Ronald van der Wal Enterprise Risk Services

Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0) 6 12 58 16 93 Email: nsmit@deloitte.nl Deloitte. Laan van Kronenburg 2 P.O. Box 175, 1180 AD Amstelveen The Netherlands Ronald van der Wal Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0) 6 20 25 21 24 Email: rovanderwal@deloitte.nl Deloitte. Laan van Kronenburg 2 P.O. Box 175, 1180 AD Amstelveen The Netherlands i

Voorwoord Toen we ruim vier jaar geleden begonnen aan de post-doctorale IT-audit opleiding hadden we niet verwacht in 2011 nog bezig te zijn met onze scriptie. Het theoretische deel was niet het probleem; dat hebben we nominaal kunnen afronden. Het afronden van de scriptie is een ander verhaal gebleken. Deels werd dit veroorzaakt door de niet geringe werkdruk die een Big Four organisatie kent. We gebruiken het woord deels hier bewust; andere studenten is het immers toch gelukt om nominaal af te studeren terwijl ze werkzaam zijn bij een Big Four organisatie. Echter wij liepen anderhalf jaar lang steeds in dezelfde val: ja zeggen tegen een nieuwe klus of vraag die bij ons terecht kwam. Inmiddels hebben we geleerd dat dit wellicht goed is geweest voor onze carrière, maar niet voor onze studievoortgang. Toen we een paar maanden geleden dan eindelijk met elkaar afspraken om onze scriptie te gaan afronden, zijn we ook echt aan de slag gegaan. Bijna vanzelfsprekend ( in ons geval dan) haalden we onze interne deadlines lang niet altijd, maar we hebben wel geleerd echt tijd te maken voor de scriptie. Hier en daar een uurtje bleek niet te werken, in onze ervaring moet je echt structureel tijd maken om er serieus mee aan de slag te kunnen gaan. Mede ook dankzij de begeleiding en flexibiliteit van Dr. Abbas Shahim RE ligt het resultaat van dit alles nu voor u.. ii

Management samenvatting Aanleiding en onderzoeksvraag Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden (gebruikers organisatie) als bij de auditors van deze organisaties (gebruikers auditor) ontstaat daarmee de behoefte om zekerheid te verkrijgen over de beheersing van deze uitbestede processen, aangezien de uitbestede processen vaak van materieel belang zijn voor de jaarrekening van de gebruikers organisatie. Een service auditor s rapport is een middel om deze zekerheid te verkrijgen. Er bestaan verschillende typen service auditor s rapporten, waarvan de bekendste de Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de SAS70 standaard vervangen door de internationale standaard ISAE 3402. In de praktijk merken wij dat de beoordeling van een service auditor s rapport in het kader van de jaarrekening controle vaak divers wordt aangepakt door de gebruikersauditor. Met deze scriptie geven wij een antwoord op de vraag hoe een service auditor s rapport dient te worden beoordeeld in het kader van een jaarrekening controle. Mede omdat een service auditor s rapport vrijwel altijd een grote hoeveelheid IT beheersmaatregelen bevat, en aangezien IT auditors vaak betrokken zijn bij service auditor rapport trajecten, besteden wij expliciete aandacht aan de rol van de IT auditor bij de beoordeling. Onderzoeksaanpak Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en praktijkgericht antwoord te krijgen op de bovenstaande vraagstelling. Aan de hand van een literatuurstudie hebben wij ons verdiept in de standaarden van service auditor s rapportages en de richtlijnen die aanwezig zijn voor accountants in het kader van de jaarrekeningcontrole. Het praktijk onderzoek is in enquêtevorm uitgevoerd. Omdat er een zekere mate van vaktechnische kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder een geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA s) en Register EDP-auditors (RE s) zijn allen regelmatig betrokken bij het beoordelen van een service auditor s rapport in het kader van een jaarrekeningcontrole. Vervolgens zijn de resultaten van de enquête geanalyseerd aan de hand van de in hoofdstuk 3 geïdentificeerde standaard NV COS 402 en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de aanpak van de RA s en RE s. Uiteindelijk hebben wij concrete aanbevelingen opgesteld om de beoordeling van een service auditor s rapport te verbeteren. Resultaten Uit onze theoretische inventarisatie blijkt dat op dit moment de internationale ISAE 3402 standaard de meest relevante standaard is in de Nederlandse praktijk. Daarnaast is uit ons onderzoek gebleken dat er met de NV COS 402 duidelijke richtlijnen beschikbaar zijn voor de gebruikers auditor ten aanzien van het beoordelen van een service auditor s rapport. Deze richtlijn is in lijn gebracht met de ISAE 3402 standaard. Ten aanzien van de rol van de IT auditor blijkt echter dat er geen duidelijke richtlijnen zijn; het wordt feitelijk aan het professional judgment van de gebruikersauditor overgelaten om te bepalen of een IT auditor dient te worden ingeschakeld. Uit ons praktijkonderzoek is naar voren gekomen dat de beoordeling van een service auditor s rapport in grote lijnen conform de NV COS 402 standaard wordt uitgevoerd, maar dat de standaard lang niet bij iedereen bekend is. Wel constateren we dat de beoordeling door de audit professionals met verschillende diepgang wordt uitgevoerd, en dat er daarmee wel een aantal verbeteringen kunnen worden doorgevoerd ten aanzien van de wijze van beoordelen. Ten aanzien van bovenstaande valt bijvoorbeeld op dat de IT auditors meer aandacht hebben voor vaktechnische aspecten rondom de gebruikte standaard. Daarnaast constateren we dat de aandacht voor sub-service organisaties en user control considerations vrij beperkt is. Een ander opvallend punt is dat er slechts summier aandacht wordt besteed aan het vaststellen van de deskundigheid van de service auditor. De rol die de IT auditor heeft bij het beoordelen van een service auditor rapport is in de meeste gevallen conform onze verwachtingen. De IT auditor wordt vaak geraadpleegd voor het iii

beoordelen van de reikwijdte van de IT beheersmaatregelen en IT bevindingen. Aan de andere kant geven (deels dezelfde) respondenten aan dat dat de beslissing om al dan niet een IT auditor te raadplegen vaker lijkt af te hangen van de complexiteit van de uitbestede processen als van de mate van automatisering. Daarnaast is opvallend dat meerdere accountants hebben aangegeven dat de IT auditor ook een leidende rol heeft bij het beoordelen van vaktechnische aspecten met betrekking tot de gebruikte standaard. Dit komt dan weer overeen met het eerder genoemde punt ten aanzien van de aandacht van de IT auditor voor deze aspecten wanneer de IT auditor een beoordeling uitvoert. Conclusie Zoals eerder al aangegeven concluderen we dat er voldoende richtlijnen zijn voor de gebruikers auditor om de beoordeling van een service auditor s rapport uit te voeren. Toch zijn de richtlijnen lang niet bij iedereen bekend. In de praktijk worden de aspecten die in de richtlijn worden genoemd ook vrijwel allemaal meegenomen in de beoordeling, maar hebben wij wel een aantal bevindingen geïdentificeerd ten aanzien van de diepgang van de beoordeling. Ten aanzien van de rol van de IT auditor constateren we dat de IT auditor, als deze wordt betrokken bij de beoordeling, de beoordeling met meer detail uitvoert. De afweging van de accountant om de IT auditor in te schakelen kan nog wel worden verbeterd. iv

v

Inhoudsopgave 1. Inleiding 1 1.1 Introductie 1 1.2 Aanleiding 1 1.3 Doelstelling 1 1.4 Vraagstelling 1 1.5 Onderzoek aanpak 2 1.6 Reikwijdte van het onderzoek 2 1.7 Opbouw van de scriptie 2 2. Het Service Auditor s Rapport 5 2.1 Inleiding 5 2.2 Basisbegrippen van het service auditor s rapport 5 2.3 Historie van het service auditor s rapport 6 2.4 ISAE 3402 7 2.5 Nationale service auditor rapport standaarden 10 2.6 Slotopmerkingen 11 3 Richtlijnen voor het beoordelen van een service auditor s rapport in het kader van de jaarrekeningcontrole. 13 3.1 Inleiding 13 3.2 De jaarrekeningcontrole 13 3.3 Richtlijnen voor de jaarrekeningcontrole 13 3.4 Richtlijnen voor het beoordelen van een service auditor s rapport 14 3.6 Slotopmerkingen 16 4 Beoordeling van een service auditor s rapport in de praktijk 18 4.1 Inleiding 18 4.2 Opzet van de enquête 18 4.3 Resultaten 18 4.4 Analyse 22 4.5 Slotopmerkingen 24 5 Conclusies en aanbevelingen 26 5.1 Inleiding 26 5.2 Bevindingen en conclusie 26 5.3 Aanbevelingen 28 5.4 Beperkingen 28 5.5 Zelfreflectie 29 5.6 Suggesties voor nader onderzoek 29 Literatuur 30 vi

1. Inleiding 1.1 Introductie In dit hoofdstuk beschrijven wij de aanleiding van ons onderzoek. Vervolgens behandelen wij het doel wat wij willen bereiken en de centrale vraagstelling die de basis vormt van het onderzoek. Gebruikmakend van een drietal deelvragen wordt de centrale vraagstelling opgesplitst om op gestructureerde wijze de doelstelling te bereiken. In paragraaf 1.5 behandelen wij de opzet van het praktijkonderzoek, waarna in paragraaf 1.6 de opbouw van de scriptie beschreven wordt. Uiteindelijk sluiten wij dit hoofdstuk af door de reikwijdte van het onderzoek te behandelen. 1.2 Aanleiding Al jaren neemt het uitbesteden van bedrijfsprocessen die niet tot de kerncompetentie van een organisatie horen toe. Bij zowel de organisaties die de diensten uitbesteden als bij de auditors van deze organisaties ontstaat daarmee de behoefte om zekerheid te verkrijgen over de beheersing van deze uitbestede processen. [Keij09] In zijn artikel meldt Roos dat een service auditor s rapport een middel is om transparantie te verkrijgen over deze uitbestede processen, waarna accountants zekerheid kunnen verschaffen over de uitingen die service organisaties in het rapport opnemen. [Roos08] Er bestaan verschillende typen service auditor s rapporten, waarvan de bekendste de Amerikaanse SAS70 standaard is. Inmiddels is buiten de Verenigde Staten de SAS70 standaard vervangen door de internationale standaard ISAE 3402. [Verw09] Deze standaard is bedoeld om een rapportage te bieden die gebruikt kan worden door gebruikersorganisaties en haar auditors over de beheersmaatregelen van een service organisatie die aannemelijk relevant zijn voor de interne controle gerelateerd aan financiële verslaglegging van de gebruikers organisatie. [IFAC09.01] De scope van een service auditor s rapport kan echter vrij worden bepaald zolang het binnen de voorwaarden van de standaard blijft. Dit betekent dat de auditor van de gebruikersorganisatie er niet vanuit kan gaan dat de scope waarover gerapporteerd wordt middels het service auditor s rapport ook voldoet aan de eisen vanuit de gebruikersorganisatie. Naast dit punt dienen ook andere aspecten in deze beoordeling van een service auditor s rapport door de gebruikers auditor te worden meegenomen. Een belangrijk punt is bijvoorbeeld dat indien een service auditor s rapport een behoorlijk aantal IT beheersmaatregelen bevat, de auditor van de gebruikersorganisatie bij de beoordeling van het rapport de hulp kan inroepen van een specialist. Uit onze ervaring blijkt dat in het kader van de jaarrekeningcontrole het beoordelen van een service auditor s rapport in de praktijk divers wordt aangepakt. 1.3 Doelstelling Wij willen met deze scriptie een bijdrage leveren door te inventariseren hoe de beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole in de praktijk wordt aangepakt, en indien nodig concrete aanbevelingen te identificeren met betrekking tot het beoordelen van een service auditor s rapport, met speciale aandacht voor de rol van de IT auditor hierbij. 1.4 Vraagstelling Om een deze doelstelling te behandelen, hanteren wij de volgende centrale onderzoeksvraag die de basis van het onderzoek: Hoe dient een service auditors rapport te worden beoordeeld in het kader van een jaarrekening controle en welke rol speelt de IT auditor hierbij. Om een gestructureerd antwoord te kunnen geven op bovenstaande centrale onderzoeksvraag hebben wij de volgende deelvragen geformuleerd: 1. Wat is een service auditors rapport en welke kenmerken zijn belangrijk met betrekking tot een beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole? 1

2. Welke richtlijnen zijn er beschikbaar voor het beoordelen van een service auditors rapport en wordt hier aandacht besteed aan de rol van de IT auditor? 3. Hoe wordt een service auditors rapport in de praktijk beoordeeld en gebeurt dit conform de richtlijnen? 1.5 Onderzoek aanpak Naar aanleiding van het probleem hebben wij een plan opgesteld hoe een theoretisch en praktijkgericht antwoord te krijgen op de centrale onderzoeksvraag. Aan de hand van een literatuurstudie hebben wij ons verdiept in de standaarden van service auditor s rapportages en de standaarden en richtlijnen die aanwezig zijn voor accountants met betrekking tot het beoordelen van een service auditor s rapport in het kader van de jaarrekeningcontrole. Vervolgens hebben wij besloten het praktijk onderzoek in enquêtevorm uit te voeren. Om te voorkomen dat wij door het definiëren van gesloten vragen gewenste antwoorden zouden uitlokken, hebben wij bewust voor een open hoofdvraag gekozen. Omdat er een zekere mate van vaktechnische kennis omtrent dit onderwerp nodig is, hebben wij deze enquête verspreid onder een geselecteerd aantal audit professionals. Deze selecte groep Register Accountants (RA s) en Register IT auditors (RE s) zijn allen regelmatig betrokken bij het beoordelen van een service auditor s rapport in het kader van een jaarrekeningcontrole. De resultaten van de enquête zijn geanalyseerd aan de hand van de geïdentificeerde standaarden (zie hoofdstuk 2 en 3) en onze eigen ervaring. Hierbij behandelen wij ook de verschillen tussen de aanpak van de RA s en RE s. Uiteindelijk hebben we concrete aanbevelingen opgesteld om de beoordeling van een service auditor s rapport te verbeteren. 1.6 Reikwijdte van het onderzoek De reikwijdte van ons onderzoek is het beoordelen van een service auditor s rapport in het kader van de jaarrekening controle en de rol van de IT auditor hierbij. Dit betekent dat wij ingaan op de verantwoordelijkheden van de gebruikers auditor, en nadrukkelijk niet op de verantwoordelijkheden van de service auditor. 1.7 Opbouw van de scriptie De scriptie is opgebouwd uit drie delen: Beschrijving Analyse Beschouwing en conclusie Beschrijving De eerste drie hoofdstukken vormen het beschrijvende deel van het onderzoek. In hoofdstuk 2 zal antwoord gegeven worden op deelvraag 1 door dieper in te gaan op de belangrijke kenmerken van een service auditor s rapport. Dit aspect behandelen wij aan de hand van de nieuwe internationale ISAE 3402 standaard, maar ook met aandacht voor de verschillen tussen deze nieuwe standaard en haar voorganger, de Amerikaanse SAS70 standaard. Hoofdstuk 3 zal antwoorde geven op deelvraag 2 door de theorie rondom de jaarrekening controle zelf en de beschikbare richtlijnen ten aanzien van het beoordelen van een service auditor s rapport in het kader van de jaarrekeningcontrole te behandelen. Daarbij zoeken wij specifiek ook naar richtlijnen ten aanzien van de rol van de IT auditor bij dit proces. Analyse Het tweede deel van dit onderzoek, hoofdstuk 4, betreft het onderzoek van de huidige manier van beoordelen van een service auditor s rapport in het kader van de jaarrekening controle en geeft hiermee antwoord op deelvraag 3. Het onderzoek wordt uitgevoerd aan de hand van een enquête, waarna de resultaten worden geanalyseerd aan de hand van de NV COS 402 standaard uit de theorie. Aangezien wij vanuit onze praktijkervaring hebben gemerkt dat zowel accountants als IT auditors betrokken zijn bij het beoordelen van service auditor s rapporten hebben wij ook de verschillen in aanpak tussen beide beroepsgroepen proberen te identificeren. 2

3

Beschouwing en conclusie Tenslotte volgt in hoofdstuk 5 een beschouwend gedeelte waar wij op basis van de reeds verzamelde informatie, de inventarisatie en ons professional judgment komen tot een conclusie ten aanzien van de centrale onderzoeksvraag. In dit deel van de scriptie hebben wij ook een aantal concrete aanbevelingen opgenomen om het beoordelings proces te optimaliseren, waarbij wij specifiek aandacht besteden aan de rol van de IT auditor bij dit proces. 4

2. Het Service Auditor s Rapport 2.1 Inleiding In vrijwel alle sectoren besteden organisaties vandaag de dag diensten uit aan derde partijen. Daarbij gaat het om een veelheid aan diensten, variërend van IT en salarisverwerking tot en met processen op het gebied van administratie of vermogensbeheer. Als gevolg van uitbesteding van processen is er steeds meer behoefte aan zekerheid hierover. [Keij09] Een middel om meer zekerheid ofwel assurance te verkrijgen over uitbestede processen is het service auditors rapport. Een service auditors rapport is de verzamelnaam voor alle rapportage standaarden waarmee zekerheid kan worden verkregen over uitbestede processen [Beek10]. In de huidige praktijk komt de Amerikaanse SAS70 standaard het meeste voor. Inmiddels is er echter ook een internationale standaard beschikbaar, de ISAE 3402. De Amerikaanse SAS70 standaard is kortgeleden ook in lijn gebracht met de internationale standaard, wat geresulteerd heeft in de SSAE-16 standaard. Wij beogen met dit hoofdstuk niet een compleet overzicht te geven van alle beschikbare service auditor rapport standaarden en de verschillen tussen deze standaarden. Over dit onderwerp zou een complete scriptie geschreven kunnen worden. Wel zullen we een beeld schetsen van wat een service auditors rapport is en welke aspecten belangrijk zijn met het oog op de beoordeling ervan. Aangezien wij verwachten, mede op basis van gesprekken met onze klanten, dat de ISAE 3402 standaard in de Nederlandse praktijk het meeste zal voorkomen zullen wij ons in dit hoofdstuk focussen op de ISAE 3402 standaard. Echter, aangezien de SAS70 standaard op dit moment nog het meeste voorkomt, zullen we ook de belangrijkste verschillen tussen de ISAE 3402 en de SAS70 standaard behandelen ten aanzien van de aspecten die van belang zijn bij de beoordeling van een service auditor s rapport. Daarnaast staan we kort stil bij enkele andere voorkomende standaarden. Dit hoofdstuk is als volgt opgebouwd: In paragraaf 2.2 behandelen we de basisbegrippen van service auditors rapport. In paragraaf 2.3 staan we even kort stil bij de historie van een service auditors report. Vervolgens gaan we in paragraaf 2.4 in op de nieuwe ISAE 3402 standaard en de kenmerken die van belang zijn bij de beoordeling ervan. In paragraaf 2.5 staan we stil bij relevante nationale standaarden. Tenslotte behandelen we in paragraaf 2.6 slotopmerkingen. 2.2 Basisbegrippen van het service auditor s rapport In deze paragraaf geven we een overzicht van de basisbegrippen ten aanzien van een service auditors rapport. Onderstaand figuur geeft deze basisbegrippen weer. 5

Figuur 1: relaties ten aanzien van een Service auditor s rapport De volgende partijen zijn hierbij relevant: de gebruikers organisatie: de organisatie die een dienst of proces heeft uitbesteed aan de service organisatie. de service organisatie: de organisatie die de dienst van de gebruikers organisatie uitvoert op basis van afspraken met de gebruikersorganisatie gebruikers auditor: De auditor van de gebruikers organisatie service auditor: De auditor die op verzoek van de service organisatie rapporteert over de interne beheersing met betrekking tot de door de service organisatie uitgevoerde werkzaamheden. Zoals in figuur 1 aangegeven is er een relatie tussen de gebruikers organisatie en de service organisatie. De gebruikers organisatie heeft een dienst uitbesteed en heeft hier afspraken over gemaakt met de service organisatie. Vaak zijn deze afspraken vastgelegd in onder andere een Service Level Agreement. Indien de uitbestede dienst van materieel belang is en daarmee invloed heeft op de jaarrekening van de gebruikers organisatie, zijn de vastgelegde afspraken echter niet voldoende voor de gebruikers auditor. Volgens de NV COS 402 standaard, die we in hoofdstuk 3 verder zullen behandelen, dient de gebruikers auditor zich een beeld te vormen van de interne beheersing van de service organisatie, en dient de auditor zekerheid te verkrijgen over deze interne beheersing van der service organisatie. Zoals eerder aangegeven is het service auditors rapport daar een middel voor. 2.3 Historie van het service auditor s rapport De historie van het service auditor s rapport kan het beste worden omschreven aan de hand van de geschiedenis van de SAS70 standaard. De SAS70 of voluit geschreven Statement on Auditing Standards No. 70: Service Organizations was een audit standaard die in april 1992 is uitgegeven door de Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA), onder de officiële titel Reports on the Processing of Transactions by Service Organizations. 1 In 2005 bracht de AICPA een geactualiseerde audit guide uit voor SAS70, genaamd Service Organizations: Applying SAS No. 70, as Amended en maakte tot op heden deel uit van AU Section 324 Service Organizations, maar in de praktijk wordt nog steeds de term SAS70 gebruikt. [AICPA05] In Nederland is het eerste SAS70 rapport uitgebracht in 2000 en heeft het daarna een grote vlucht genomen, mede door de steeds strengere eisen die er werden gesteld aan een verantwoording van een goed ondernemingsbestuur. Dit heeft geleid tot regelgeving, zoals de uitbestedingsrichtlijnen voor verzekeraars en pensioenfondsen van De Nederlandse Bank en het vastleggen van sectie 404 uit de Amerikaanse Sarbanes-Oxleywetgeving in 2002 [Verw08]. Uit een 6

onderzoek van Deloitte voor het Money Management Institute blijkt dat SAS70 de jaren daarna meer en meer bekend is geworden. In 2008 was meer dan 90% van de respondenten al met SAS70 in aanraking gekomen en meer dan 80% heeft zelfs inhoudelijke kennis over het rapport en de standaard zelf ontwikkeld over de jaren. [MMI08]. 2.4 ISAE 3402 Zoals in de inleiding aangegeven wordt de ISAE 3402 standaard gebruikt om het service auditors rapport verder toe te lichten. We beginnen met een beschrijving van hoe de standaard tot stand is gekomen. Daarna zullen we ingaan op de belangrijkste aspecten van de standaard met het oog op de beoordeling ervan. 2.4.1 Van exposure draft naar standaard De International Standard on Assurance Engagements (ISAE) 3402 is een nieuwe standaard voor assurance opdrachten bij uitbesteding. De ISAE 3402 is ontwikkeld door de International Auditing and Assurance Standards Board (IAASB), een comité wat onderdeel is van de International Federation of Accountants (IFAC). De IAASB is verantwoordelijk voor het ontwikkelen van onder andere audit standaarden. De IAASB volgt hiervoor een gestructureerd proces en werkt nauw samen met haar consultatie advies groep. De exposure draft voor de ISAE 3402 is uitgebracht in december 2007 en werd er om publiekelijk commentaar gevraagd aan verschillende internationaal gewaardeerde organisaties. Ontvangen reacties zijn door de IAASB beoordeeld en resulteerde uiteindelijk in de definitieve versie van de ISAE 3402 standaard die uitgebracht is op 18 december 2009. De ISAE 3402 gaat in voor opdrachten met periodes eindigend op of na 15 juni 2011. 2 1) Zie http://sas70.com 2.4.2 voor Kenmerken meer informatie ISAE 3402 standaard In deze paragraaf gaan we in op de kenmerken van de ISAE 3402 standaard. Zoals eerder aangegeven beogen we geen volledig overzicht te geven van de standaard, maar halen we de belangrijkste aspecten aan in het licht van onze onderzoeksvraag: hoe beoordeel je een service auditor s rapport in het kader van de jaarrekening controle. Daarnaast geven we voor de verschillende aspecten aan hoe ze zich verhouden tot de SAS70 standaard. Voor een compleet overzicht van de kenmerken van de ISAE 3402 standaard verwijzen wij naar de standaard zelf [IFAC09.01]. Voor een compleet overzicht van de verschillen met de SAS70 standaard verwijzen wij naar Ewals [Ewals10] of van Beek [Beek10] Reikwijdte van de ISAE 3402 standaard Processen met impact op de financiële verslaglegging In de definitieve versie van de ISAE 3402 standaard wordt uiteindelijk aangegeven dat de scope van de processen waarover de service auditor rapporteert, conform de SAS70 standaard, enkel mag bestaan uit processen met een impact op de financiële verslaggeving van gebruikersorganisaties [Beek10]. Dit is een opvallend punt aangezien er bij de exposure draft nog sprake was van een verbreding van de scope met processen zonder impact op de financiële verslaggeving. Toch meldt Ewals in zijn recente artikel: Wel is door de IAASB de deur opengezet voor een grotere reikwijdte door in de ISAE-teksten op te nemen, waarin is aangegeven dat beheersmaatregelen rondom operations van de serviceorganisatie en compliance met wet- en regelgeving ook relevant kunnen zijn voor de financial reporting van de user organisatie. [Ewals10] In de ISAE 3402 standaard lezen wij This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice to provide a report for use by user entities and their auditors on the controls at a service organization that provides a service to user entities that is likely to be relevant to user entities internal control as it relates to financial reporting. [IFAC09.01] Naar onze mening is het gebruik van de woorden likely to be relevant hier verwarrend aangezien op deze manier onduidelijkheid kan ontstaan over de geoorloofde scope. De verschillende meningen onder de experts bevestigen dit beeld. Het is in ieder geval duidelijk dat de standaard overige processen niet per definitie uitsluit. 7

In de praktijk verwachten wij overigens, mede op basis van feedback van onze klanten, dat service organisaties de introductie van de ISAE 3402 standaard zullen gebruiken om de reikwijdte van hun huidige SAS70 rapportage te beperken tot processen die daadwerkelijk impact hebben op de financiële verslaggeving, ook al was het formeel onder de SAS70 standaard ook niet geoorloofd om andersoortige processen op te nemen. Richtlijnen ten aanzien van reikwijdte en diepgang Een ander punt ten aanzien van de reikwijdte van de ISAE 3402 standaard is dat de standaard zelf geen richtlijnen (guidance) bevat ten aanzien van de welke processen dan impact hebben op de financiële verslaggeving, of met welke diepgang deze processen dienen te worden meegenomen in het interne beheersingsraamwerk van de service organisatie. Het is daarmee feitelijk aan de service organisatie, al dan niet in overleg met de service auditor, gebruikers organisatie en wellicht ook de gebruikers auditor, om te bepalen welke processen in scope zouden moeten zijn en met welke diepgang de beheersmaatregelen worden gedefinieerd. Voor de gebruikers auditor blijft het daarmee van uitermate groot belang om de reikwijdte en diepgang van een service auditor s rapport te beoordelen, en niet aan te nemen dat de reikwijdte voldoende is. Typen rapporten In de ISAE3402 standaard en feitelijk conform de SAS70 standaard, zijn er twee typen rapporten te onderscheiden, namelijk: Type I rapport in dit rapport geeft de service auditor in haar mededeling een redelijke mate van zekerheid over de opzet en het bestaan van de interne beheersing van de service organisatie op een bepaalde datum. De mededeling die de service auditor afgeeft omvat dat de beschrijving van het systeem van de service organisatie een getrouw beeld geeft en dat de interne interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet [IFAC09.01]. Type II rapport In dit rapport geeft de service auditor in haar mededeling naast de opzet en bestaan ook een redelijke mate van zekerheid over dat de interne beheersmaatregelen 2) Zie http://www.ifac.org voor meer informatie hebben gewerkt over een bepaalde periode. [IFAC09.01] In de praktijk wordt het type I rapport gebruikt als opstap naar een type II rapport. Een type I rapport is in het kader van de jaarrekeningcontrole van weinig waarde aangezien de gebruikersauditor zich alleen een beeld kan vormen van de interne beheersing bij de service organisatie, maar niet over de werking van deze interne beheersing. Het zal dan vaak nodig zijn om zelf werkzaamheden uit te voeren om de effectieve werking van geïmplementeerde beheersmaatregelen vast te stellen. Management verklaring Onder de SAS 70 standaard gaf de service auditor in haar mededeling een opinie af over de opzet, het bestaan en, indien het een Type II rapport betrof, de werking van de interne beheersmaatregelen van de service organisatie. Bij de ISAE 3402 standaard is, naast deze opinie die afgegeven wordt door de service auditor, ook het management van de service organisatie verplicht een getekende verklaring af te geven. Middels deze verklaring dient de service organisatie te verklaren dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria: a. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum; b. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; c. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten (NB: alleen van toepassing bij een type II rapport.) [IFAC09.01] Uit de toelichting in de ISAE 3402 standaard wordt aangegeven: Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar bewering te verschaffen. Dit betekent dat de ISAE 3402 standaard vereist dat de service 8

organisatie zelf procedures hanteert om de opzet, bestaan en werking van haar interne beheersmaatregelen te toetsen om zo een redelijke basis te hebben voor haar management verklaring. De standaard geeft niet expliciet aan wat nu precies deze redelijke basis is. Dit zal dus over worden gelaten aan het professional judgment van de service auditor. Wij verwachten dat de Big Four kantoren interne richtlijnen zullen gaan opstellen met betrekking tot dit punt. Een bijkomend vraagstuk met betrekking tot de managementverklaring is vervolgens de discussie rondom de tekenbevoegdheid van de managementverklaring. Het is vanuit de standaard namelijk onduidelijk welke personen binnen het management van de service organisatie nu wel of niet de verklaring mogen ondertekenen. In de standaard valt te lezen: Where this ISAE requires the service auditor to inquire of, request representations from, communicate with, or otherwise interact with the service organization, the service auditor shall determine the appropriate person(s) within the service organization s management or governance structure with whom to interact. This shall include consideration of which person(s) have the appropriate responsibilities for and knowledge of the matters concerned. [IFAC09.01] Ook hier verwachten wij dat de verschillende kantoren daar eigen richtlijnen zullen ontwikkelen. In het kader van ons onderzoek kunnen wij gebruikers auditors die een ISAE 3402 rapport beoordelen adviseren om de service organisatie of service auditor te vragen hoe er met bovenstaande punten wordt omgegaan, te meer aangezien de standaard niet vereist dat de service auditor rapporteert over de omgang ten aanzien van bovenstaande punten. Mededeling van de service auditor Een opvallend punt is dat, ondanks het feit dat het management zelf verklaart dat de interne beheersing effectief heeft gewerkt, de service auditor haar mededeling nog steeds dient te formuleren als een direct reporting conclusie.[ifac09.01] Dit betekent dat de service auditor in haar mededeling niet verwijst of steunt op de management verklaring of de werkzaamheden die het management heeft uitgevoerd, maar aangeeft tot het oordeel te zijn gekomen op basis van eigen werkzaamheden. Daarmee verschilt de mededeling onder de ISAE 3402 standaard niet van de mededeling onder de SAS70 standaard. Sub-service organisaties Het komt in de praktijk regelmatig voor dat de service organisatie op haar beurt een deel van haar processen heeft uitbesteed aan een andere service organisatie. Zo n service organisatie wordt een sub-service organisatie genoemd. Een volledige definitie van een sub-service organisatie wordt door ISAE 3402 als volgt beschreven: een service organisatie gebruikt door een andere service organisatie om een deel van haar diensten uit te voeren ten behoeve van de gebruikersorganisatie die relevant kunnen zijn tot de interne controle van de gebruikersorganisatie waar het relateert aan de financiële verslaggeving. [IFAC09.01] De ISAE 3402 standaard voorziet, ook weer conform de SAS70 standaard, in twee methoden ten aanzien van de omgang met sub-service organisaties: Inclusive methode Bij deze methode neemt de service organisatie de sub-service organisatie mee in de reikwijdte van het ISAE 3402 rapport en wordt de beheersomgeving en daarmee de relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie onderdeel van de scope van het service auditors rapport. The service auditor test de beheersmaatregelen bij de sub-service organisatie en rapporteert in het service auditors rapport over de resultaten. Hiermee geeft de service auditor ook een redelijke mate zekerheid over de interne beheersomgeving van de sub-service organisatie. Carve out methode Bij deze methode wordt de sub-service organisatie buiten de reikwijdte van het service auditors rapport gehouden en neemt de service organisatie alleen de diensten die zij zelf uitvoert op in het service auditor s rapport. De beheersomgeving, relevante beheersdoelstellingen en beheersmaatregelen van de sub-service organisatie worden niet meegenomen als object van onderzoek voor de audit, waardoor er door de service auditor ook geen zekerheid wordt gegeven over de interne controle van de sub-service organisatie. In deze gevallen zal de sub-service organisatie vaak zelf een service auditors rapport afgeven. 9

Een belangrijk verschil met de SAS70 standaard is dat er in het geval van de inclusive methode, het volgens de ISAE 3402 standaard ook verplicht is om een management verklaring van de subservice organisatie op te nemen. In de standaard staat te lezen: De opname methode (inclusive methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de subserviceorganisatie hierin voorziet. [IFAC09.01]. Wij verwachten dat de inclusive methode gezien bovenstaande minder vaak zal voorkomen. In deze gevallen zal de sub-service organisatie waarschijnlijk zelf een service auditor s rapport uitbrengen. Dat betekent dat in het kader van de beoordeling van een service auditor s rapport het dan ook vaker zal voorkomen dat de gebruikers auditor de rapportages van de sub-service organisaties dient te beoordelen. In hoofdstuk 4 gaan we verder op dit punt in. Aanvullende interne beheersmaatregelen van de gebruikende entiteit Conform de SAS70 standaard is de service organisatie ook bij de ISAE 3402 standaard verplicht om eventuele aanvullende interne beheersmaatregelen waarvan de service organisatie aanneemt dat deze geïmplementeerd zijn bij de gebruikers organisatie op te nemen in het rapport [IFAC09.01]. Hierbij gaat het om beheersmaatregelen die noodzakelijk zijn om de interne beheersdoelstellingen waarover de service auditor rapporteert, te behalen. Een voorbeeld hiervan is bijvoorbeeld een salarisverwerker die in de aanvullende interne beheersmaatregelen aangeeft dat de salarismutaties die de gebruikersorganisatie aan de service organisatie doorgeeft juist en volledig dienen te zijn. Werkzaamheden uitgevoerd door Internal Audit Vanuit de ISAE 3402 standaard is de service auditor verplicht om een beschrijving op te nemen van eventuele testwerkzaamheden die zijn uitgevoerd door de Internal Auditor en een beschrijving van de invloed van deze werkzaamheden op de opinie van de service auditor [IFAC09.01]. Onder de SAS70 standaard werden activiteiten uitgevoerd door Internal Audit onder verantwoordelijkheid van de service auditor uitgevoerd en hoefden deze niet vermeld te worden in de rapportage. 2.5 Nationale service auditor rapport standaarden Zoals eerder aangegeven is de ISAE 3402 de eerste internationale standaard ten aanzien van assurance over uitbestede processen. Naast de Amerikaanse SAS70 standaard zijn in andere landen in de loop der jaren verschillende standaarden ontstaan. In figuur 2 geeft Gaskin een overzicht van aantal standaarden waar de ISAE 3402 invloed op zal hebben. Zij geeft hierbij aan dat nationale organisaties die standaarden ontwikkelen er op aangedrongen worden om ofwel de ISAE 3402 direct toe te passen ofwel hun huidige standaard er nauw op de ISAE 3402 aan te sluiten. [Gas09] Figuur 2: relatie ISAE 3402 met bestaande standaarden 10

Het advies van Gaskin is door de Auditing Standards Board van de AICPA al overgenomen. In April 2010 heeft de AICPA de opvolger van de SAS 70 standaard gepubliceerd, de Statement on Standards for Attestation Engagements (SSAE) 16. SSAE 16 zal de SAS 70 standaard vervangen als de standaard van rapportering over service organisaties voor periodes eindigend op of na 15 juni 2011. 3 De SSAE 16 standaard is hiermee feitelijk de Amerikaanse vertaling van de internationale ISAE 3402 standaard. Ten opzichte van de ISAE 3402 standaard is er wel een aantal verschillen, maar de kenmerken die van de ISAE 3402 die wij in de vorige paragraaf hebben behandeld zijn ook voor de SSAE 16 standaard van toepassing. In het kader van onze onderzoeksvraag voert het dan ook te ver om verder stil te staan bij deze verschillen. Wij verwijzen de lezer graag naar de website gewijd aan de standaard voor meer informatie 3. Inmiddels is ook de Nederlandse vertaling van de ISAE 3402 standaard beschikbaar vanuit NOREA. Alhoewel er meer verschillen zijn, is het opvallend dat waar de IFAC aangeeft bij de scope van de standaard: This International Standard on Assurance Engagements (ISAE) deals with assurance engagements undertaken by a professional accountant in public practice [IFAC09.01], NOREA ervoor kiest om de term professional accountant in public practice te vertalen met beroepsbeoefenaar [NOREA11]. NOREA geeft dan ook aan in een voetnoot dat de term beroepsbeoefenaar de IT-auditor, zoals gedefinieerd in het Reglement Gedragscode betreft. Dat betekent dat een ISAE 3402 rapport in Nederland ook zou kunnen worden afgegeven door een interne IT auditor en niet per definitie een IT auditor binnen een professional services kantoor. De overige standaarden die door Gaskin worden genoemd komen in de Nederlandse praktijk niet of nauwelijks voor. We gaan dan ook niet verder op deze standaarden in. Een standaard die we in Nederland wel regelmatig tegenkomen is de De Third Party Mededeling of Derde Partij Mededeling. Dit is een in Nederland gebruikt service auditors rapport zonder vormvoorschriften voor de wijze van rapporteren. [Vries08] Deze vorm van een service auditor rapport is ontstaan door een vraag naar standaardisatie in IT onderzoeken naar de kwaliteit in beheersing door ITdienstverleners. [Jonk07]. Inmiddels wordt de TPM vrijwel altijd onder de assurance standaard NV COS 3000 Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie afgegeven. Hoewel de NV COS 3000 standaard niet specifiek 3) Zie http://www.ssae-16.com gericht is voor op de meer betrouwbaarheid informatie en integriteit van de financiële verslaggeving, komt het in de praktijk regelmatig voor dat er in het kader van een jaarrekening gebruik wordt gemaakt van een rapport onder NV COS 3000. Veel van de kenmerken van de ISAE 3402 standaard gelden niet voor de een service auditors rapportage uitgebracht onder NV COS 3000. Zoals we in hoofdstuk 3 zullen laten zien wordt er in de richtlijnen ten aanzien van het gebruikmaken van een service auditor s rapport echter geen onderscheid gemaakt naar de standaard waaronder het service auditor s rapport is uitgebracht. Dat betekent dat indien de gebruikers auditor gebruik zou willen maken van rapport onder NV COS 3000, hij of zij extra aandacht zal moeten besteden om te bepalen of het rapport wel geschikt is voor het gebruik in het kader van de jaarrekeningcontrole. 2.6 Slotopmerkingen We hebben met dit hoofdstuk de benodigde achtergrond ten aanzien van het service auditor s rapport verschaft om later in deze scriptie te kunnen aangeven hoe een service auditor s rapport dient te worden beoordeeld. Aan de hand van de nieuwe internationale standaard ISAE 3402 hebben we de belangrijke aspecten van een service auditor s rapport toegelicht in het kader van het beoordelen van een service auditor s rapport. Daarnaast hebben we de reikwijdte van een service auditor s rapport behandeld, en we hebben aangegeven welke verschillen er op deze punten bestaan met de op dit moment veel voorkomende SAS70 standaard. Tenslotte hebben we kort stilgestaan bij enkele relevante nationale standaarden. Uit dit hoofdstuk blijkt dat de ISAE 3402 standaard op een aantal punten niet duidelijk is. Zo kan er onduidelijkheid ontstaan ten aanzien van het al dan niet opnemen van processen zonder impact op de financiële verslaggeving. Daarnaast geeft de standaard geen duidelijkheid over de processen die juist wel in scope zouden moeten zijn en ook niet met betrekking tot de diepgang van de beheersmaatregelen. De standaard laat daarmee veel ruimte voor professional judgment. 11

Voor de gebruikers auditor betekent bovenstaande dat er expliciete aandacht dient te worden besteed aan met name de reikwijdte en diepgang van een service auditor s rapport. De gebruikers auditor zal zich moeten verdiepen in de afwegingen die (al dan niet expliciet) zijn gemaakt door zowel de service auditor als de service organisatie. 12

3 Richtlijnen voor het beoordelen van een service auditor s rapport in het kader van de jaarrekeningcontrole. 3.1 Inleiding In dit hoofdstuk gaan wij na welke richtlijnen er beschikbaar voor het beoordelen van een service auditors rapport in het kader van de jaarrekening controle en of in deze richtlijnen aandacht wordt besteed aan de rol van de IT auditor. In paragraaf 3.2 schetsen wij eerst een korte achtergrond van de jaarrekening controle zelf voordat wij in paragraaf 3.3 de richtlijnen behandelen die de accountant helpen de jaarrekening controle uit te voeren. Vervolgens zullen wij in paragraaf 3.4 ingaan op richtlijnen die zijn opgesteld ten aanzien van het beoordelen van een service auditor s rapport in het kader van de jaarrekening controle. Ten slotte zal paragraaf 3.5 achterhalen in welke mate de richtlijnen aandacht besteden aan de rol van een IT auditor tijdens het beoordelen van een service auditor s rapport. 3.2 De jaarrekeningcontrole Sinds de vernieuwing van de Wet op de jaarrekening van ondernemingen (WJO, hoofdstuk 12) zijn vanaf 1971 niet alleen voor Naamloze Vennootschappen, maar voor alle rechtspersonen de voorschriften omtrent de inhoud van het jaarverslag verscherpt [Dorr08]. In het kader van externe verslaggeving zijn alle rechtspersonen verplicht een jaarverslag uit te brengen. De externe verslaggeving is gericht op het informeren van belanghebbenden over de ontwikkelingen binnen een onderneming. Het jaarverslag bestaat uit financiële informatie en uit informatie die gericht is op het geven van een goede beeldvorming van de onderneming. De jaarrekening is een onderdeel van het jaarverslag en bestaat uit de balans, winst- en verliesrekening, toelichtingen en de accountantsverklaring. Er zijn verschillende definities van de jaarrekening en om deze reden starten wij bij de beschrijving uit de Van Dale: staat van ontvangsten en uitgaven over een heel boekjaar. Dit is een zeer bondige definitie en laat naar onze mening onvoldoende het doel zien van de jaarrekening. Wij kunnen ons meer vinden in de definitie uit Titel 9 van het Burgerlijk Wetboek 2: De jaarrekening geeft volgens normen die in het maatschappelijk verkeer als aanvaardbaar worden beschouwd een zodanig inzicht dat een verantwoord oordeel kan worden gevormd omtrent het vermogen en het resultaat, alsmede voor zover de aard van de jaarrekening dat toelaat, omtrent de solvabiliteit en de liquiditeit van een rechtspersoon 3.3 Richtlijnen voor de jaarrekeningcontrole Internationaal is IFAC de organisatie die zich bezig houdt om een accountantsberoep te ontwikkelen en te bevorderen dat in staat is op uniforme wijze diensten te verlenen van hoge kwaliteit ten behoeve van het algemeen belang. Binnen Nederland is het Koninklijk NIVRA als lid van IFAC verplicht het werk van IFAC te ondersteunen door haar leden te informeren over alle uitspraken van IFAC en met name de implementatie van de Standaarden van IFAC in de Nederlandse wet- en regelgeving te bewerkstelligen, voor zover dat onder de plaatselijke wet- en regelgeving mogelijk is. 4 Dit heeft als resultaat dat de ISA (International Standards on Auditing) richtlijnen uitgebracht door IFAC worden opgenomen door het NIVRA in de nationale Nadere Voorschriften Controle- en Overige Standaarden (NV COS) welke zijn opgenomen in de Handleiding Regelgeving Accountancy. Ten behoeve van de auditor van een organisatie heeft het NIVRA een Stramien opgesteld wat een referentiekader geeft voor accountants in de accountantspraktijk die een assurance-opdracht uitvoeren, anderen die betrokken zijn bij assurance-opdrachten, waaronder de beoogde gebruikers van een assurance-rapport en de verantwoordelijke partij en de beroepsorganisaties (NIVRA/NOvAA) bij de ontwikkeling van Controlestandaarden, Standaarden voor Beoordelingsopdrachten en Standaarden voor Assurance-opdrachten. Dit Stramien bepaalt en omschrijft de elementen en doelstellingen van een assurance-opdracht en geeft aan op welke 4) Zie http://www.nivra.nl voor meer informatie 13

opdrachten de Controlestandaarden, de Standaarden voor Beoordelingsopdrachten en de Standaarden voor Assurance-opdrachten van toepassing zijn. 4 Dit Stramien beschrijft geen procedurele eisen voor de uitvoering van assurance-opdrachten, maar zijn richtlijnen opgenomen zoals algemene uitgangspunten en noodzakelijke werkzaamheden. Wij zullen kort dit Stramien behandelen om zo tot de richtlijnen te komen die wij verder willen toelichten in het kader van ons onderzoek. Het Stramien is opgebouwd uit de volgende delen: 100-999 Opdrachten tot controle van historische financiële informatie 2000-2699 Opdrachten tot beoordelen van historische financiële opdrachten 3000-3699 Assurance opdrachten anders dan opdrachten tot controle of beoordelen van historische financiële informatie 4000-4699 Aan assurance verwante opdrachten 5000-5699 Overige opdrachten Uit bovenstaande opbouw van het Stramien is te zien dat in de NV COS onderscheid wordt gemaakt naar historische financiële informatie, zoals een jaarrekening, en andersoortige informatie. Wij zijn van mening dat dit onderscheid van belang is voor de toepassing van de juiste standaarden van de NV COS op het gebied van assurance-opdrachten. Vanuit de reikwijdte van ons onderzoek beperken wij ons om deze reden tot de NV COS 100-999 opdrachten tot controle van historische financiële informatie. 3.4 Richtlijnen voor het beoordelen van een service auditor s rapport In de voorgaande paragraaf hebben wij kort het NIVRA stramien behandeld en een beperking aangebracht tot opdrachten tot controle van historische financiële informatie. In deze paragraaf gaan wij verder in op de vraag welke NV COS richtlijnen van toepassing zijn op het beoordelen van een service auditor s rapport in het kader van de jaarrekening controle. Hierbij is het belangrijk aan te geven dat wij niet op zoek zijn naar richtlijnen bedoeld voor de service auditor (deze zijn beschikbaar als onderdeel van de verschillende standaarden), maar naar de richtlijnen bedoeld voor de gebruikers auditor. In de Handleiding Regelgeving Accountancy (HRA) van 2010 zijn de standaarden die betrekking hebben op ons onderzoek niet volgens de laatste IFAC standaarden. [NIVRA10] IFAC heeft namelijk tegelijk met het ISAE 3402 traject de standaard ISA 402 in lijn gebracht. [IFAC09.02]. Om deze reden gebruiken wij de Inhoud Handleiding Regelgeving Accountancy Deel 1a - januari 2011 waar de nieuwe NV COS standaarden vermeldt staan zoals vastgesteld door het bestuur per 15 januari 2011. 4 Het NIVRA heeft ten behoeve van het beoordelen van een service auditor s rapport de standaard NV COS 402 Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie opgesteld. De NV COS 402 behandelt de verantwoordelijkheid van de gebruikers auditor ten aanzien van het verkrijgen van voldoende controle informatie wanneer een gebruikersorganisatie gebruik maakt van één of meer service organisaties. De diensten die door een service organisatie worden verleend moeten hierbij relevant zijn voor de financiële jaarrekening van de gebruikersorganisatie. [NIVRA11.03] Hieronder zijn de belangrijkste delen van de NV COS 402 standaard opgenomen. Het gebruiken van een type 1 of type 2 rapport teneinde het inzicht van de accountant in de serviceorganisatie te ondersteunen Vergewissen dat de accountant van de serviceorganisatie deskundig is en onafhankelijk van de serviceorganisatie; Vergewissen dat de standaarden waaronder het type 1 of type 2 rapport is uitgebracht, adequaat zijn. 14