ISAE 3402 en de internal auditor

Transcriptie

1 ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland

2 ISAE 3402 en de internal auditor Praktijkhandreiking Instituut van Internal Auditors Nederland

3 Disclosure Het IIA publiceert dit document voor informatieve en educatieve doeleinden. Deze praktijkhandreiking is niet bedoeld om definitieve antwoorden te geven voor specifieke individuele omstandigheden en is als zodanig slechts bedoeld als gids. IIA beveelt aan om altijd onafhankelijk deskundig advies in te winnen omtrent een specifieke situatie. Het IIA accepteert geen verantwoordelijkheid voor eenieder die uitsluitend vertrouwt op deze handreiking. Copyright Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor reproductie kunt u per aanvragen bij IIA via iia@iia.nl. Voorwoord De missie van IIA Nederland is om het beroep en vak internal audit in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal auditfunctie. Wij stellen ons ten doel de internal auditor op de hoogte te houden van de nieuwste ontwikkelingen binnen het vakgebied, zodat hij of zij daar vaktechnisch goed op in kan spelen. Begin 2008 hebben wij een praktijkhandreiking uitgebracht onder de titel SAS 70 en de interne auditor. Nu de ISAE (International Standard on Assurance Engagements) 3402 per 15 juni 2011 het oude SAS 70 rapport heeft vervangen was er voor IIA Nederland alle aanleiding tot een update te komen. Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep hier invulling aan gegeven, resulterend in een nieuwe praktijkhandreiking ISAE 3402 en de internal auditor. De werkgroep ISAE 3402 bestond uit René Ewals, Jan Ite Muller, Bas van Meegeren, Nicolette Nuijs (voorzitter) en Dennis Stabel. Wij willen de werkgroepleden bedanken voor hun inzet om de leden van IIA Nederland bekend te maken met de gevolgen van de nieuwe ISAE-standaard voor de internal auditor. Wij bevelen kennisneming van de inhoud van deze praktijkhandreiking van harte aan. drs. Sander Weisz RO CIA CCSA Voorzitter IIA Nederland drs. Harrie de Poot RA Bestuurslid IIA Nederland IIA werkgroep ISAE 3402 drs. René Ewals RE Jan Ite Muller RA RE drs. Bas van Meegeren RA RO CIA drs. Nicolette Nuijs RA (voorzitter) drs. Dennis Stabel RE CIA 5

4 Inhoud 1. Inleiding 8 2. ISAE De aanleiding: uitbesteding De oorsprong ISAE 3402 rapport: kenmerken en de inhoud ISAE 3402: rollen en verantwoordelijkheden ISAE 3402: huidig en toekomstig gebruik ISAE 3402 alternatieven ISAE 3402 versus SSAE ISAE 3402 bij de gebruikersorganisatie: 16 rollen van de internal auditor 3.1 Inleiding Rollen internal auditor van de gebruikersorganisatie Ex ante (voorafgaand aan het ISAE 3402 rapport) Tijdens (ISAE 3402 rapport ontvangen) Ex-post (na ontvangst ISAE 3402 rapport) ISAE 3402 bij de serviceorganisatie: 24 rollen van de internal auditor 4.1 Inleiding Rollen internal auditor van de serviceorganisatie Ex-ante (voorafgaand aan het ISAE 3402 rapport) Tijdens (ISAE 3402 traject) Ex-post (na afgifte ISAE 3402 rapport) Enkele praktische vraagstukken Onderuitbesteding Generiek of maatwerk? Gebruikerskring Gecertificeerde auditor 34 Bijlage 1 ISAE 3402 vergeleken 35 Bijlage 2 Sound practice voor bewoordingen 38 in ISAE 3402 rapporten Literatuur 41 7

5 Uitbesteding van bedrijfsprocessen heeft de afgelopen tien jaar wereldwijd een enorme vlucht genomen. De eindverantwoordelijkheid voor de uitbestede processen blijft echter rusten bij de bestuurders van de uitbesteder. Met de invoering van de Sarbanes Oxley wetgeving in 2002 is dit nog verder geformaliseerd. Deze wetgeving heeft ook de wereldwijde maatschappelijke tendens naar het afleggen van verantwoording verstevigd. Steeds vaker wordt de vraag gesteld of een serviceorganisatie aantoonbaar de processen beheerst ( in control is). 1. Inleiding Om te kunnen aantonen dat een serviceorganisatie de processen beheerst, wordt veel gebruik gemaakt van de Amerikaanse standaard SAS 70, waarover IIA Nederland in 2008 een praktijkhandreiking heeft geschreven. Inmiddels heeft de IAASB (als onderdeel van IFAC) een nieuwe wereldstandaard gepubliceerd, die de SAS 70 standaard 1 vervangt: ISAE (International Standard on Assurance Engagements) 3402, Assurance reports on controls at service organizations. De vertaling daarvan in de Nederlandse regelgeving bij NOREA en NBA 2 heeft geresulteerd in de Richtlijn respectievelijk Standaard 3 Assurancerapporten betreffende interne beheersmaatregelen bij een serviceorganisatie. Met de invoering van deze nieuwe ISAE 3402 is een aantal wijzigingen doorgevoerd die een impact kunnen hebben op de wijze waarop de audit wordt uitgevoerd, maar ook op de rol van de internal auditor. Zo wordt meer aandacht geschonken aan de verantwoordelijkheid van de bestuurder van de serviceorganisatie en wordt ook de rol van de internal auditor expliciet onderdeel van de rapportage. Ook bij de nieuwe ISAE bestaan mogelijkheden om als internal auditor een goede bijdrage te leveren aan de kwaliteit van de interne beheersing. In deze praktijkhandreiking, die de bestaande handreiking over SAS 70 vervangt, besteden wij niet alleen aandacht aan de verschillen en overeenkomsten tussen beide standaarden, doch werken die ook uit naar praktische modellen. Hierbij hebben wij getracht om de onderdelen die niet feitelijk wijzigen, zoveel mogelijk intact te laten. In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van ISAE In de hoofdstukken 3 en 4 worden de rollen van de internal auditor in een ISAE 3402 traject bij respectievelijk de gebruikersorganisatie en de serviceorganisatie verder uitgewerkt. 1 In de Verenigde Staten is op basis van ISAE 3402 een nieuwe eigen standaard gemaakt, de SSAE 16 (Statement on Standards for Attestation Engagement, Reporting on controls at a Service Organization). 2 NIVRA is per 1 januari 2011 samengegaan met het NOVAA, waarbij de naamgeving vooruitlopend op de formele fusie is veranderd in NBA (Nederlandse Beroepsorganisatie van Accountants). 3 NOREA en NBA hebben een gezamenlijke vertaling gemaakt van ISAE NOREA heeft het definitieve stuk genoemd Richtlijn 3402 en het NBA COS In deze publicatie wordt het geheel steeds met ISAE 3402 aangeduid. 4 Geldig voor assurancerapporten de betrekking hebben op verslagperiodes eindigend op of na 15 juni

6 2.1 De aanleiding: uitbesteding Uitbesteding heeft geleid tot een nieuwe indeling van organisaties: zij die uitbesteden (de gebruikersorganisaties) en zij die de uitbestede services voor hun rekening nemen (de serviceorganisaties). Zowel bedrijfsprocessen als IT-processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de IT-systemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele bedrijfs- en administratieve processen uitbesteed, inclusief IT. 2. ISAE 3402 Bij uitbesteding blijft de gebruikersorganisatie onverminderd verantwoordelijk voor de uitbestede processen. Ook voor het uitbestede gedeelte moet de gebruikersorganisatie aantoonbaar kunnen voldoen aan de eisen die daaraan worden gesteld: Externe accountant: wanneer het uitbestede proces is gekoppeld aan relevante posten van de jaarrekening, heeft de externe accountant voor de jaarrekeningcontrole van de gebruikersorganisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de serviceorganisatie. Toezichthouders: financiële instellingen hebben te maken met specifieke eisen van toezichthouders, bijvoorbeeld Solvency II, Bazel III. De serviceorganisatie moet dus op zoek naar een middel om de informatiebehoefte van de gebruikersorganisatie in te vullen. Een geschikt middel is de ISAE 3402, die hierin de veelgebruikte standaard SAS 70 opvolgt. 2.2 De oorsprong Het ISAE 3402 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een communicatiemiddel tussen de externe accountant van de gebruikersorganisatie en de externe auditor van de serviceorganisatie onderling in een situatie van uitbesteding: de auditor van de serviceorganisatie verstrekt met het rapport assurance aan de accountant van de gebruikersorganisatie. Dit rapport moet worden opgesteld conform de richtlijnen van ISAE Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar een assurancerapportage met COS 402 Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie. De oorspronkelijke ISAE 3402 standaard is inmiddels vertaald in het Nederlands en verankerd in de regelgeving van NOREA en NIVRA, in respectievelijk Richtlijn 3402 en COS ISAE 3402 rapport: kenmerken en de inhoud ISAE 3402 is geen normenkader, het betreft voorschriften voor de audit en de rapportage (rapportageformat) waarbij de opsteller zelf zijn normenset en beheersmaatregelen kiest (de 11

7 externe auditor toetst overigens wel de toereikendheid van de reikwijdte, de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen en passen bij de processen die onderdeel zijn van de reikwijdte). Er wordt onderscheid gemaakt in twee typen rapportages: type I over opzet en bestaan en type II over opzet en de werking van beheersmaatregelen over een bepaalde periode. De belangrijkste kenmerken 5 van het ISAE 3402 rapport zijn: Het betreft een assurancerapport, waarin een conclusie wordt getrokken met redelijke zekerheid ; Het rapport gaat over uitbestede processen, de beheersdoelstellingen en de beheersmaatregelen die nodig zijn om deze doelstellingen te realiseren; De beschreven processen en beheersmaatregelen moeten relevant zijn voor de jaarrekening van de gebruikersorganisatie; Het rapport beschrijft veelal zowel bedrijfsprocessen als IT; Het rapport heeft een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toestemming van de externe auditor, die de mededeling heeft verstrekt. Een ISAE 3402 rapport bevat de volgende onderdelen: De mededeling van het verantwoordelijke management van de serviceorganisatie; De mededeling van een externe auditor naar aanleiding van de audit op het ISAE 3402 rapport. Deze mededeling wordt in sectie I van het rapport opgenomen; De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau ( de COSO componenten Control Environment, Risk Assessment, Information & Communication en Monitoring ). Vaak wordt dit sectie II van het rapport genoemd; De beschrijving van de processen van de serviceorganisatie, de beheersdoelstellingen ( control objectives ) en beheersmaatregelen ( controls ). Deze zijn vaak opgenomen in sectie III; Een beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede processen maar de verantwoordelijkheid zijn van de gebruikersorganisatie (user control considerations); In geval van type II: De beschrijving van door de externe auditor uitgevoerde testwerkzaamheden en de uitkomsten daarvan; Naast de bovenstaande verplichte onderdelen kan een onderdeel Overige informatie aan het rapport worden toegevoegd, waarin belangrijke recente ontwikkelingen of bijvoorbeeld maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe auditor geen mededeling. 2.4 ISAE 3402: rollen en verantwoordelijkheden Het spelersveld van ISAE 3402 is als volgt in beeld gebracht: IT Infrastructuur Internal Audit Serviceorganisatie IT Applicaties Figuur 1: Spelersveld Bedrijfsproces A Bedrijfsproces B IT Infrastructuur Internal Audit Gebruikersorganisatie Bedrijfsproces A Bedrijfsproces B Bedrijfsproces C De gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen. De externe accountant 6 van de gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan zijn behoefte voor de jaarrekeningcontrole van de gebruikersorganisatie. De serviceorganisatie: verantwoordelijk voor het ISAE 3402 rapport, met uitzondering van de mededeling en bevindingen zoals opgesteld door de externe auditor. IT Applicaties ISAE 3402 Goedgekeurd door de auditor Jaarrekening 3.2 Balans per 31 december (alle bedragen in ) (na bestemming/verwerking van het resultaat) ACTIEF Vlottende activa Vorderingen 2010 Debiteuren Overige vorderingen en overlopende activa Liquide 2009 middelen Totaal PASSIEF Eigen vermogen Algemene reserve Bestemmingsreserve kwaliteitstoetsingen Bestemmingsreserve Website Kortlopende schulden Af te dragen BTW Af te dragen loonheffing Crediteuren Overlopende passiva Totaal Rekening van baten en lasten (alle bedragen in ) Ledenbijdragen Bijdrage Seminars Bijdrage Examengelden Bijdrage Trainingen Bijdrage 2010 Congressen Bijdrage Bijdrage magazine-advertenties en kwaliteitstoetsingen Overige abonnementen baten Totaal Lasten Professional practices Commissies Overige lasten Bestuur Bureau Bijzondere lasten Som der lasten Saldo van baten en lasten 0 Financieel resultaat Operationeel resultaat boekjaar Kosten website Resultaat boekjaar Resultaatbestemming: Ontrekking/toevoeging aan bestemmingsreserve website Toevoeging aan algemene reserve Goedgekeurd door de auditor Deze cijfers zijn ontleend aan de jaarrekening Voor leden is de volledige jaarrekening opvraagbaar via de website van IIA Nederland. IIA Jaarverslag 2010.indd :50 De externe auditor van de serviceorganisatie (service auditor): verantwoordelijk voor zijn mededeling in het ISAE 3402 rapport en voor de uitgevoerde testwerkzaamheden beschreven in het rapport van de serviceorganisatie. 29 De internal auditor: wanneer de gebruikersorganisatie en/of de serviceorganisatie beschikken over een Internal Audit Functie (IAF), kunnen internal auditors op verschillende momenten rollen vervullen gedurende het ISAE 3402 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt. 5 Voor een volledig overzicht wordt verwezen naar COS 3402: Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie, de Nederlandse vertaling van de IAASB publicatie: ISAE 3402 Reporting on controls at a service organization, 19 December In deze publicatie worden de termen externe auditor en externe accountant gebruikt. Het onderscheid wordt bepaald door de formele achtergrond en taak: de externe auditor kan een register IT Auditor (RE) zijn of een registeraccountant (RA). Met externe accountant wordt bedoeld een registeraccountant (RA)

8 2.5 ISAE 3402: huidig en toekomstig gebruik ISAE 3402 is gerelateerd aan de jaarrekeningcontrole van de gebruikersorganisatie in een situatie van uitbesteding van onder andere operationele processen. De voorloper van ISAE 3402, de SAS 70, werd in voorkomende gevallen niet uitsluitend gebruikt voor de jaarrekeningcontrole. Wanneer partijen behoefte hadden aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de eisen op grond van de Wet op het Financieel Toezicht of van De Nederlandsche Bank met betrekking tot uitbesteding) kon dit met een SAS 70 rapport worden gefaciliteerd. Dit wordt in de ISAE 3402 standaard ook mogelijk gemaakt. Indien bijvoorbeeld de wet- en regelgeving of de toezichthouder vereisen dat bepaalde processen in de reikwijdte moeten zijn opgenomen, kan deze standaard daar ook in voorzien. Aspecten van effectiviteit en efficiëntie kunnen eveneens worden opgenomen in de reikwijdte van het rapport. Dat is echter niet anders dan thans in de SAS70 standaard mogelijk is. Hiervan wordt echter in de praktijk weinig gebruik gemaakt. 2.7 ISAE 3402 versus SSAE 16 Kort na de publicatie van ISAE 3402 heeft de AICPA haar opvolger van de SAS 70 standaard gepubliceerd, de SSAE 16 standaard (Statement on Standards for Attestation Engagements, reporting on Controls at a Service Organization). Door de AICPA is een aantal toevoegingen en wijzigingen aangebracht aan ISAE 3402 die het geheel passend maken voor de Amerikaanse regelgeving. Hierdoor zijn verschillen ontstaan tussen ISAE 3402 en SSAE 16, die echter niet materieel van aard zijn, doch wel andere werkzaamheden, formuleringen of verantwoordelijkheden omvatten. Voor nadere informatie over de verschillen wordt verwezen naar de literatuuropgave van deze praktijkhandreiking. Het is in principe mogelijk om gecombineerde rapporten op te stellen die voldoen aan beide standaarden. Dit is voornamelijk relevant voor ondernemingen die opdrachtgevers of deelnemingen hebben in de Verenigde Staten. 2.6 ISAE 3402 alternatieven De SAS 70 standaard is als voorganger van ISAE 3402 erg populair geworden. Om die reden valt te verwachten dat de opvolger in toenemende mate als standaard-onderdeel wordt meegenomen tijdens contractonderhandelingen tussen serviceorganisatie en gebruikersorganisatie. Er zijn echter ook alternatieven. Een ISAE 3402 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)kosten met zich mee. Dit is niet altijd noodzakelijk. Bijvoorbeeld wanneer assurance op onderdelen nodig is, zoals de IT-omgeving, of op specifieke beheersmaatregelen, die niet noodzakelijkerwijs zijn gerelateerd aan de jaarrekening. Een alternatief is een assurancerapport gebaseerd op de Richtlijn 3000 (NOREA) of de COS 3000 (NIVRA). Daarnaast bestaat de mogelijkheid om een bepaalde mate van zekerheid te verkrijgen op basis van specifiek overeengekomen werkzaamheden. De werkzaamheden en kosten verbonden aan dergelijke mededelingen zijn vaak lager dan bij een ISAE 3402, terwijl het wel mogelijk is een afdoende zekerheid te verstrekken dan wel te verkrijgen. Naast assurancerapportages, kan een gebruikersorganisatie, afhankelijk van haar informatieof assurancebehoefte, ook kijken naar kwaliteitskeurmerken van een serviceorganisatie, bijvoorbeeld ISO-certificeringen. Deze hebben een andere basis en bieden in tegenstelling tot ISAE 3402 geen assurance, maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikersorganisatie. Bijlage 1 bevat een vergelijking van ISAE 3402 met de COS 3000 en ISO-certificering

9 3.1 Inleiding Wet- en regelgeving vragen de gebruikersorganisatie aantoonbaar in control te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikersorganisatie aan de serviceorganisatie. Omdat het management van een gebruikersorganisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurancevraagstuk vaak te liggen bij de auditors: de externe auditor en de internal auditor. 3.2 Rollen internal auditor van de gebruikersorganisatie 3. ISAE 3402 bij de gebruikersorganisatie: rollen van de internal auditor De taken en verantwoordelijkheden van de externe auditor (van de gebruikersorganisatie) in een ISAE 3402 traject zijn beschreven in beroepsregels en vaktechnische voorschriften. Hiertoe is de controlestandaard COS 402 geactualiseerd. Deze standaard bevat een uitwerking van de factoren die in overweging moeten worden genomen bij de controle van entiteiten die gebruikmaken van serviceorganisaties (COS 402). Dit is strikt gereguleerd. Deze standaard behandelt onder meer de verantwoordelijkheid van de auditor van de gebruikersorganisatie voor het verkrijgen van voldoende en geschikte controle-informatie wanneer de gebruikersorganisatie aan één of meer serviceorganisaties processen heeft uitbesteed. COS richt zich in het bijzonder op hoe de auditor van de gebruikersorganisatie COS en COS toepast bij het verwerven van inzicht in de risicobeheersing van de aan de serviceorganisatie uitbestede processen. In het bijzonder betreft dit het voldoende onderkennen en inschatten van de risico s op een afwijking van materieel belang en voor het opzetten en uitvoeren van verdere controlewerkzaamheden aangaande de geconstateerde risico s. De internal auditor heeft echter een ander speelveld. Hij ondersteunt het management als onderdeel van het totale risicomanagement-raamwerk van de organisatie. In een ISAE 3402 traject kan de internal auditor grote toegevoegde waarde leveren. Vooral door goed begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij. COS 402 gaat over de verantwoordelijkheid van de externe accountant van de gebruikersorganisatie om voldoende en geschikte controle-informatie te verkrijgen wanneer een gebruikersorganisatie gebruik maakt van de diensten van één of meer serviceorganisaties. Door begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan de internal auditor zijn toegevoegde waarde tonen in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding. 7 COS 402, Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie. 8 COS 315, Het onderkennen en inschatten van de risico s van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving. 9 COS 330, De wijzen van inspelen door de accountant op ingeschatte risico s. 17

10 3.2.1 Ex ante (voorafgaand aan het ISAE 3402 rapport) In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht moet worden verkregen in de kwaliteit van de risicobeheersing van de uit te besteden processen, welke vragen hierbij moeten worden gesteld intern en aan de serviceorganisatie en hoe het assuranceproces zo efficiënt mogelijk kan worden ingericht Advisering management tijdens beginfase van uitbesteding Met het voornemen tot uitbesteding ontstaat ook een aantal vragen op het vlak van het voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een adviesrol. Vragen die de internal auditor bij het management onder de aandacht kan brengen zijn: Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikersorganisatie van toepassing is: Mag het proces worden uitbesteed? Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance-eisen van de gebruikersorganisatie: Welke regels worden geraakt? Wordt getoetst of de serviceorganisatie betrouwbaar is? Welke beheersmaatregelen zijn binnen de gebruikersorganisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht): Stellen wet- en regelgeving hier eisen aan? Wat is de aard en omvang van de beheersmaatregelen van de gebruikersorganisatie op de in- en uitgaande stromen richting de serviceorganisatie ( user controls )? Welke afspraken moeten bij het opstellen van het uitbestedingscontract worden opgenomen over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de serviceorganisatie. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract. De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding. In uitbestedingcontracten wordt veelal een right to audit bepaling opgenomen. Dit betekent dat de gebruikersorganisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de serviceorganisatie door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen; zo houdt de gebruikersorganisatie altijd het recht tot het doen van eigen waarnemingen. Overleg met de externe accountant De externe accountant van de gebruikersorganisatie is één van de primaire belanghebbenden bij het ISAE 3402 rapport van de serviceorganisatie. Voor het bepalen van zijn informatiebehoefte, zal de externe accountant beginnen met een analyse op basis van de jaarrekening van de gebruikersorganisatie: Welke posten worden geraakt door de uitbesteding, wat is de impact; in andere woorden: zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen. De reikwijdte van het ISAE 3402 rapport is strikt beperkt tot de processen en beheersmaatregelen gerelateerd aan de jaarrekeningcontrole ( relevant for reporting ) voor de gebruikersorganisatie. Hierbij geldt dat door de IAASB is onderkend dat beheersmaatregelen rondom operations van de serviceorganisatie en compliance met wet- en regelgeving ook relevant kunnen zijn voor de financiële verslaggeving van de gebruikersorganisatie. Wanneer daarnaast ook assurance wordt gewenst over processen die niet gerelateerd zijn aan de financiële verantwoording dient een audit op basis van de ISAE 3000 standaard te worden uitgevoerd. Toepasselijke wet- en regelgeving voor de gebruikersorganisatie Sarbanes Oxley stelt eisen aan de in de Verenigde Staten beursgenoteerde ondernemingen, waartoe onder meer het opnemen van een In control Statement behoort. Vanuit de serviceorganisatie kan hiervoor input worden geleverd met een ISAE 3402 rapport. Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT-risico s. Waar relevant of noodzakelijk zal de instelling de eigen beheersdoelstellingen, die deze aspecten borgen, willen terugvinden in het ISAE 3402 rapport van de serviceorganisatie. De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting serviceorganisatie controleert. Bij uitbesteding vindt er informatieuitwisseling plaats tussen de gebruikersorganisatie en de serviceorganisatie. De beheersmaatregelen die de gebruikersorganisatie heeft, beïnvloeden de assurancevraag aan de serviceorganisatie. Wanneer de gebruikersorganisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk zijn aan de aan de serviceorganisatie verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke totaalcontroles niet (kunnen) worden uitgevoerd. Risicoanalyse conform de eigen audit risicoanalyse methodiek Advisering management over inhoud ISAE 3402 De internal auditor beschikt veelal over een auditplanning gebaseerd op een risicoanalyse. De inhoud van de risicoanalyse kan goed worden benut als input voor de te bepalen informatiebehoefte De internal auditor die het management adviseert over de inhoud van het ISAE 3402 rapport, omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico s neemt hierbij onder meer het volgende in acht: en beheersmaatregelen van de processen. Overleg met de externe accountant; Wanneer op basis van interne inventarisatie de gewenste inhoud helder is, moet worden Wet- en regelgeving waar de gebruikersorganisatie aan moet voldoen; gewaarborgd dat de beheersdoelstellingen waarover assurance wordt gewenst, overeenkomen De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting serviceorganisatie met de beheersdoelstellingen van het ISAE 3402 rapport dat de serviceorganisatie controleert; gaat opleveren. Ter voorkoming van een mismatch achteraf, is het van het grootste belang De risicoanalyse van internal audit

11 dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzakelijke controle-informatie) tussen de betrokken partijen. Dit betekent dat: Een overleg plaatsvindt tussen gebruikersorganisatie, serviceorganisatie, de betrokken externe auditors aan beide kanten en de betrokken internal auditors. Voor alle partijen wordt vastgelegd wat in het ISAE 3402 rapport moet worden opgenomen: welke processen (reikwijdte), en mogelijk: welke beheersdoelstellingen. Wanneer sprake is van een nieuwe relatie tussen een gebruikersorganisatie en een serviceorganisatie, en de nieuwe serviceorganisatie al de beschikking heeft over één of meerdere ISAE 3402 rapporten zal de internal auditor van de nieuwe gebruikersorganisatie, mogelijk in samenwerking met de externe auditor, de inhoud van het bestaande rapport toetsen aan de assurancebehoefte. Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helderheid te hebben voor welke beheersdoelstellingen assurance verkregen moet worden. Bij een ISAE 3402 kan alleen een redelijke mate van zekerheid worden gegeven Aansluiting bij het interne beheersingsraamwerk van de gebruikersorganisatie Een ISAE 3402 rapport kan aanleiding zijn voor de gebruikersorganisatie om (nog eens) kritisch te kijken naar het interne beheersingsraamwerk van de organisatie: Zijn definities van processen en beheersmaatregelen helder en staan de belangrijkste beheersmaatregelen (ook wel key controls genoemd) vast? Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die worden uitbesteed aan de serviceorganisatie en dientengevolge in het ISAE 3402 rapport moeten worden opgenomen. Als meerdere processen aan verschillende serviceorganisaties worden uitbesteed levert een helder raamwerk ook voordelen op. Door het management en de internal auditor kan, aan de hand van het raamwerk, worden vastgesteld welke assurance bij welke serviceorganisatie moet worden neergelegd. Ook kan worden bepaald of en in hoeverre de verschillende assurancerapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico s) van gebruikersorganisatie en serviceorganisaties is afgedekt Onderuitbesteding Een bijzondere variant betreft de situatie waarin de serviceorganisatie op zijn beurt een deel van de processen heeft uitbesteed aan een andere partij (sub-serviceorganisatie). De voor de gebruikersorganisatie significante delen van de processen van de sub-serviceorganisatie moeten in het ISAE 3402 rapport zijn opgenomen ( inclusive method ). ISAE 3402 stelt dat indien sprake is van de inclusive method, de gehele beschrijving van de sub-serviceorganisatie integraal moet worden opgenomen in het rapport, alsook de mededeling van het management van de sub-serviceorganisatie. In het geval van een carve-out 10 moeten alle beheersmaatregelen, die de serviceorganisatie heeft ingericht om zeker te stellen dat de relevante beheersmaatregelen bij de subserviceorganisatie effectief werken, in het rapport worden opgenomen. Hier is een rol voor de internal auditor weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of beoordelende rol vervullen Geschikte criteria De externe auditor moet bepalen of de serviceorganisatie zogenoemde geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van het systeem. Nadat het rapport is ontvangen door de gebruikersorganisatie lijkt het verstandig voor de internal auditor ook te bezien of de serviceorganisatie de geschikte criteria heeft gebruikt bij het opstellen van de beschrijving, maar dan specifiek gericht op de vereisten van de gebruikersorganisatie Tijdens (ISAE 3402 rapport ontvangen) Internal auditors voeren in de praktijk vaak een toetsing uit op het ISAE 3402 rapport. Deze toetsing richt zich op de vraag of het ISAE 3402 rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde: Toetsing op nakoming afspraken Komen de reikwijdte, de periode en de beheersdoelstellingen overeen met de gemaakte afspraken? Is het type rapport (type I, type II) conform de afspraken? Wanneer verschillen bestaan met de gemaakte afspraken, dient hierover overleg plaats te vinden. Inhoudelijke toetsing De inhoudelijke toetsing van het ontvangen ISAE 3402 rapport moet leiden tot een antwoord op de vraag of de risico s, bezien vanuit de gebruikersorganisatie, zijn afgedekt. In overeenstemming met COS 402, lid 13 en 14, moet de externe accountant van de gebruikersorganisatie vaststellen of de controle-informatie die in een type I of type II rapport wordt verstrekt, voldoende en geschikt is. Hierbij moet de auditor van de gebruikersorganisatie, de user auditor, zich ervan vergewissen dat: De auditor van de serviceorganisatie deskundig is en onafhankelijk ten opzichte van de serviceorganisatie; De standaarden waaronder het type I of II rapport is uitgebracht adequaat zijn. Type I of 10 Zie paragraaf

12 type II rapporten zullen veelal worden uitgebracht onder toepassing van COS In internationaal verband is het echter ook mogelijk dat rapporten worden uitgebracht onder toepassing van andere standaarden die zijn vastgesteld door een geautoriseerde of erkende instantie (regelgever of standard setter ) die standaarden vaststelt; De beschrijving en de opzet van de interne beheersmaatregelen bij de serviceorganisatie op een bepaalde datum of voor een periode is, die passend is voor de doeleinden van de auditor van de gebruiker; De informatie die door het rapport wordt verschaft voldoende en geschikt is voor het verkrijgen van inzicht in de voor de controle relevante interne beheersing van de gebruikersorganisatie; De aanvullende interne beheersmaatregelen van de gebruikersorganisatie, die door de serviceorganisatie zijn onderkend, relevant zijn voor de gebruikersorganisatie (zo ja, dan dient de auditor inzicht te verkrijgen in de vraag of de gebruikersorganisatie dergelijke interne beheersmaatregelen heeft opgezet en geïmplementeerd). In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen assurance. Bijvoorbeeld ten aanzien van: De periode (werking) van het ISAE 3402 rapport (type II) sluit niet aan op de gevraagde periode De oplossing kan gevonden worden door te vragen naar additionele zekerheid over de ontbrekende periode aan de serviceorganisatie, welke bijvoorbeeld kan worden verkregen middels additionele gegevensgerichte werkzaamheden van de externe auditor of internal auditor (daarom strekt het tot de aanbeveling een right to audit clausule op te nemen) of een managementverklaring van de serviceorganisatie over de ontbrekende periode. De strekking van de auditorsmededeling in het ontvangen ISAE 3402 rapport Door de auditor geconstateerde afwijkingen kunnen op twee manieren blijken in het ISAE 3402 rapport: Afwijkingen die het (positieve) oordeel niet beïnvloeden. De auditor volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden. Afwijkingen die het oordeel beïnvloeden. Deze worden opgenomen in de mededeling van de externe auditor. Van de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het beheersingsraamwerk van de gebruikersorganisatie. Dit zal zowel de externe accountant (of de IT Auditor) als de internal auditor van de gebruikersorganisatie doen. Onderdeel van de impactanalyse zijn ook de beheersmaatregelen van de gebruikersorganisatie. Mogelijk hebben bepaalde beheersmaatregelen bij de gebruikersorganisatie een mitigerend effect op tekortkomingen bij de serviceorganisatie. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaamheden en/of een managementverklaring. Binnen ISAE 3402 moet de auditor de aard en oorzaak van afwijkingen tussen de beschreven beheersmaatregel en de vastgestelde uitvoering van de beheersmaatregel onderzoeken. ISAE 3402 opent de mogelijkheid om een gevonden uitzondering ( deviation ) te betitelen als een anomalie, een gebeurtenis die ver buiten de verwachting ligt. Dit is mogelijk door nader onderzoek te verrichten naar de gevonden uitzondering en vervolgens met hoge mate van zekerheid te concluderen dat de gevonden uitzondering niet representatief is voor de populatie. Indien de auditor van de serviceorganisatie een anomalie vaststelt, is het aan de auditor van de gebruikersorganisatie om de onderbouwing daarvan kritisch te beoordelen. Nog een belangrijke toevoeging in ISAE 3402 betreft de mededeling van het management van de serviceorganisatie. Hierin moet duidelijk worden gemaakt op welke wijze het management beheersmaatregelen monitort om de effectieve werking daarvan vast te stellen. De mededeling bevat ook een rapportage van uitzonderingen en tijdige correcties. Van belang is dat duidelijk wordt gemaakt op welke wijze de conclusie van het management is onderbouwd. Bij de beoordeling kan ook de internal auditor van de gebruikersorganisatie een rol spelen. Een andere belangrijke toevoeging heeft betrekking op subsequent events. Indien relevante gebeurtenissen na de periode van onderzoek en voor de afgifte van het rapport niet door het management worden opgenomen in de beschrijving, neemt de auditor van de serviceorganisatie de gebeurtenis op in zijn mededeling Ex-post (na ontvangst ISAE 3402 rapport) De analyse van het ontvangen ISAE 3402 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte van de gebruikersorganisatie afdekt. De internal auditor van de gebruikersorganisatie, zal in overleg met de externe accountant, hier een belangrijke rol kunnen spelen. Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeengekomen dan moet de gebruikersorganisatie aandringen op naleving van het contract. Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, Service Level Agreement) moeten worden overeengekomen. Het ontvangen ISAE 3402 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken

13 4.1 Inleiding In dit hoofdstuk worden de rollen beschreven die de internal auditor van de serviceorganisatie kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/batenoverwegingen en/of het gekozen samenwerkingsmodel tussen internal en external auditors. Tenslotte komt de uitvoering van een ISAE 3402 project aan bod. 4.2 Rollen internal auditor van de serviceorganisatie 4. ISAE 3402 bij de serviceorganisatie: rollen van de internal auditor Het ISAE 3402 rapport van de serviceorganisatie wordt door een externe auditor van een mededeling voorzien. Dit sluit niet uit dat een aantal belangrijke taken is weggelegd voor de internal auditor. De internal auditor van de serviceorganisatie beschikt over een aantal eigenschappen, welke hem bij uitstek geschikt maken voor het adviseren van het management in een ISAE 3402 traject: Kennis van de organisatie van de serviceorganisatie: zowel intern (intern beheersingsraamwerk) als extern (het speelveld waarin de serviceorganisatie opereert met eisen van stakeholders zoals klanten, toezichthouder en externe auditor). Vaktechnische kennis, kennis van het beheersingsraamwerk: de verschillende mogelijkheden die de serviceorganisatie kan benutten om te voldoen aan de informatiebehoefte van stakeholders. Door zijn vaktechnische kennis te combineren met zijn kennis van de organisatie, levert de internal auditor een belangrijke toegevoegde waarde bij het adviseren van het management in het ISAE 3402 traject Ex-ante (voorafgaand aan het ISAE 3402 rapport) Advisering management over nut ISAE 3402 De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving, ontwikkelingen in de markt (transparantie, (cross-border) uitbesteding, complexiteit producten en beheersomgeving) en de steeds groeiende aandacht voor risicobeheer, de vraag naar assurance gegeven door gebruikersorganisaties blijft toenemen. Een ander (concreter) argument is dat van efficiëntie in de verantwoording. Wanneer de serviceorganisatie contracten heeft met meerdere gebruikersorganisaties waarin een right to audit clausule is opgenomen, heeft de serviceorganisatie zich verplicht (meerdere) andere auditors toe te laten. In dat geval is het efficiënter om met één ISAE 3402 meerdere gebruikersorganisaties tevreden te stellen. Op basis hiervan kan de internal auditor adviseren een traject in te gaan, resulterend in een generiek ISAE 3402 rapport. 25

14 Waar in het verleden een serviceorganisatie voorop liep met een SAS 70 rapport, is nu het aantonen van in control zijn via een ISAE 3402 rapport een basisvereiste geworden voor een serviceorganisatie. Tegenwoordig kan de toegevoegde waarde worden aangetoond met het uitvoeren en documenteren van een heldere risicoanalyse, die kan worden gedeeld met de gebruikersorganisatie en die aansluit op wet- en regelgeving. Tenslotte dient een concrete aansluiting te bestaan tussen de uitgevoerde risicoanalyse en het beheersingsraamwerk dat wordt uitgewerkt in het ISAE 3402 rapport. Vanzelfsprekend dient een gedegen risicoanalyse te worden uitgevoerd door het management, maar de internal auditor kan dit proces goed faciliteren en ook de koppeling met het beheersingsraamwerk kan worden voorbereid door de internal auditor Advisering management over inhoud ISAE 3402 Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze adviseren hoe het ISAE 3402 rapport moet worden ingericht. Vaststelling van reikwijdte (proces), beheersdoelstelling en beheersmaatregelen Tot de reikwijdte van het ISAE 3402 rapport moeten minimaal de door de gebruikersorganisatie uitbestede processen behoren, wanneer relevant voor de jaarrekening. Aanknopingspunten voor de exacte inhoud (reikwijdte, beheersdoelstellingen en beheersmaatregelen) zijn: Overleg met de gebruikersorganisatie. Bij de start van een ISAE 3402 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikersorganisatie en die van de serviceorganisatie. De gemaakte afspraken tussen de gebruikersorganisaties en de serviceorganisatie, in het algemeen vastgelegd in Service Level Agreements. Wanneer sprake is van veel gebruikersorganisaties en overleg niet haalbaar is, is het een optie om uitsluitend uit te gaan van deze afspraken. Wet- en regelgeving kan ook input zijn voor de inhoud van het rapport: welke beheersdoelstellingen moeten minimaal worden gerealiseerd vanuit deze regels? Op te nemen beschrijvingen Het ISAE 3402 rapport bevat ten eerste de beschrijving van de serviceorganisatie. Hier wordt aan de hand van de COSO componenten (Control Environment, Risk Assessment, Information & Communication en Monitoring) de organisatie beschreven. Deze beschrijving wordt opgesteld door het management van de serviceorganisatie. Een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO en de organisatie) ten behoeve van het management dat deze beschrijving dan kan overnemen. Vervolgens wordt beschreven over welke beheersdoelstellingen assurance wordt verstrekt, waarbij ook de beheersmaatregelen worden opgenomen die door de serviceorganisatie worden uitgevoerd om de beheersdoelstellingen te realiseren. Generiek of maatwerk Vanuit het oogpunt van de serviceorganisatie wordt bij voorkeur één generiek ISAE 3402 rapport ontwikkeld; één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen maatwerk ISAE 3402 rapporten worden ontwikkeld, waarbij het verstandig is dat duidelijkheid bestaat over wie de meerkosten draagt. Normenkader Zoals eerder aangegeven is ISAE 3402 geen normenkader (zie paragraaf 2.3). ISAE 3402 schrijft voor hoe de indeling van het rapport en de audit moet zijn en wat moet worden beschreven. ISAE 3402 zelf stelt geen inhoudelijke eisen aan de beheersdoelstellingen, de beheersmaatregelen en wat ten behoeve van de audit moet worden beschreven. Alhoewel aldus geen inhoudelijke eisen worden gesteld aan beheersmaatregelen, bestaan wel sound practices voor de beschrijving van deze maatregelen (zie bijlage 2). Immers, de doelstellingen en maatregelen moeten wel toetsbaar zijn door de externe auditor. In het algemene gedeelte beschrijft de serviceorganisatie hoe de Control Environment eruit ziet en hoe de componenten Risk Assessment, Information & Communication en Monitoring zijn ingericht (de COSO elementen). Met de beschrijving van de beheersmaatregelen wordt invulling gegeven aan de component Control Activities uit het COSO raamwerk. De internal auditor kan bij deze beschrijving het management ondersteunen. Wij geven ter overweging om waar mogelijk voor de beschrijving van de beheersmaatregelen aan te haken bij gerenommeerde (internationale) kaders, zoals bijvoorbeeld CobiT voor IT controls. Gebruik hiervan biedt onder meer de volgende voordelen: De beheersmaatregelen kunnen op volledigheid (en juistheid) worden getoetst. CobiT heeft bijvoorbeeld een uitgebreide set van beheersdoelstellingen met daaronder de beheersmaatregelen die dit ondersteunen. Het is wel belangrijk om daarbij de toetsbaarheid van de doelstellingen en maatregelen te beschouwen, daar niet alle doelstellingen en maatregelen in CobiT voldoen aan de criteria zoals opgenomen in bijlage 2; Het vergemakkelijkt de afstemming met gebruikers omdat het bekende en veelgebruikte beheersingsraamwerken zijn Advisering management over externe auditor Een ISAE 3402 rapport zonder mededeling van het management en een externe auditor voldoet niet aan de eisen. Bij de selectie van de externe auditor kan de internal auditor het management van advies dienen. Opties zijn onder andere: De eigen externe accountant: het voordeel van inzet van de eigen externe accountant is dat deze de organisatie kent en daarmee mogelijk efficiënter tot zijn mededeling bij het ISAE 3402 rapport kan komen. Bovendien zou de auditor auditwerkzaamheden voor ISAE 3402 in enkele gevallen kunnen combineren met de reguliere auditwerkzaamheden waardoor voor de organisatie de totale kosten lager kunnen zijn. Een andere externe auditor. Het voordeel is een frisse kijk op de organisatie (overigens wel op basis van dezelfde vaktechnische grondslagen als de eigen externe accountant). Nadeel is mogelijk meer communicatie en deze auditor zal mogelijk meer tijd nodig hebben om de organisatie te leren kennen

15 Een belangrijk aandachtspunt bij de beoordeling van de in te schakelen externe auditor is de ISAE 3402 auditaanpak (deze is niet universeel), waaronder ook de samenwerking met de internal auditor Tijdens (ISAE 3402 traject) Advisering management over ISAE 3402 traject Het vervaardigen van een ISAE 3402 rapport is geen sinecure: de internal auditor kan adviseren over timing, kosten, fasering van dit traject en benodigde capaciteit. Hierbij komen de volgende belangrijke aandachtspunten aan de orde: Business case/project Om een ISAE 3402 traject gestructureerd te laten plaatsvinden wordt aanbevolen om volgens een projectplan het traject te doorlopen. In een dergelijk projectplan dienen aan de orde te komen: De kosten van het ISAE 3402 traject: Deze zijn onder meer afhankelijk van de inhoud van het rapport, het type rapport, de betrokkenheid van eventuele adviseurs en de review werkzaamheden van de externe auditor. Fasering van het traject: Bepalend voor het succes van het ISAE 3402 traject is onder meer de volwassenheid van de organisatie en het aantoonbaar uitvoeren van beheersmaatregelen. Dit is een heel belangrijk punt: de externe auditor zal immers voor zijn auditwerkzaamheden op een moment (type I rapport) of gedurende een periode (type II) moeten kunnen vaststellen dat de beheersmaatregelen zijn uitgevoerd.) Een ISAE 3402 traject heeft veelal de volgende fasering: 1. Pilotfase Doel is om vast te stellen wat nodig is om te komen tot een ISAE 3402 rapport. Deze fase betreft: De bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen. De analyse van de organisatie: hoe ver is de organisatie met procesbeschrijvingen, heldere definities van beheersmaatregelen en aantoonbaarheid van de uitvoering van deze beheersmaatregelen? De serviceorganisatie is verantwoordelijk voor het onderkennen van de risico s die het bereiken van de interne beheersingsdoelstellingen in gevaar brengen. Hiertoe moet een formele of informele risicoanalyse worden uitgevoerd. De externe auditor zal zich tijdens zijn werkzaamheden een oordeel vormen over de geschiktheid van de interne beheersmaatregelen en zal zich hierbij de vraag stellen in hoeverre de serviceorganisatie de risico s heeft onderkend die de beheersingsdoelstellingen van de serviceorganisatie in gevaar kunnen brengen en of de beschreven beheersmaatregelen, bij een adequate werking, deze risico s mitigeren. De internal auditor kan het management ondersteunen bij de bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen. Ook kan de internal auditor bijvoorbeeld het risico-onderkenningsproces door het management begeleiden. Wanneer de serviceorganisatie een overstap maakt van SAS 70 naar ISAE 3402 zal in deze fase vooral aandacht worden geschonken aan de wijze waarop het management tot haar mededeling zal moeten komen. Welke beheersmaatregelen of welke aanpassingen in de beheersomgeving kunnen het management voldoende waarborgen geven om tot een onderbouwde managementmededeling te komen. Belangrijk daarbij is dat de beheersdoelstellingen onder ISAE 3402 het resultaat moeten zijn van een formele of informele risicoanalyse. De internal auditor zal het management kunnen aangeven op welke wijze meer inzicht verkregen kan worden in de effectieve werking van de beheersmaatregelen, welke informatie al beschikbaar is en hoe deze bijdragen aan het behalen van de beheersdoelstellingen. Het kan zijn dat de rapportage van de internal auditor als input voor de beoordeling van de effectieve werking van de beheersmaatregelen dient. Het management is uiteindelijk verantwoordelijk om de keuzes zelf te maken en zelf te bepalen hoe inzicht wordt verkregen in de effectieve werking van de beheersmaatregelen. 2. Eerste versie ISAE 3402 rapport In deze fase wordt het rapport geschreven (beschrijving beheersomgeving, beheersdoelstellingen en beheersmaatregelen) en worden verbeteringen aangebracht ten aanzien van procesbeschrijvingen en vastlegging (aantoonbaarheid) van beheersmaatregelen. Wederom zal bij een overgang van SAS 70 naar ISAE 3402 vooral aandacht moeten worden geschonken aan eventuele nieuwe elementen in de beheersomgeving en de wijze waarop deze geborgd zijn. De monitoringactiviteiten moeten gedurende de gehele testperiode worden uitgevoerd. 3. Verbeterde versie ISAE 3402 rapport Dit rapport wordt afgestemd met betrokkenen. Alle beheersmaatregelen worden onderbouwd met procesdocumentatie (opzet) en documentatie van de uitvoering (bestaan, werking). De internal auditor kan hier testwerkzaamheden uitvoeren. Ook is het een optie om de externe auditor een soort pre-audit te laten uitvoeren. Eventueel gebleken leemtes zullen moeten resulteren in een SMART actieplan. 4. ISAE 3402 audit; de audit door de externe auditor Inhoudelijk bestaan ten aanzien van de fasering verschillende varianten. De serviceorganisatie kan in overleg met de gebruikersorganisatie starten met een ISAE 3402 met een beperkte reikwijdte en nadien werken aan het uitbouwen ervan. Begonnen kan worden met een type I rapport, dat zich richt op opzet en bestaan, om dit vervolgens uit te bouwen tot een type II rapport. Uitvoering en verantwoordelijkheid voor het ISAE 3402 traject De internal auditor is vaak intensief betrokken bij de (om-)bouw van het ISAE 3402 rapport. Hij moet alert zijn op de volgende twee valkuilen: Het management kan de verantwoordelijkheid voor de inhoud minder voelen, zeker wanneer de internal auditor de communicatie met de externe auditor volledig voor zijn rekening neemt; en 28 29

16 De internal auditor moet zijn eigen vaktechnische afwegingen maken: Wanneer hij nauw betrokken is bij de totstandkoming van het rapport, zal hij moeten nagaan of hij auditwerkzaamheden (voorbereidend voor externe auditor) kan uitvoeren op dezelfde beheersmaatregelen. Onafhankelijk van de gekozen rol is het in alle gevallen van belang dat de internal auditor het management wijst op het feit dat zij uiteindelijk verantwoordelijk zijn voor de inhoud van het ISAE 3402 rapport ISAE 3402 auditwerkzaamheden internal auditor Onder de SAS 70 standaard kon op twee manieren gebruik worden gemaakt van de werkzaamheden van de internal auditor: 1. Met de zogenaamde direct assistance, waarbij de internal auditor wordt ingezet alsof hij/ zij onderdeel is van het externe auditteam. 2. Om de aard, timing en omvang van de werkzaamheden van de service auditor aan te passen op de verlangde werkzaamheden. In de nieuwe ISAE 3402-regelgeving wordt dit onderscheid niet genoemd en wordt alleen gesproken over de mogelijkheid, genoemd onder punt 2. Hierbij is aangesloten bij de huidige formuleringen van COS 610 (ISA 610), waarin dit onderscheid ook niet wordt gemaakt. In juli 2010 is door de IAASB een exposure draft gepubliceerd ISA 610 Using the work of Internal Auditors. In deze exposure draft is wel expliciet tekst opgenomen rondom de direct assistance vanuit een Internal Audit Functie (IAF). Een ander belangrijk verschil met SAS 70 is dat de externe auditor van de serviceorganisatie specifiek melding dient te maken van de werkzaamheden die zijn uitgevoerd door de internal auditor. Dit is bijvoorbeeld conform de huidige Britse AAF/01-standaard voor financiële instellingen, maar geheel anders dan onder SAS 70 het geval is. Wel is specifiek opgenomen, dat de ondertekenende auditor geheel en ongedeeld verantwoordelijk is voor zijn deel van het rapport. De verantwoordelijkheid voor de uitgevoerde werkzaamheden en de opinie wordt niet gedeeld met de IAF. In de nieuwe standaard is, evenals in de SAS 70, niet omschreven in welke mate gebruik mag worden gemaakt van de werkzaamheden van een internal auditor. Hierbij doet zich de vraag gelden of de invulling hiervan aan individuele eindverantwoordelijken of aan kantoren wordt overgelaten of dat richtlijnen worden ontwikkeld door NOREA/NIVRA, waarin wordt opgenomen wat de minimum te verrichten werkzaamheden zijn door de service auditor. In het algemeen moet de service auditor toereikende assurance-informatie verzamelen om tot zijn oordeel te kunnen komen. In de COS 610 is hierover het volgende opgenomen: De aard, timing en omvang van de controlewerkzaamheden die worden uitgevoerd op specifieke werkzaamheden van de internal auditor zullen afhangen van de inschatting door de externe accountant van het risico van een afwijking van materieel belang, van de evaluatie van de IAF (afdeling) waarbinnen de internal auditor werkzaam is, alsmede van de evaluatie van de specifieke werkzaamheden van de internal auditor. Dergelijke controlewerkzaamheden kunnen omvatten: Het onderzoeken van items die reeds door de internal auditor zijn onderzocht; Het onderzoeken van andere soortgelijke items; het observeren van werkzaamheden die door de internal auditor zijn uitgevoerd. Voordat kan worden gesteund op de werkzaamheden uitgevoerd door de internal auditor, zal de service auditor de volgende aspecten van de internal auditor beoordelen: De kwaliteit van de afdeling (IAF). In welke mate de verrichte of te verrichten werkzaamheden relevant zijn. De impact van de werkzaamheden op de aard, timing en omvang van de werkzaamheden, waarbij in ogenschouw wordt genomen: - De aard en reikwijdte van verrichte of te verrichten werkzaamheden. - De significantie van de werkzaamheden voor de conclusies van de externe auditor. De mate van subjectiviteit die is toegepast bij de beoordeling van het bewijsmateriaal. Werkverdeling internal auditor en service auditor Wanneer de service auditor steunt op auditwerkzaamheden van de internal auditor moeten: Afspraken worden gemaakt over de aard en omvang van de te verrichten testwerkzaamheden. Bij het bepalen van de omvang van deze werkzaamheden is de externe auditor uiteindelijk leidend. Deze moet op basis van vaktechnische gronden een risicoanalyse uitvoeren ter bepaling van de omvang van de uit te voeren werkzaamheden; Afspraken worden gemaakt over de wijze van documentatie. De documentatie van door de internal auditor uitgevoerde testwerkzaamheden moet voldoen aan de vaktechnische vereisten waaraan de external auditor zich heeft te houden Het verkrijgen van onderbouwende informatie met betrekking tot de werking van interne beheersmaatregelen (de steekproef) De internal auditor kan werkzaamheden verrichten in het kader van ISAE 3402 waar de externe auditor gebruik van kan maken. In de praktijk is vaak discussie over de steekproefomvang, dan wel de omvang van de deelwaarneming. Dit wordt in de tekst van ISAE 3402 beschreven bij de methodes voor het selecteren van items ter toetsing van de beheersmaatregelen en het bepalen of deze methode geschikt is. De externe auditor moet bij het bepalen van de omvang van de toetsing van interne beheersmaatregelen kijken naar de kenmerken van de te toetsen populatie zoals de aard van de beheersmaatregelen, de frequentie van hun toepassing (maandelijks, dagelijks, een aantal keren per dag) en de verwachte mate van afwijking. Wanneer de auditor gebruik maakt van steekproeven, dient deze op een aantal aspecten te letten, waaronder: het doel van de controlemaatregel en de kenmerken van de populatie waaruit de steekproef genomen zal worden bij het opzetten hiervan; een afdoende grootte van de steekproef die het steekproefrisico tot een aanvaardbaar niveau verlaagt; 30 31

17 selectie van items voor de steekproef op een zodanige manier dat iedere steekproefeenheid in de populatie een gelijke kans heeft om te worden geselecteerd; In de praktijk zal dit geen wijziging betekenen ten opzichte van de SAS 70 standaard Ex-post (na afgifte ISAE 3402 rapport) Advisering management over verbeteringen naar aanleiding van ISAE 3402 Verbetering interne beheersing De ISAE 3402 audit kan leemtes aan het licht brengen (afhankelijk van de impact beïnvloeden deze wel of niet de strekking van de mededeling). Deze moeten onder verantwoordelijkheid van het management worden opgelost. Conform de werkwijze bij bevindingen uit reguliere audits, kan de internal auditor de implementatie hiervan veelal volgen. ISAE 3402 als onderdeel van het interne beheersingsraamwerk Het ISAE 3402 rapport bevat de beheersmaatregelen die afkomstig zijn uit een top down benadering van processen. Omdat de natuurlijke neiging zal zijn het aantal beheersmaatregelen (en daarmee auditwerk) zo beperkt mogelijk te houden, zijn dit vaak zogenaamde key controls : de belangrijkste beheersmaatregelen waarmee risico s worden afgedekt. De uitdaging is, en daarbij kan de internal auditor een adviserende rol spelen, het interne beheersingsraamwerk zodanig in te richten dat de ISAE 3402 beheersmaatregelen niet on top of zijn, maar onderdeel van het raamwerk Advisering management over onderhoud van ISAE 3402 rapport Nadat het ISAE 3402 rapport gereed is gekomen, begint het onderhoud. De audit uitmondend in de mededeling van de externe auditor zal (minimaal) jaarlijks plaatsvinden. Met betrekking tot het onderhoud heeft de internal auditor de volgende uitdagingen: Richting management benadrukken dat ISAE 3402 een continu proces is en dat het niet continu (aantoonbaar) uitvoeren van beheersmaatregelen consequenties kan hebben voor de ISAE 3402 rapportage; en Toetsing van het rapport aan de organisatie. Belangrijke veranderingen in de organisatie en/of processen moeten leiden tot aanpassing van het ISAE 3402 rapport. 4.3 Enkele praktische vraagstukken Onderuitbesteding Wanneer de serviceorganisatie zelf uitbesteedt, is sprake van onderuitbesteding. Omdat de uitbesteding invloed kan hebben op het ISAE 3402 rapport van de serviceorganisatie, dient de internal auditor na te gaan of het ISAE 3402 rapport wordt geraakt door de onderuitbesteding. Oftewel, maakt het uitbestede proces onderdeel uit van de reikwijdte, beheersdoelstellingen of beheersmaatregelen? Bij positieve beantwoording van deze vraag, verandert voor het onderuitbestede gedeelte, de serviceorganisatie in een gebruikersorganisatie en geldt voor de internal auditors hetgeen in hoofdstuk 3 is opgenomen. Binnen SAS 70 werden twee methoden genoemd om onderuitbesteding te verwerken gerelateerd aan de impact van de uitbestede activiteiten op de SAS 70 van de serviceorganisatie, bij ISAE 3402 is dit onderscheid niet langer benoemd. Er wordt gerefereerd aan de twee methoden om de onderuitbesteding te verwerken in het ISAE 3402 rapport: Inclusive method ; Het ISAE 3402 rapport van de serviceorganisatie verandert in dit geval inhoudelijk niet, maar de werkzaamheden wel degelijk. Van elke opgenomen beheersmaatregel zal bij de sub-serviceorganisatie (die de onderuitbestede services voor zijn rekening neemt) een zelfde mate van zekerheid moeten worden gevraagd, zodat de beheersmaatregelen in het ISAE 3402 rapport van de serviceorganisatie kunnen worden opgenomen. Voorts moet in de Inclusive method, naast de beheersdoelstellingen en de daaraan gerelateerde beheersmaatregelen, ook de beheersomgeving en de mededeling van het management worden opgenomen in het rapport van de serviceorganisatie. Carve out method : Bij deze methode worden de beheersomgeving, de beheersdoelstellingen en de daaraan gerelateerde beheersmaatregelen van de sub-serviceorganisatie niet in het ISAE 3402 rapport van de serviceorganisatie opgenomen. Er wordt vanuit ISAE 3402 wel vereist dat de serviceorganisatie inzicht geeft in de wijze waarop de effectiviteit van de beheersmaatregelen binnen de sub-serviceorganisatie worden beoordeeld. Het is van belang de keuze van verwerking van de sub-services in een vroeg stadium te maken, zodat een goede afstemming kan worden gemaakt met de sub-serviceorganisatie. De internal auditor kan het management adviseren bij het maken van de keuze voor een van beide methoden door de uitwerking van beide in kaart te brengen en de afstemming met de sub-serviceorganisatie te faciliteren Generiek of maatwerk? Er bestaan twee soorten ISAE 3402 rapporten. De serviceorganisatie kan een generiek rapport ontwikkelen of kiezen voor maatwerk ISAE 3402 rapporten. Hierbij dient in acht genomen te worden dat de ontwikkeling van een ISAE 3402 rapport een complex proces is waardoor het aanbeveling verdient eenvoudig te beginnen. Een generiek rapport is een ISAE 3402 rapport dat aan verschillende klanten kan worden verstrekt. Dit heeft een groot efficiëntievoordeel. Echter de mogelijkheid bestaat dat gebruikersorganisaties hier geen genoegen mee nemen omdat zij specifiek ten aanzien van de aan hen geleverde diensten assurance wensen. Dit kan in de vorm van een maatwerk ISAE 3402 rapport. Voor de gebruiker sluit dit maatwerkrapport veelal beter aan op de behoefte aan assurance, voor de serviceorganisatie betekent dit echter een toename in rapporten en daarmee samenhangende kosten (en de kostendiscussie met de gebruiker)

18 Ook hier blijkt het belang van een helder gedefinieerd beheersingsraamwerk bij de serviceorganisatie. Wanneer beheersmaatregelen immers helder en eenduidig zijn gedefinieerd (voor zowel generieke beheersmaatregelen als eventuele klantspecifieke beheersmaatregelen) dan heeft de serviceorganisatie in principe de mogelijkheid om zowel generieke als maatwerk ISAE 3402 rapporten te leveren of om verschillende maatwerkonderdelen te combineren Gebruikerskring In enkele gevallen werd een SAS 70 rapport gebruikt als een marketinginstrument of (onterecht) gepresenteerd als een kwaliteitscertificaat. Met dit andere gebruik is het mogelijk dat het rapport wordt verstrekt aan belangstellenden buiten de gedefinieerde gebruikerskring. Hierbij kan de situatie ontstaan dat gebruik, of mogelijk in sommige gevallen misbruik, wordt gemaakt van de (randen van) vaktechnische uitgangspunten. Voor de internal auditor van de serviceorganisatie is het van belang om de met de externe auditor gemaakte afspraken nauwgezet na te leven. Het ISAE 3402 rapport heeft een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toestemming van de externe auditor die de mededeling heeft verstrekt. De ontvangende partij moet worden geïnformeerd over de beperkte gebruikerskring en het niet verder mogen verspreiden van het ontvangen rapport. Het rapport kan daarbij middels een watermerk worden gekenmerkt zodat ook de ontvangende partij altijd achteraf herkend kan worden Gecertificeerde auditor Is de persoon die een mededeling afgeeft wel een gecertificeerde auditor? Op zich moet de externe accountant in het kader van COS 402, lid 13 en 14, beoordelen of de auditor van de serviceorganisatie deskundig en onafhankelijk is ten opzichte van de serviceorganisatie. De internal auditor van de gebruikersorganisatie kan dit natuurlijk reeds in een vroeg stadium of zelfs voordat een audit plaatsvindt zelf vaststellen, om vervelende verrassingen achteraf te voorkomen. Bijlage 1 ISAE 3402 vergeleken 34

19 Kenmerk SAS 70 ISAE 3402 COS 3000 Third party mededeling ISO (9000) Uitgevende instantie Wie verstrekt een mededeling Soort mededeling Bewoording mededeling Type mededeling Beoordelingscriteria auditor Werkzaamheden internal auditfunctie American Institute of Certified Public Accountants (AICPA) IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA) Auditor (RA/RE) Management & Auditor (RA/RE) IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA) Redelijke zekerheid Redelijke zekerheid Redelijke zekerheid of beperkte zekerheid Direct reporting Direct reporting Direct reporting of assertion based reporting Voorgeschreven Voorgeschreven Vormvrij Niet beschreven Specifiek beschreven Mag niet worden opgenomen Moet worden opgenomen, inclusief wijze van review door externe auditor Niet specifiek International Standards Organisation Auditor (RA/RE) Auditor Any firm that has been authorised by ISO to certify Niet specifiek beschreven Gebruikersgroep Management serviceorganisatie, Externe accountant gebruikersorganisatie Biedt het zekerheid over opzet, bestaan en werking ten behoeve van accountants van gebruikersorganisaties? Type I: nee Type II: ja Management serviceorganisatie, Externe accountant gebruikersorganisatie Type I: nee Type II: ja Niet vooraf bepaald Naast de opdrachtgever, één bekende gebruiker of beperkte kring van bekende gebruikers Naast opdrachtgever (deels) onbekende gebruikers (maatschappelijk verkeer) Alleen indien de werking over een periode is getest Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking : ja Management Nee Kenmerk SAS 70 ISAE 3402 COS 3000 Third party mededeling ISO (9000) Reikwijdte Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de gebruikersorganisatie Vormvrije best practice benaderingen Testwerkzaamheden in rapport Conclusies in detail in rapport Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de gebruikersorganisatie Reikwijdte zelf te bepalen Ja (type II verplicht) Ja (type II verplicht) Optioneel Ja Ja Optioneel Vrijblijvend Nee Kwaliteit van het managementproces (operational risk management) - you do what you say you do Biedt het zekerheid over opzet, bestaan en werking ten behoeve van accountants van gebruikersorganisaties? Type I: nee Type II: ja Type I: nee Type II: ja Alleen indien de werking over een periode is getest Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking: ja Nee 36 37

20 Inleiding Ten behoeve van het verkrijgen van een externe mededeling bij het door de organisatie opgestelde ISAE 3402 rapport worden onder meer beheersdoelstellingen en beheersmaatregelen opgenomen in dit rapport. De wijze waarop de doelstellingen en maatregelen worden geformuleerd moet voldoen aan een aantal eisen zodat deze aansluit bij de beweringen gerelateerd aan de jaarrekeningcontrole. Eisen aan beheersdoelstellingen Bijlage 2 Sound practice voor bewoordingen in ISAE 3402 rapporten Voor beheersdoelstellingen worden de volgende eisen gesteld aan de formulering daarvan: Specifiek: de doelstelling moet de lezer in staat stellen om precies te begrijpen wat de reikwijdte van de doelstelling is. Bijvoorbeeld: een doelstelling als beheersmaatregelen bieden redelijke zekerheid, dat de afdrachten inkomstenbelasting aan de belastingdienst tijdig, juist en volledig plaatsvinden lijkt voldoende, terwijl een verwijzing naar een term als beheersmaatregelen bieden redelijke zekerheid dat alle transacties met de belastingdienst goed zijn te algemeen is. Meetbaar: de doelstelling moet het mogelijk maken om een kwantitatieve evaluatie te maken of de doelstelling wel of niet is gehaald. Dit betekent, dat doelstellingen veelal worden verwoord in termen als volledigheid, juistheid, tijdigheid, autorisatie, bestaan en voorkomen (van bijvoorbeeld registergoederen). Andere, minder frequent gehanteerde beweringen zijn: rechten en verplichtingen, waarderingen en toekenningen alsmede presentatie en openbaarmaking. Haalbaar en auditable: de service auditor moet in staat zijn voldoende bewijsmateriaal te verzamelen, om te kunnen concluderen of de doelstelling is behaald. Bijvoorbeeld: een doelstelling die omvat klanten zijn tevreden is niet meetbaar zonder dat specifiek wordt benoemd wat tevreden omvat. De service auditor zal derhalve geen oordeel kunnen uitspreken over een dergelijke beheersdoelstelling. Relevant en realistisch: de doelstelling moet relevant zijn voor de lezer van het rapport. Beheersdoelstellingen beginnen veelal met de volgende woorden: De beheersmaatregelen bieden een redelijke mate van zekerheid, dat Voorbeelden van doelstellingen die niet voldoen aan de criteria: De beheersmaatregelen bieden een redelijke mate van zekerheid, dat alle transacties verlopen conform de afspraken binnen de organisatie. Dit is te algemeen. Een externe organisatie is niet op de hoogte van de wijze waarop de transacties moeten verlopen. De beheersingsmaatregelen geven een redelijke mate van zekerheid dat het beheer en configuratie van systemen zodanig is dat geen risico s optreden die de integriteit en continuïteit van de dataverwerking kunnen schaden. Het is niet vast te stellen door de auditor dat risico s niet optreden die een invloed hebben op de integriteit en continuïteit van de dataverwerking. Voorbeelden van doelstellingen die wel voldoen aan de criteria: De beheersmaatregelen geven een redelijke mate van zekerheid dat (wijzigingen in) 39