. Het is echter mogelijk dat in sommige gevallen geen type 1- of type 2-rapport beschikbaar is voor gebruikersorganisaties. A18. In sommige omstandigheden kan een gebruikersorganisatie een of meer significante bedrijfsonderdelen of bedrijfsfuncties, zoals haar volledige fiscale planning- en compliancefuncties, haar financiële beheer en administratie of de controllerfunctie, aan een of meer serviceorganisaties uitbesteden. Omdat er in deze omstandigheden mogelijk geen rapport over de interne beheersingsmaatregelen bij de serviceorganisatie beschikbaar is, kan de meest effectieve methode voor de auditor van de gebruikersorganisatie om inzicht te verwerven in de interne beheersingsmaatregelen bij de serviceorganisatie, erin bestaan de serviceorganisatie te bezoeken, omdat het aannemelijk is dat er een directe interactie bestaat tussen het management van de gebruikersorganisatie en dat van de serviceorganisatie [Proposed] ISAE 3402, Assurance Reports on Controls at a Third Party Service Organization. [Voorgestelde] ISAE 3402 Assurancerapporten betreffende interne beheersingsmaatregelen bij een derde partij serviceorganisatie Page 18 of 31

19 A19. Another auditor may be used to perform procedures that will provide the necessary information about the relevant controls at the service organization. If a type 1 or type 2 report has been issued, the user auditor may use the service auditor to perform these procedures as the service auditor has an existing relationship with the service organization. The user auditor using the work of another auditor may find the guidance in ISA useful as it relates to understanding another auditor (including that auditor s independence and professional competence), involvement in the work of another auditor in planning the nature, extent and timing of such work, and in evaluating the sufficiency and appropriateness of the audit evidence obtained. A20. A user entity may use a service organization that in turn uses a subservice organization to provide some of the services provided to a user entity that are part of the user entity s information system relevant to financial reporting. The subservice organization may be a separate entity from the service organization or may be related to the service organization. A user auditor may need to consider controls at the subservice organization. In situations where one or more subservice organizations are used, the interaction between the activities of the user entity and those of the service organization is expanded to include the interaction between the user entity, the service organization and the subservice organizations. The degree of this interaction, as well as the nature and materiality of the transactions processed by the service organization and the subservice organizations are the most important factors for the user auditor to consider in determining the significance of the service organization s and subservice organization s controls to the user entity s controls. A19. Er kan van een andere auditor gebruik worden gemaakt om werkzaamheden te laten verrichten die de noodzakelijke informatie over de relevante interne beheersingsmaatregelen bij de serviceorganisatie verschaffen. Wanneer een type 1-of type 2-rapport is uitgebracht, kan de auditor van de gebruikersorganisatie gebruikmaken van de auditor van de serviceorganisatie om deze werkzaamheden uit te voeren omdat de auditor van de serviceorganisatie een bestaande relatie heeft met de serviceorganisatie. Wanneer de auditor van de gebruikersorganisatie zich op de werkzaamheden van een andere auditor baseert, kunnen de leidraden in ISA nuttig zijn, aangezien deze verband houden met het verwerven van inzicht in een andere auditor (met inbegrip van diens onafhankelijkheid en vakbekwaamheid) en met de betrokkenheid bij de werkzaamheden van een andere auditor bij het plannen van de aard, omvang en timing van dergelijke werkzaamheden en bij het evalueren van het voldoende en geschikt zijn van de verkregen controle-informatie. A20. Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie, die op haar beurt gebruikmaakt van een subserviceorganisatie voor het verlenen van sommige aan de gebruikersorganisatie verleende diensten die deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem. De subserviceorganisatie kan een entiteit zijn die losstaat van dan wel verbonden is met de serviceorganisatie. Een auditor van de gebruikersorganisatie kan het noodzakelijk vinden de interne beheersingsmaatregelen van de subserviceorganisatie te beschouwen. In omstandigheden waarbij er van een of meer subserviceorganisaties gebruik wordt gemaakt, wordt de interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie uitgebreid tot de interactie tussen de gebruikersorganisatie, de serviceorganisatie en de subserviceorganisaties. De mate van interactie alsmede de aard en materialiteit van de door de serviceorganisatie en de subserviceorganisaties verwerkte transacties zijn de belangrijkste factoren die de auditor van de gebruikersorganisatie moet overwegen om de significantie van de interne beheersingsmaatregelen van de serviceorganisatie en de subserviceorganisatie voor de interne beheersingsmaatregelen van de gebruikersorganisatie te bepalen. Using a Type 1 or Type 2 Report to Support the User Auditor s Understanding of the Service Organization (Ref: Para ) Gebruik van een type 1- of type 2-rapport door de auditor van de gebruikersorganisatie ter ondersteuning van zijn inzicht in de serviceorganisatie (Zie Par ) ISA 600, Special Considerations Audits of Group Financial Statements (Including the Work ofcomponent Auditors), paragraph 2, states: An auditor may find this ISA, adapted as necessary in the circumstances, useful when that auditor involves other auditors in the audit of financialstatements that are not group financial statements See also paragraph 19 of ISA 600. In ISA 600 Bijzondere overwegingen Controles van financiële overzichten van de groep (inclusief de werkzaamheden van auditors van groepsonderdelen), paragraaf 2, is bepaald: Een auditor kan deze ISA, naargelang nodig aan de omstandigheden aangepast, nuttig achten wanneer hij andere auditors betrekt bij de controle van financiële overzichten die niet tot de financiële overzichten van de groep behoren ( ). Zie ook paragraaf 19 van ISA 600. Page 19 of 31

20 A21. The user auditor may make inquiries about the service auditor to the service auditor s professional organization or other practitioners and inquire whether the service auditor is subject to regulatory oversight. The service auditor may be practicing in a jurisdiction where different standards are followed in respect of reports on controls at a service organization, and the user auditor may obtain information about the standards used by the service auditor from the standard setting organization. A21. De auditor van de gebruikersorganisatie kan inlichtingen over de auditor van de serviceorganisatie verzoeken bij diens beroepsorganisatie of bij andere beroepsbeoefenaren, en inlichtingen in te winnen over de vraag of de auditor van de serviceorganisatie aan toezicht onderworpen is. De auditor van de serviceorganisatie kan werkzaam zijn in een rechtsgebied waar andere standaarden worden gevolgd met betrekking tot rapportages over interne beheersingsmaatregelen bij een serviceorganisatie, en de auditor van de gebruikersorganisatie kan informatie over de door de auditor van de serviceorganisatie gebruikte standaarden verkrijgen bij de organisatie die deze standaarden vaststelt. A22. A type 1 or type 2 report, along with information about the user entity, may assist the user auditor in obtaining an understanding of: The aspects of controls at the service organization that may affect the processing of the user entity s transactions, including the use of subservice organizations; The flow of significant transactions through the service organization to determine the points in the transaction flow where material misstatements in the user entity s financial statements could occur; The control objectives at the service organization that are relevant to the user entity s financial statement assertions; and (d) Whether controls at the service organization are suitably designed and implemented to prevent or detect processing errors that could result in material misstatements in the user entity s financial statements. A type 1 or type 2 report may assist the user auditor in obtaining a sufficient understanding to identify and assess the risks of material misstatement. A type 1 report, however, does not provide any evidence of the operating effectiveness of the relevant controls. A22. Een type 1- of type 2-rapport kan, samen met informatie over de gebruikersorganisatie, de auditor van de gebruikersorganisatie inzicht helpen verwerven in: (d) de aspecten van interne beheersingsmaatregelen bij de serviceorganisatie die van invloed kunnen zijn op de verwerking van de transacties van de gebruikersorganisatie, met inbegrip van het gebruikmaken van subserviceorganisaties; de stroom van significante transacties door de serviceorganisatie om de punten in de transactiestromen te bepalen waar zich afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie zouden kunnen voordoen; de interne beheersingdoelstellingen bij de serviceorganisatie die relevant zijn voor de in de financiële overzichten van de gebruikersorganisatie opgenomen beweringen; en de vraag of de interne beheersingmaatregelen bij de serviceorganisatie toereikend zijn opgezet en geïmplementeerd om verwerkingsfouten die kunnen leiden tot afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie,te voorkomen of te detecteren. Een type 1- of type 2-rapport kan de auditor van de gebruikersorganisatie helpen voldoende inzicht te verwerven om de risico s op een afwijking van materieel belang te identificeren en in te schatten. Een type 1-rapport verstrekt echter geen controle-informatie over de effectieve werking van de relevante interne beheersingsmaatregelen. A23. Een type 1- of type 2-rapport dat van een datum is dan wel voor een periode geldt Page 20 of 31