Service auditor's rapporten met gebruikerswaardig inzicht : in hoeverre is een IT-Auditor, in de rol van service auditor, in staat om de voor de Richtlijn 3402 vereiste toetsing op de gebruikswaarde van een Service audi

“Service auditor’s rapporten met

gebruikerswaardig inzicht”

In hoeverre is een IT-Auditor, in de rol van service auditor, in staat om de voor de Richtlijn 3402 vereiste toetsing op de gebruikswaarde van een Service auditor’s rapport voor de gebruikersorganisatie en hun

accountants uit te voeren?

Student: W.G. van Putten

Studentnummer: 11156538

E-mail: wouter.van.putten@nl.pwc.com

Studiejaar: Cohort 2015

Inleverdatum: 19 juli 2016

University of Amsterdam - Amsterdam Business School Amsterdam IT-Audit Programme

Plantage Muidergracht 12 1018 TV Amsterdam

Executive summary

Dit rapport bevat een vastlegging van het onderzoek naar de gebruikswaarde van Service auditor’s rapporten, uitgevoerd als onderdeel van de studie ‘Amsterdam IT Audit Programme’ aan de Universiteit van Amsterdam. De centrale vraag welke middels het uitgevoerde onderzoek wordt beantwoord is:

In hoeverre is een IT-Auditor, in de rol van service auditor, in staat om de voor Richtlijn 3402 vereiste toetsing op de gebruikswaarde van een Service auditor’s rapport voor de Gebruikersorganisatie en hun accountants uit te voeren?

Een conclusie ten aanzien van de centrale vraag wordt geformuleerd aan de hand van vier deelvragen:

(1) Welke eisen en verwachtingen zijn er ten aanzien van het beoordelen van de gebruikswaarde van een Service auditor’s rapport?

(2) Op welke wijze kan invulling worden gegeven aan de vereisten ten aanzien van het beoordelen van de gebruikswaarde van een Service auditor’s rapport?

(3) In welke mate heeft een IT-Auditor de vaardigheden en tools om de toereikendheid van scope, systeembeschrijving en beheersingsdoelstellingen vanuit de positie van de Gebruikersorganisatie en hun accountant te toetsen?

(3) Op welke wijze kan de IT auditor, in de rol van service auditor, zorgdragen dat het rapport optimaal aansluit bij de behoefte van de gebruikers en hoe kan dit mogelijk inzichtelijk worden gemaakt in het Service auditor’s rapport?

Conclusies ten aanzien van de deelvragen vraag zijn geformuleerd op basis van een literatuuronderzoek, interviews en een deskresearch.

De gebruikswaarde van Service auditor’s rapporten kan vanuit een theoretisch- en een praktisch oogpunt benaderd worden (deelvraag 1). De theoretische eisen zijn verwoord in Standaard 402. De gebruikswaarde vanuit praktisch oogpunt is gerelateerd aan de mate waarin de rapportage aansluit bij de behoeften van de gebruikers (to-the-point opstellen van de rapportage, het expliciet maken van de scope en het concreet omschrijven van de ‘End-user considerations’).

Het beoordelen van de gebruikswaarde van een Service auditor’s rapport (deelvraag 2) kan aan de hand van Standaard 402 (zie bovenstaand). Tevens is als onderdeel van het onderzoek een beoordelingsmodel opgesteld waarmee de gebruikswaarde op een kwantificeerbare wijze vastgesteld kan worden.

Op basis van de interviews en aan de hand van het beoordelingsmodel is vastgesteld dat IT-Auditors in staat zijn om voldoende gebruikswaarde te creëren in de Service auditor’s rapporten welke ze verstrekken (deelvraag 3). Daarom is geconcludeerd dat de IT-Auditors de juiste vaardigheden en tools bezitten. Aan de hand van het beoordelingsmodel is vastgesteld dat de gebruikswaarde voor een aantal Service auditor’s rapporten zeer laag is. Ten aanzien van de Centrale vraag is geconcludeerd dat IT-auditor’s in staat zijn om de toetsing van de gebruikerswaarde van Service auditors’s rapporten uit te voeren.

De gebruikswaarde van Service auditor’s rapporten zal verbeteren indien de IT-Auditors dit aspect meer onderkennen. Tevens zal de gebruikswaarde verbeteren door het verhogen van de frequentie van publicatie, het rapport ‘presenteren’ in plaats van enkel ‘publiceren’, de scope duidelijker documenteren, het verstrekken van de rapporten uit een centraal register en het intensiveren van scholing ten aanzien van Service auditor’s rapporten. De beperkingen van het onderzoek zijn gerelateerd aan het feit dat de ‘Gebruikersorganisaties’ niet als stakeholder zijn betrokken. Daarnaast is het aantal respondenten (7) en het aantal beoordeelde Service auditor’s rapporten (5) relatief beperkt. Toekomstig onderzoek kan zich richten op de Gebruikersorganisaties alsmede de gang van zaken buiten Nederland.

3 Inhoudsopgave

Executive summary 2

1. Inleiding 5

1.1. Achtergrond en aanleiding 5

1.2. Centrale vraag en deelvragen 8

1.3. Opzet en uitvoer dataverzameling 9

1.3.1 Literatuurstudie 9 1.3.2 Interviews 9 1.3.3 Deskresearch 11 1.3.4 Beperking onderzoeksmethodes 12 1.4. Leeswijzer 12 2. Theoretische achtergrond 13

2.1 Service auditor’s rapporten 13

2.1.1 Introductie van het Service auditor’s rapport 13

2.1.2 Achtergrond van het Service auditor’s rapport 14

2.1.3 Historie van het Service auditor’s rapport 16

2.2 Typen van Service auditor’s rapporten 17

2.3 Richtlijn 3402 assurance rapport 18

2.3.1 Reikwijdte van Richtlijn 3402 18

2.3.2 Management bewering 19

2.3.3 Bewering van de accountant van de Service organisatie 19

2.3.4 Beschrijving van de systemen 20

2.3.5 Type Service auditor’s rapporten 20

2.4 Conclusie 21

3. Het beoordelen en toepassen van een Service auditor’s rapport 22

3.1 Service auditor’s rapporten als onderdeel van de jaarrekeningcontrole 22 3.2 Standaard voor het beoordelen en toepassen van een Service auditor’s rapport 23

3.3 Gebruikerswaarde 24

3.4 Conclusie 25

4. Toetsing aan de hand van beoordelingsmodel 26

4.1. Analyse verzamelde data 26

4.2. Resultaten 26

4.2.1 Resultaten interviews 26

4.2.1.1 Functie en ervaring respondenten 26

4.2.1.2 Service auditor’s rapporten en stakeholders 27

4.2.1.4 Potentiële verbeteringen ten aanzien van Service auditor’s rapporten 29

4.2.1.5 Conclusie op basis van interviews 30

4.2.2 Resultaten Deskresearch 30

4.2.2.1 Conclusie op basis van Deskresearch 32

4.3. Conclusie 33

5.1. Conclusie en beantwoording centrale vraag en deelvragen 35

5.1.1 Conclusie deelvraag 1 35

5.1.2 Conclusie deelvraag 2 36

5.1.3 Conclusie deelvraag 3 36

5.1.4 Conclusie deelvraag 4 37

5.1.5 Conclusie Centrale vraag 37

5.2. Beperkingen uitgevoerd onderzoek 38

5.3. Aanbevelingen toekomstig onderzoek 38

6. Persoonlijke visie 40

7. Literatuurlijst 42

8. Lijst van figuren 43

9. Bijlagen 44

Bijlage 1: Samenvatting typen Service Auditor’s rapporten 45

Bijlage 2: Agenda 46

Bijlage 3: Gespreksverslagen interviews 47

Respondent 1 47 Respondent 2 51 Respondent 3 54 Respondent 4 58 Respondent 5 62 Respondent 6 65 Respondent 7 68

5 1. Inleiding

Hoofdstuk 1 bevat een introductie van het onderwerp wat centraal staat in deze scriptie, tevens wordt een toelichting gegeven op de aanleiding om dit onderwerp centraal te stellen (paragraaf 1.1). De centrale vraag en deelvragen worden gepresenteerd in paragraaf 1.2. Paragraaf 1.3 geeft de opzet en uitvoer van de dataverzameling weer. Het hoofdstuk wordt afgesloten met een leeswijzer ten aanzien van de gehele scriptie (paragraaf 1.4).

1.1. Achtergrond en aanleiding

Het uitbesteden van bedrijfsprocessen is sinds de jaren ’70 sterk gegroeid en is op dit moment een breed toegepaste bedrijfsoplossing, met name voor IT gerelateerde diensten (Leung & Datardina, 2014). Lueng & Datardina (2014) geven een aantal voorbeelden van veel voorkomende service organisaties1_{: verwerkingscentra} voor claims, data centers, trustmaatschappijen, hosting, applicatie service organisaties, beveiliging, krediet verwerkingsorganisaties en clearing-houses. Naast deze veel voorkomende voorbeelden van service organisaties (veelal gericht op de Verenigde Staten) is er in de Nederlandse bedrijfsvoering ook op grote schaal sprake van uitbesteding van salarisverwerkingen (bijvoorbeeld bij service organisaties als Raet en ADP), financieel beheer en het beheren van beleggingsportefeuilles (bijvoorbeeld bij service organisaties als Black Rock en Van Lanschot Bankiers), verwerking van DBC’s (Diagnose Behandel Combinaties tussen ziekenhuizen en de verzekeraars, bijvoorbeeld bij de service organisatie Grouper) alsmede de doorbelaste opbrengsten van online advertenties (zoals bijvoorbeeld door Google).

Met andere woorden: het uitbesteden van bedrijfsprocessen neemt steeds meer toe en wordt steeds belangrijker, daarnaast is de diversiteit van de uitbestede bedrijfsprocessen de afgelopen jaren fors gegroeid.

De redenen waarom bedrijfsprocessen worden uitbesteed zijn door Sinha e.a. (2011) toegelicht: - Het behouden, zo niet verlagen, van de kosten samenhangend met het betreffende proces; - Het verhogen van de controle over het proces welke leidt tot omzet;

- Het voldoen aan wet- en regelgeving gerelateerd aan verslaggevingsfraude;

- Het bekrachtigen van efficiëntie en effectiviteit van de (interne) organisatie welke na de invoering van SOx (2002) van toepassing zijn geworden.

Bovenstaande vierde reden voor uitbesteding van bedrijfsprocessen wordt tevens door Ewals (2010) onderkend in zijn artikel, gerelateerd aan de invoering van de ISAE3402. Ewals (2010) licht toe dat bestuurders zich na de invoering van de Sarbanes Oxley wet- en regelgeving meer bewust zijn geworden van het feit dat zij verantwoordelijk blijven voor de uitbestede diensten. Derhalve is er vanuit de Gebruikersorganisatie2 _{(en dan in} de basis de verantwoordelijke directie) een steeds grotere focus ten aanzien van de service organisatie. Daarom is het uitbesteden van bedrijfsprocessen onderdeel van een strategie die door veel ondernemingen wordt gehanteerd (Ewals, 2010).

Aangezien de bedrijfsprocessen, welke worden uitbesteed, ook van groot belang kunnen zijn voor de financiële verantwoording van een onderneming (bijvoorbeeld de jaarrekening) is het voor de controlerend accountant

1 _{Service organisaties hebben als functie: het opereren, verzamelen, verwerken, overbrengen, opbergen, organiseren,} onderhouden en ordenen van informatie voor de gebruikersorganisatie (Leung & Datardina, 2014).

2 _{Gebruikersorganisaties zijn de bedrijven / ondernemingen / organisaties welke een deel van of een geheel bedrijfsproces} hebben uitbesteed aan een service organisatie.

van de gebruikersorganisatie van belang om zekerheid te krijgen over de kwaliteit en effectiviteit van de bedrijfsprocessen binnen de service organisatie.

Zie onderstaande schematische weergave van de samenhang van de uitbestede bedrijfsprocessen en de jaarrekening van de Gebruikersorganisatie:

Figuur 1: ontleend aan Buitendijk en Sluiter (2012)

Het verkrijgen van zekerheid over de uitbestede bedrijfsprocessen kan door de accountant van de Gebruikersorganisatie uitgevoerd worden door een audit uit te voeren. Echter, voor een service organisatie met veel klanten zou het steeds (laten) uitvoeren van vergelijkbare controlewerkzaamheden (door de accountants van de Gebruikersorganisaties) erg duur zijn. Daarnaast zou een dergelijke aanpak zeer tijdsintensief zijn. Om de kosten te verminderen en de efficiëntie te verhogen, heeft de AICPA (American Institute of Certified Public Accountants) geconcludeerd dat een accountant middels een rapportage een bevestiging mag afgeven voor wat betreft het bestaan en de operationele effectiviteit van de interne organisatie van een service organisatie (Knolmayer & Asprion, 2011). De AICPA heeft in 1992 een standaard geïntroduceerd welke van toepassing is op de voorstaand beschreven situatie, deze standaard is bekend als SAS70 (Statement on Auditing Standards no. 70, Service Organizations). In 2009 heeft de IAASB (International Auditing and Assurance Standards Board) de ISAE34023 _{gepubliceerd. De Amerikaanse variant op de ISAE3042 is in 2010} gepubliceerd door de AICPA en wordt de SSAE164 _{genoemd. Beide ‘nieuwe’ standaarden stammen af van de} SAS70, waarbij de SSAE16 gebaseerd is op de ISAE3402. De standaard welke door Nederlandse IT-Auditors toegepast dient te worden is Richtlijn 3402, uitgegeven door het NOREA en van toepassing per 9 december 2010.

Wat is de concrete aanleiding?

In mijn werk als accountant krijg ik in steeds meer situaties te maken met klanten waar bepaalde bedrijfsprocessen worden uitbesteed aan een service organisatie. Met name de uitbesteding van de salarisverwerking aan zogenaamde ‘Payroll service providers’ is een veel voorkomende situatie. Als onderdeel

3 _{ISAE = International Standard for Assurance Engagements.} 4 _{SSAE = Statement on Standards for Attestation Engagements}

7 van het controleplan ten aanzien van de salariskosten, de pensioenlasten en de sociale lasten (welke door de Gebruikersorganisatie wordt verantwoord in de jaarrekening), moet ik als controlerend accountant van Gebruikersorganisaties voldoende aandacht besteden en zekerheid verkrijgen omtrent de uitbestede diensten. Standaard 402 (NVCOS) is door het NBA5 _{opgesteld om de accountants, welke met het beoordelen van} ISAE3402’s belast zijn, de nodige richtlijnen en voorgeschreven werkzaamheden te bieden. Onder andere het beoordelen van de toepasbaarheid en de gebruikswaarde van het Service auditor’s rapport is één van de werkzaamheden waaraan de accountant moet voldoen. Het is daarom van groot belang dat de IT-Auditor bij het opstellen van het Service auditor’s rapport reeds waarborgt dat het rapport voldoet aan de vereisten en verwachtingen van de accounts welke dit Service auditor’s rapport gebruiken als onderdeel van de jaarrekeningcontrole.

Ongeveer 3 jaar geleden heb ik, binnen de accountantsorganisatie waarvoor ik werkzaam ben, vastgesteld dat er een grote diversiteit bestaat wat betreft de wijze waarop deze Service auditor’s rapporten worden toegepast als ‘evidence’ binnen de jaarrekeningcontrole van Gebruikersorganisaties. Daarnaast heb ik geconstateerd dat het toepassen van Standaard 402 bij veel collega’s onbekend is. Het daadwerkelijke niveau van het toetsten van het Service auditor’s rapport op toepasbaarheid en gebruikswaarde door de accountant is derhalve discutabel. Of de IT-Auditor met het afgeven van het Service auditor’s rapport voldoet aan de ‘vraag en vereisten’ van de gebruiker wordt derhalve op basis van Standaard 402 over het algemeen onvoldoende getoetst door accountants. De vraag in welke mate de IT-Auditor in staat is om de toepasbaarheid en gebruikswaarde van een Service auditor’s rapport, als onderdeel van een jaarrekeningcontrole, vast te stellen. Ten behoeve van de accountant wordt derhalve over het algemeen weinig concreet beoordeeld.

Als gevolg van deze persoonlijke bevindingen, alsmede de wens om concrete verbeteringen hieromtrent door te voeren, ben ik een project gestart welke gericht is op het uniformeren van de beoordeling van Service auditor’s rapporten alsmede het verbeteren van de dossiervoering omtrent de uitgevoerde werkzaamheden door de accountant van de Gebruikersorganisaties. Het project is de afgelopen jaren uitgebreid en geïntensiveerd, ik bemerk echter dat de daadwerkelijke kennis en awareness ten aanzien van het toepassen van Service auditor’s rapporten binnen de organisatie beperkt is. Deze constatering vind ik problematisch, aangezien op basis hiervan geconcludeerd wordt dat de kwaliteit omtrent het beoordelen van Service auditor’s rapporten (mogelijk) te laag is.

Tijdens mijn opleiding tot IT-Auditor ben ik meerdere malen geconfronteerd met standaarden als de ISAE3402, Richtlijn3402 en de SSAE16. In combinatie met de kennis welke ik hieromtrent reeds in de praktijk had opgedaan, is mijn interesse in dergelijke Service auditor’s rapporten verder gegroeid. Met name als (aankomend) IT-Auditor heb ik de behoefte om mijn kennis hieromtrent te vergroten en (waar mogelijk) toe te passen in de praktijk.

Zoals bovenstaand beschreven is het uitbesteden van bedrijfsprocessen in steeds grotere mate van toepassing. Daarnaast heb ik in de praktijk geconstateerd dat de kennis en werkzaamheden, uitgevoerd door accountants, omtrent de Service auditor’s rapporten van de service organisaties over het algemeen beperkt is. Het is derhalve van een nog groter belang dat de IT-Auditor, welke belast is met het verstrekken van een bepaalde Service

auditor’s rapport, kan inschatten wat de ‘vraag en vereisten’ van de gebruiker zijn. Middels het doen van onderzoek wil ik kennis vergaren in hoeverre een IT-auditor in staat is de toegevoegde waarde (gebruikswaarde) van een Service auditor’s rapport te bepalen. Middels het doen van aanbevelingen op basis van de vergaarde kennis zal het mogelijk zijn om de beoordeling omtrent de gebruikswaarde in de toekomst te verbeteren, waardoor de toegevoegde waarde van de IT auditor in de rol van beoordelaar of adviseur bij de totstandkoming van een Service auditor’s rapporten toeneemt.

1.2. Centrale vraag en deelvragen

Centrale vraag

Zoals in paragraaf 1 beschreven, wordt middels het doen van onderzoek nagestreefd kennis te vergaren in hoeverre IT-Auditors in staat zijn om de toetsing op de gebruikswaarde van een Service auditor’s rapport (opgesteld op basis van Richtlijn 3403) uit te voeren. De centrale vraag is onderstaand geformuleerd:

In hoeverre is een IT-Auditor, in de rol van service auditor, in staat om de voor Richtlijn 3402 vereiste toetsing op de gebruikswaarde van een Service auditor’s rapport voor de Gebruikersorganisatie en hun

accountants uit te voeren? Deelvragen

Middels het beantwoorden van onderstaande deelvragen wordt een conclusie geformuleerd ten aanzien van de centrale vraag:

- Welke eisen en verwachtingen zijn er ten aanzien van het beoordelen van de gebruikswaarde van een Service auditor’s rapport?

- Op welke wijze kan invulling worden gegeven aan de vereisten ten aanzien van het beoordelen van de gebruikswaarde van een Service auditor’s rapport?

- In welke mate heeft een IT-Auditor de vaardigheden en tools om de toereikendheid van scope, systeembeschrijving en beheersingsdoelstellingen vanuit de positie van de Gebruikersorganisatie en hun accountant te toetsen?

- Op welke wijze kan de IT-auditor, in de rol van service auditor, zorgdragen dat het rapport optimaal aansluit bij de behoeften van de gebruikers en hoe kan dit mogelijk inzichtelijk worden gemaakt in het Service auditor’s rapport?

9 1.3. Opzet en uitvoer dataverzameling

De in paragraaf 1.2 geformuleerde centrale vraag en bijbehorende deelvragen worden beantwoord middels het toepassen van een drietal onderzoeksmethodes (1) literatuurstudie (2) interviews en (3) deskresearch.

1.3.1 Literatuurstudie

Deelvragen 1 en 2 worden door middel van een literatuurstudie beantwoord (hoofdstuk 2 en 3). De literatuurstudie bestaat uit het bestuderen van wetenschappelijke artikelen gerelateerd aan het onderwerp alsmede de standaarden voor het opstellen van Service auditor’s rapporten. Daarnaast zal nader onderzocht worden in hoeverre de beschikbare Standaard6 _{402 structuur en handvatten biedt bij het beoordelen van} Service auditor’s rapporten. Swanborn (2005) geeft weer dat het toepassen van literatuuronderzoek in de voorbereidende fase van elk onderzoek een rol speelt, maar dat het ook zeker een zelfstandige onderzoeksstrategie kan zijn. Daarom is het toepassen van de literatuurstudie als onderzoeksmethode passend voor de beantwoording voor deelvragen 1 en 2.

1.3.2 Interviews

De deelvragen 1, 3 en 4 worden beantwoord op basis interviews met experts. Ten aanzien van Service auditor’s rapporten is sprake van een viertal ‘stakeholders’:

Stakeholders: 1. IT-Auditors 2. RA Accountants 3. Gebruikersorganisaties 4. Service Organisaties

De experts welke benaderd worden voor een interview dienen representatief te zijn, derhalve zal tijdens het selectieproces onderscheid gemaakt worden op basis van onderstaande factoren:

- Type en omvang accountantsorganisatie / accountantskantoor (van toepassing op de selectie van de IT-Auditors);

- Type en omvang accountantsorganisatie / accountantskantoor (van toepassing op de selectie van de accountants;

- Type Service auditor’s rapport (van toepassing op de selectie van de IT-Auditors);

- Type Service organisatie (van toepassing op de selectie van de expert welke werkzaam is voor een Service organisatie).

Om een nader inzicht te verkrijgen in hoeverre een IT-Auditor in staat is de toereikendheid van een Service auditor’s rapport vast te stellen worden interviews gehouden. De experts (respondenten) bestaan op basis van bovenstaande selectieprocedure uit IT-Auditors, medewerkers van Service organisaties en RA Accountants. De stakeholder ‘Gebruikersorganisaties’ wordt in dit onderzoek buiten beschouwing gelaten. Het excluderen van deze groep van respondenten is gebaseerd op persoonlijke ervaringen welke ik afgelopen jaren heb opgedaan tijdens mijn werk als RA Accountant: ik heb namelijk opgemerkt dat de Gebruikersorganisaties over het algemeen geen aandacht besteden aan de Service auditor’s rapporten welke worden verstrekt door de Service Organisaties. De Gebruikersorganisaties vragen de Service auditor’s rapporten wel aan ten behoeve van de

controlerend accountant van de jaarrekening, er wordt dan door de Gebruikersorganisatie zelf echter geen aandacht besteed aan de inhoud van het Service auditor’s rapport. De medewerkers en het management van Gebruikersorganisaties hebben weinig affiniteit met de geldende Richtlijnen en standaarden. Mede hierdoor is er bij de medewerkers en het management van de Gebruikersorganisaties een gebrek aan kennis, waardoor ik heb geconcludeerd dat deze onvoldoende deskundig zijn om vast te stellen of de Service auditor’s rapporten een voldoende gebruikerswaarde hebben.

De Service auditor’s rapporten worden door de controlerend accountant beoordeeld (ten behoeve van de jaarrekeningcontrole van de Gebruikersorganisatie), derhalve is geconcludeerd dat de RA Accountants in staat zijn om de gebruikerswaarde van dergelijke rapportages (ten aanzien van de Gebruikersorganisatie) te beoordelen. Aangezien de RA Accountants wel als experts worden geïnterviewd, alsmede een vijftal Service auditor’s rapporten worden beoordeelt aan de hand van het beoordelingsmodel, is geconcludeerd dat er afdoende informatie wordt vergaard om te concluderen of de gebruikerswaarde van de Service auditor’s rapporten ten aanzien van de Gebruikersorganisaties afdoende is.

De respondenten worden aan de hand van een gestructureerde agenda ondervraagd (zie bijlage 2 voor de agenda). De experts welke benaderd zijn voor deelname aan de interviews zijn werkzaam bij zowel de Big-4 accountantsorganisaties en kleinere accountantsorganisaties /-kantoren. Daarnaast zal binnen de groep van experts onderscheid gemaakt worden naar ‘type Service auditor’s rapporten’ waar de betreffende expert affiniteit mee heeft. Door dit onderscheid te maken is er sprake van een representatieve groep van experts, wat de betrouwbaarheid en toegevoegde waarde van de resultaten van dit onderzoek verhoogt.

Ten behoeve het verkrijgen van een goed inzicht omtrent de gebruikswaarde van Service auditor’s rapporten en met toepassing van bovenstaande representativiteitseisen zijn onderstaande stakeholders geselecteerd voor het afnemen van een interview. Omwille de vertrouwelijkheid zijn de respondenten alsmede de organisaties waarvoor deze werkzaam zijn, geanonimiseerd.

Stakeholder: Respondent

nummer Functie: Type (omvang) organisatie:

IT-Auditors 1 ₂ (1) IT-Auditor Big 4 Accountantsorganisatie

(2) IT-Auditor Zelfstandig

Management Service Organisaties

3 _{(1) Manager Customer Services} Software provider 4 (2) SOC1 coördinator Payroll-service provider 5 (3) Manager Compliance Management IT-dienstverlener

RA Accountants 6 ₇ (1) Accountant in opleiding Big 4 Accountantsorganisatie (2) Register accountant Kleine accountantsorganisatie De interviews worden aan de hand van een gestructureerde agenda uitgevoerd. Deze agenda bevat onderwerpen welke zijn gerelateerd aan de deelvragen alsmede de literatuurstudie (hoofdstuk 2 en 3).

Een dergelijk gestructureerde agenda geeft de onderwerpen weer welke minimaal per interview besproken dienen te worden, door een dergelijke agenda toe te passen wordt gewaarborgd dat de juiste onderwerpen besproken worden en dat alle respondenten uiteindelijk eenzelfde (mogelijke) invloed op de onderzoeksresultaten hebben. De agenda is voorafgaand aan de interviews geverifieerd op toepasbaarheid en doeltreffendheid middels een discussie met een zeer ervaren IT-Auditor, middels deze verificatie is de bruikbaarheid van de agenda vastgesteld en wordt gewaarborgd dat de interviews de gewenste informatie opleveren.

11 Het toepassen van interviews als onderzoeksmethode is geschikt voor de beantwoording van deelvragen 1, 3 en 4, aangezien het mogelijk is om bepaalde onderwerpen eventueel nader toe te lichten en ‘door te vragen’ naar aanleiding van de gegeven antwoorden. Hierdoor zal de uiteindelijke informatiewaarde op basis van de uitgevoerde interviews hoog zijn en daarom toegevoegde waarde bieden ten aanzien van de conclusies naar aanleiding van uit onderzoek.

1.3.3 Deskresearch

Een deskresearch wordt uitgevoerd ten aanzien van Service auditor’s rapporten welke door IT-Auditors zijn verstrekt. Middels deze deskresearch zal een oordeel gecreëerd worden omtrent de gebruikswaarde van het betreffende Service auditor’s rapport. De gebruikswaarde van de verschillende Service auditor’s rapporten wordt vastgesteld aan de hand van een ontwikkeld model, zie bijlage 4. Dit model bestaat uit kwantitatieve en kwalitatieve aspecten welke gerelateerd zijn aan ‘gebruikswaarde’. De in het model verantwoorde aspecten zijn gebaseerd op de conclusies naar aanleiding van het literatuuronderzoek en de interviews met experts, deze aspecten zijn complementair en substituut aan elkaar. Over het algemeen bestaat er een grote overlap tussen de aspecten zoals verantwoord in de literatuur en de aspecten welke op basis van de interviews zijn vastgesteld.

De beoordeling van de Service auditor’s rapporten worden uitgevoerd aan de hand van een vijf-punts Likert-schaal (Zeer goed – Goed – Voldoende – Zwak – Slecht). Voor deze Likert-schaal is gekozen, gezien het feit dit de meest voorkomende antwoordschaal betreft (Luttikhuis, 2016) . Tevens is de Likertschaal volgens Luttikhuis (2016) een methode om moeilijk te kwantificeren gegevens toch te kunnen ondervragen en te kunnen voorzien van een ordinaal meetniveau. Daarbij wordt een score van ‘3’ als voldoende beschouwd.

De beoordeling van de assurance-rapporten is gebaseerd op ‘professional judgement’ (gebaseerd op persoonlijke ervaring en kennis), alsmede een onderlinge vergelijking tussen de geselecteerde rapporten.

De assurance-rapporten ten behoeve van de deskresearch zijn geselecteerd op basis van onderstaande criteria: - Jaar van publicatie dient 2014/2015 te zijn;

- Diversiteit qua Services welke aan de Service organisatie zijn uitbesteed;

- Diversiteit in de omvang en het type organisaties waarvoor de IT-Auditors werkzaam zijn.

Op basis van bovenstaande criteria zijn de volgende Service auditor’s rapporten geselecteerd voor nadere uitwerking in het model:

# Type services Type Service auditor’s rapport

Publicatie jaar Type / omvang organisatie IT-Auditor

1 IT-services ISAE3402, type 2 2014 Zelfstandig beroepsbeoefenaar

2 Payroll-services ISAE3402, type 2 2015 Big 4 Accountantsorganisatie

3 DBC-services ISAE3402, type 2 2015 Big 4 Accountantsorganisatie

4 Payroll-services ISAE3402, type 2 2014 Next 9 Accountantsorganisatie 5 Credit-management

services

ISAE3402, type 2 2015 Big 4 Accountantsorganisatie

Uit bovenstaande tabel is op te maken dat de geselecteerde Service auditor’s rapporten zijn allen ISAE3402-rapporten zijn. Alternatieve typen van Service auditor’s ISAE3402-rapporten zijn gegeven de scope van de scriptie niet geselecteerd.

In paragraaf 4.2.2.1 zijn de resultaten van de uitgevoerde deskresearch opgenomen. In verband met de anonimiteit alsmede de overeengekomen Non-Disclosure Agreements met de betreffende Service organisaties zijn de gereviewde Service auditor’s rapporten niet als bijlage7 _toegevoegd.

1.3.4 Beperking onderzoeksmethodes

Beperkingen ten aanzien van de gekozen onderzoeksmethodes zijn gerelateerd aan de uit te voeren interviews, er bestaat namelijk een bepaald risico dat de experts ‘sociaal-wenselijke antwoorden’ geven in plaats van een feitelijke weergave van de werkelijkheid. Dit risico zal gemitigeerd worden door de respondenten voorafgaand aan het interview afdoende te informeren omtrent de doelstelling van het onderzoek alsmede het feit dat de antwoorden discreet behandeld worden en uiteraard anoniem verwerkt worden. Het is de verwachting dat deze toelichting de respondenten ervan overtuigt om een feitelijke antwoord te geven tijdens het interview.

De deskresearch wordt beperkt door het feit dat deze berust op de arbitraire beoordeling door de beoordelaar, dus is er sprake van ‘judgement’ (een persoonlijke visie) welke van invloed is op de resultaten. Deze beperking kan gemitigeerd worden door de Service auditor’s rapporten door meerdere experts te laten beoordelen, gezien de omvang en diepgang van het onderzoek is er voor gekozen deze mitigerende maatregelen niet toe te passen. Door de Service auditor’s rapporten middels een model te beoordelen wordt de invloed van de persoonlijke visie zo goed als mogelijk gemitigeerd.

1.4. Leeswijzer

Hoofdstuk 1 geeft een algemene achtergrond en aanleiding ten aanzien van het uitgevoerde onderzoek, daarbij worden tevens de Centrale vraag en de daarbij horende deelvragen gepresenteerd. Tevens wordt in hoofdstuk 1 een gedetailleerde toelichting gegeven omtrent de onderzoeksmethoden en de samenhangende beperkingen.

Een algemene introductie ten aanzien van Service auditor’s rapporten is verantwoord in hoofdstuk 2. Een toelichting omtrent verschillende typen van Service auditor’s rapporten en een meer specifieke toelichting omtrent Richtlijn 3402 is eveneens in hoofdstuk 2 opgenomen.

De wijze waarop een Service auditor’s rapport door accountant gebruikt dient te worden als onderdeel van de jaarrekeningcontrole is in hoofdstuk 3 toegelicht.

Hoofdstuk 4 verantwoordt de analyse van de verzamelde data op basis van de uitgevoerde interviews en het toegepaste beoordelingsmodel. Tevens worden in dit hoofdstuk de resultaten naar aanleiding van de data verzameling gepresenteerd.

Conclusies op basis van het uitgevoerde onderzoek zijn in hoofdstuk 5 verantwoord. Per deelvraag wordt een conclusie geformuleerd welke bijdragen aan het beantwoorden van de Centrale vraag. Tevens worden in hoofdstuk 5 de beperkingen ten aanzien van het uitgevoerde onderzoek gepresenteerd, alsmede aanbevelingen voor toekomstig onderzoek. Ook wordt in hoofdstuk 5 een persoonlijke verantwoord.

13 2. Theoretische achtergrond

In dit hoofdstuk wordt een algemene introductie van het Service auditor’s rapport gegeven, alsmede een nadere toelichting op de achtergrond en historie van dergelijke rapporten (paragraaf 2.1). Daarnaast worden verschillende typen Service auditor’s rapporten geïntroduceerd in paragraaf 2.2. Richtlijn 3402 wordt in detail uitgewerkt in paragraaf 2.3.

2.1 Service auditor’s rapporten

2.1.1 Introductie van het Service auditor’s rapport

Als onderdeel van de bedrijfsstrategie kan er voor gekozen worden om een deel van de bedrijfsprocessen uit te besteden8 _{aan een daarin gespecialiseerde dienstverlener (KPMG, 2012). Het uitbesteden van bedrijfsprocessen} wordt reeds vele jaren door bedrijven toegepast, de populariteit van uitbesteden neemt nog steeds toe (Ernst & Young, 2013). Hierdoor komen steeds meer organisaties (en medewerkers van organisaties) in aanraking met het uitbesteden van processen (Houtekamer & de Graaf, 2009).

De bedrijfsprocessen welke worden uitbesteed zijn over het algemeen de secundaire bedrijfsprocessen binnen een organisatie. Door de secundaire-bedrijfsprocessen uit te besteden is het voor de uitbestedende organisatie mogelijk zich te focussen op de belangrijkste taak van deze organisatie: het realiseren van de doelstellingen van de organisatie (Houtekamer & de Graaf, 2009). Uitbesteding leidt immers tot een situatie waarin sprake is van een kwaliteitsverbetering ten aanzien van de uitbestede processen, alsmede een flexibilisering van arbeid binnen de uitbestedende organisatie (Houtekamer & de Graaf, 2009). Het verlagen van de kosten is echter het meest gehoorde argument ten aanzien van het uitbesteden van secundaire-processen (Houtekamer & de Graaf, 2009).

De diversiteit in uitbestede processen is groot: onder andere logistiek, IT, het verzorgen van registraties en vertegenwoordigingen wordt uitbesteed (KPMG, 2012). Meer specifieke IT-gerelateerde processen welke worden uitbesteed zijn: het beheer en onderhoud van rekencentra en het uitbesteden van (een deel van) de IT-organisatie (primaire-processen voor IT-gedreven IT-organisaties). Ook worden call-centers van IT-organisaties uitbesteed (Houtekamer & de Graaf, 2009).

Het uitbesteden van processen houdt niet in dat de verantwoordelijkheid hieromtrent niet meer berust bij de Gebruikersorganisatie, ook al zijn afspraken en monitoring daaromtrent adequaat vastgelegd in de Service Level Agreements. De uitbestedende organisatie blijft namelijk eindverantwoordelijke voor de beheersing van de uitbestede processen (Houtekamer & de Graaf, 2009). Door het uitbesteden van processen is de uitbestedende organisatie zelf niet meer in staat om de juistheid, volledigheid en tijdigheid van de uitbestede processen te controleren, er is derhalve sprake van een onvolledigheid in het control-framework van de uitbestedende organisatie (KPMG, 2012).

Indien de uitbestede processen van een dermate groot belang zijn voor de uitbestedende organisatie (primaire processen), zal de beheersing van de uitbestede processen derhalve in het aandachtsgebied van het

8 _{Uitbesteden wordt in deze scriptie gedefinieerd als: “alle taken, operaties, werkzaamheden en processen welke uitgevoerd}

kunnen worden door medewerkers van de uitbestedende organisatie, maar welke zijn uitbesteed aan een service organisatie of een andere entiteit binnen de groep, voor een bepaalde tijd” (Ernst & Young, 2013).

management van de uitbestedende organisatie zijn opgenomen (KPMG, 2012). Het beheersen van de dienstverlening en de gemaakte afspraken (bijvoorbeeld via Servie Level Agreements) is derhalve van belang voor zowel de uitbestedende organisatie en de service organisatie. De uitoefening van toezicht op de uitbestede processen is tevens verplicht op basis van wetgeving zoals bijvoorbeeld de Sarbanes-Oxley-wet welke vereist dat het management van een organisatie aantoonbaar ‘in control’ dient te zijn (Ewals, 2010). Deze verplichting is ook van toepassing op bedrijfsprocessen welke zijn uitbesteed. Het is derhalve van groot belang dat de uitbestedende organisatie zekerheid verkrijgt van de service organisatie ten aanzien van de uitbestede processen (Houtekamer & de Graaf, 2009).

Een Service Organisatie Control-rapport is een goed sluitstuk voor het management van de uitbestedende organisatie (en haar accountant) om zekerheid te verkrijgen ten aanzien van de uitbestede processen (KPMG, 2012).

2.1.2 Achtergrond van het Service auditor’s rapport

Een Service auditor’s rapport is een verzamelnaam voor rapportages welke zijn gebaseerd op (een van de) verschillende rapportage standaarden welke toegepast kunnen worden ten behoeve van het verkrijgen van zekerheid ten aanzien van de uitbestede processen (Van Beek & Francken, 2010). Zoals door Houtekamer & de Graaf (2009) beschreven is een dergelijke rapportage over de interne beheersing voor de gebruikers zinvol indien deze in lijn met de algemeen geaccepteerde standaard wordt opgesteld.

Onderstaande illustratie geeft (vereenvoudigd) de positie van het Service auditor’s rapport weer ten aanzien van het verkrijgen van zekerheid omtrent de uitbestede processen:

15 Figuur 2 toont een procesmatige weergave van het uitbesteden van een proces door de Gebruikersorganisatie aan de Service organisatie. Samenvattend dient het figuur als volgt te worden geïnterpreteerd:

De Gebruikersorganisatie besteedt een proces uit aan de Service organisatie. De voorwaarden, vereisten en verwachtingen omtrent deze uitbesteding worden overeengekomen middels een Service Level Agreement. Het management van de Gebruikersorganisatie publiceert periodiek een Service auditor’s rapport met daarin management beweringen ten aanzien van de interne beheersing omtrent het door de Gebruikersorganisatie uitbestede proces. De accountant van de Service organisatie voorziet de management beweringen van zekerheid, verschaft ten aanzien van de interne beheersing met betrekking tot het door de Gebruikersorganisatie uitbestede proces. Het management en de accountant van de Gebruikersorganisatie kunnen het Service auditor’s rapport toepassen ten behoeve van het beoordelen / controleren van het ‘in control’ zijn van het management van de Gebruikersorganisatie ten aanzien van het uitbestede proces.

Onderstaand wordt een nadere toelichting gegeven op de basis elementen welke in figuur 2 zijn opgenomen: - Gebruikersorganisatie: de organisatie die de uitvoering van een bepaald proces heeft uitbesteed aan de

Service organisatie;

- Service organisatie: de organisatie die belast is met de uitvoering van het proces welke door de Gebruikersorganisatie is uitbesteed. Uitvoering vindt plaats op basis van de Service Level Agreement welke is overeengekomen tussen beide organisaties;

- Accountant van de Gebruikersorganisatie: de accountant welke het Service auditor’s rapport nodig heeft ten behoeve van de beoordeling / controle van de processen welke van toepassing zijn binnen de bedrijfsvoering van de Gebruikersorganisatie, maar welke zijn uitbesteed aan de Service organisatie9_; - Accountant Service organisatie: de accountant welke in opdracht van de Service organisatie zekerheid

verschaft bij de management beweringen ten aanzien van de interne beheersing met betrekking tot het door de Gebruikersorganisatie uitbestede proces;

- Uitbesteed proces: alle taken, operaties, werkzaamheden en processen welke uitgevoerd kunnen worden door medewerkers van de uitbestedende organisatie, maar welke zijn uitbesteed aan een service organisatie of een andere entiteit binnen de groep, voor een bepaalde tijd (Ernst & Young, 2013);

- Service Level Agreement: contract tussen de Gebruikersorganisatie en de Service organisatie welke de daadwerkelijke diensten van de Service organisatie, conform verwachting van de Gebruikersorganisatie, nader definieert;

- Service auditor’s rapport: rapport welke management beweringen bevat ten aanzien van de interne beheersing omtrent het door de Gebruikersorganisatie uitbestede proces. Dit rapport wordt door de accountant van de Service organisatie verrijkt met informatie omtrent de uitgevoerde testwerkzaamheden ten aanzien van de interne beheersing en het bijbehorende oordeel omtrent de opzet, het bestaan en de werking10 _{van de interne beheersing. Het Service auditor’s rapport is bestemd voor de} Gebruikersorganisatie en de accountant van de Gebruikersorganisatie.

9 _{In hoofdstuk 3 wordt een nadere toelichting gegeven op de werkzaamheden van de accountant van de Gebruikers} organisatie ten aanzien van het Service auditor’s rapport.

10 _{Het daadwerkelijke oordeel van de accountant van de Service organisatie is afhankelijke van het type rapport (type I of} type II).

2.1.3 Historie van het Service auditor’s rapport

Ter volledigheid van de algemene introductie van het Service auditor’s rapport wordt in deze paragraaf een nadere toelichting gegeven op de historie en het ontstaan.

Het uitbesteden van processen is een strategie welke reeds enkele decennia wordt toegepast. Aangezien de uitbestede processen van (significant) financieel belang kunnen zijn voor de financiële verantwoording van de Gebruikersorganisatie, is door de American Institute of Certified Public Accountants (AICPA) in 1992 een standaard geïntroduceerd ten aanzien van uitbestede processen (American Institute of Certified Public Accountants, 1992). Deze standaard (SAS70) geeft richtlijnen voor een situatie waarin een accountant een andere accountant verantwoording aflegt over de kwaliteit van de uitbestede processen (Ewals, 2010). De SAS70 standaard wordt gezien als de eerste kwalitatief goede en globaal toe te passen standaard, nationale standaarden worden hierbij dus buiten beschouwing gelaten (KPMG, 2012).

In 2005 heeft de AICPA de SAS70 geactualiseerd door additionele guidance aan de in 1992 gepubliceerde standaard toe te voegen. Deze geactualiseerde standaard heeft de titel “Service Organizations: applying SAS no. 70, as amended” en maakt onderdeel uit van “AU Section 342 Service Organizations” (American Institute of Certified Public Accountants, AU Section 324 Service Organizations, 2005).

Eind 2009 heeft de IAASB een alternatieve third-party assurance standaard geïntroduceerd: de ISAE340211_{. De} ISAE3402 is per 15 juni 2011 officieel geïntroduceerd (Instituut van Internal Auditors Nederland, nb). De SAS70 standaard is vervolgens aangepast op de eisten zoals gesteld in de ISAE3402, de vernieuwde Amerikaanse standaard heeft tevens een naamsverandering ondergaan, de nieuwe naam betreft “Statement on Standards for Attestation Engagements 16” (SSAE16). De nieuwe

SSAE16 is gepubliceerd medio maart 2010 (Ewals, 2010).

Feitelijk is er sprake van een situatie waarin de ISAE3402 en SSAE16 zijn gebaseerd op de SAS70 standaard (Instituut van Internal Auditors Nederland, nb). In de loop der jaren is echter het belang van de IAASB en de ISAE3402 fors toegenomen, derhalve dient de SSAE16 (opvolger SAS70) te voldoen aan de vereisten van de ISAE3402. Zie figuur 3 voor een systematische weergave.

11 _{ISAE = International Standard for Assurance Engagements}

17 2.2 Typen van Service auditor’s rapporten

Er bestaat een grote diversiteit in Service auditor’s rapporten, welke door accountants van de Service organisatie verstrekt kunnen worden. In deze scriptie wordt nadruk gelegd op de Service auditor’s rapporten welke in Nederland algemeen geaccepteerd en gangbaar zijn. Internationaal geaccepteerde Service auditor’s rapporten worden in deze paragraaf derhalve niet nader toegelicht.

De SAS70 is van oudsher erg populair, zijn opvolger (ISAE3402) wint steeds meer aan populariteit (Instituut van Internal Auditors Nederland, nb). Een ISAE3402 rapport is zeer omvangrijk en arbeidsintensief en behoeft derhalve een significante tijdsinvestering, tevens zijn de samenhangende kosten relatief hoog (Instituut van Internal Auditors Nederland, nb). In Nederland zijn Richtlijn 3402 (NOREA) en Standaard 3402 (NBA) algemeen geaccepteerde assurance rapporten. Deze assurance rapporten worden onder auspiciën van respectievelijk het NOREA en het NBA verstrekt. In hoofdstuk 2.3 wordt een nadere (inhoudelijke) toelichting gegeven op Richtlijn 3402.

Waar een ISAE3402 zekerheid verschaft over een volledig uitbesteed proces, zijn er ook situaties waarin een Gebruikersorganisatie zekerheid wenst ten aanzien van meer specifieke beheersmaatregelen. Er zijn alternatieve Service auditor’s rapporten welke in een dergelijke situatie afdoende mate inzicht en zekerheid verschaffen aan een Gebruikersorganisatie (en de accountant van deze organisatie).

Alternatieve Service auditor’s rapporten zijn onder andere Richtlijn 3000 (NOREA), richtlijn 4401 / standaard 4400 Rapport met Feitelijke Bevindingen en Standaard 3000 (NBA). Deze Service auditor’s rapporten geven zekerheid ten aanzien van “opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie”. Naast Service auditor’s rapporten is het ook mogelijk om een Service organisatie te beoordelen op basis van kwaliteitskeurmerken (Instituut van Internal Auditors Nederland, nb). Onder andere een ISO-certificaat kan de Gebruikersorganisatie (en de accountant van deze organisatie) inzicht verschaffen ten aanzien van de interne beheersing in de Service organisatie. Een dergelijke ISO-certificering geeft echter beperkte zekerheid omtrent de interne beheersing, waar een assurance rapport dat wel doet. Om de bruikbaarheid van een betreffende rapportagevorm te waarborgen, is het van groot belang dat deze aansluit op de informatiebehoefte van de gebruiker (de Gebruikersorganisatie / accountant van de Gebruikersorganisatie).

De diverse Service auditor’s rapporten zijn verschillend op een groot aantal aspecten: onder andere door wie deze verstrekt mogen worden en de gebruikersgroep. Met name de ISO-certificeringen zijn hieromtrent afwijkend van de overige Service auditor’s rapporten. De reikwijdte van de rapportages zijn op basis van de onderliggende standaarden divers, dit is tevens afhankelijk van de eisen van zowel de Gebruikers- als de Service organisatie. De mate waarin een rapportage zekerheid biedt is verschillend, dit is tevens afhankelijk van het ‘type’12 _{rapport. Het feit of er sprake is van een conclusie van de verstrekker is tevens afhankelijk van het type} Service auditor’s rapport. De overeenkomsten en verschillen tussen de gangbare Service auditor’s rapporten zijn in bijlage 1 samengevat.

2.3 Richtlijn 3402 assurance rapport

Het Service auditors rapport wat centraal staat in deze scriptie is gebaseerd op NOREA Richtlijn 3402 “Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie”. Deze richtlijn is geldig voor Service auditor’s rapporten betrekking hebbend op verslagperioden die eindigen op of na 15 juni 2011 (NOREA, 2016). Richtlijn 3402 is een Nederlandse vertaling (tot stand gekomen in samenwerking met het NBA) van International Standard on Auditing 3402: “Assurance reports on controls at a Service organization”.

“Richtlijn 3402 behandelt de assurance-opdrachten die door een beroepsbeoefenaar worden uitgevoerd om voor gebruikende entiteiten en hun accountants een rapportage te verstrekken. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving” (NOREA, NOREA Richtlijn 3402, 2010).

De belangrijkste kenmerken van Richtlijn 3402 zijn (NOREA, 2016):

- De Richtlijn heeft betrekking op assurance-opdrachten die worden uitgevoerd bij een Service organisaties, met als doel om de afnemers van diensten van de Service organisatie (de Gebruikersorganisatie) en de accountants van de Gebruikersorganisatie een redelijke mate van zekerheid te bieden over de interne beheersingsmaatregelen van de Service organisatie.

- De reikwijdte van het onderzoek door de accountant van de Service organisatie is beperkt tot processen en beheersmaatregelen voor zover van belang voor de jaarrekeningcontrole van de Gebruikersorganisatie. - Een Management bewering (‘Management Assertion’) is in het Service auditor’s rapport opgenomen om de

verantwoordelijkheid van het management ten aanzien van de beschrijving en de interne beheersingsdoelstellingen en -maatregelen te benadrukken.

- Er wordt onderscheid gemaakt naar Type 1 en Type 2 Service auditor’s rapporten.

- De IT-auditor mag bij de uitvoering van de assurance-opdracht gebruik maken van een schriftelijke bevestiging van het management van de Service organisatie,

- De verspreidingskring van het Service auditor’s rapport is beperkt en bestaat alleen uit de Gebruikersorganisatie en de accountant van de gebruikersorganisatie.

2.3.1 Reikwijdte van Richtlijn 3402

De reikwijdte van Richtlijn 3402 is uitgewerkt in lid 1 - 6 van de Richtlijn (NOREA, NOREA Richtlijn 3402, 2010). In lid 1 wordt de volgende tekst verantwoord: “… Richtlijn behandelt de assurance-opdrachten die door een beroepsbeoefenaar worden uitgevoerd om voor gebruikende entiteiten en hun accountants een rapportage te verstrekken. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving” (NOREA, NOREA Richtlijn 3402, 2010). De reikwijdte wordt door Van Beek en Francken (2010) omschreven als “een rapportage over de beheersing van uitbestede processen die van invloed zijn op beweringen in de financiële verslaglegging van de uitbestedende partij”. Naast deze formele omschrijving van de reikwijdte van Richtlijn 3402 is het van belang dat het Service auditor’s rapport van toegevoegde waarde is voor de gebruiker, het moet hierbij aansluiten bij de totale service welke wordt afgenomen van de Service organisatie (KPMG, 2012).

19 2.3.2 Management bewering

Zoals in bovenstaande opsomming beschreven is de management bewering (‘Management assertion’) kenmerkend voor een Service auditor’s rapport gebaseerd op Richtlijn 3402. Deze bewering is verplicht, indien deze niet is toegevoegd is het rapport niet overeenkomstig aan de Richtlijn. In de management bewering verklaart het management van de Service organisatie dat het rapport in overeenstemming met de Richtlijn is opgesteld en dat de omschrijvingen overeenkomen met de situatie op het genoemde moment (Type 1) respectievelijk overeenkomen met de situatie gedurende de rapportage periode (KPMG, 2012). Feitelijk is het Service auditor’s rapport een beschrijving van de systemen en interne beheersingsmaatregelen binnen de Service organisatie welke is voorzien van een tweetal ‘beweringen’: één van het management van de Service organisatie en één van de accountant van de Service organisatie. Over het algemeen is de strekking van beide beweringen overeenkomstig (KPMG, 2012).

2.3.3 Bewering van de accountant van de Service organisatie

De bewering van de accountant van de Service organisatie (het zogenaamde “Auditorsrapport”) is de rapportage welke door de accountant wordt toegevoegd aan het Service auditor’s rapport gebaseerd op Richtlijn 3402. Zoals bovenstaand beschreven is het management van de Service organisatie verantwoordelijk voor het opstellen van de beschrijving van de systemen en interne beheersingsmaatregelen binnen de Service organisatie. Het Auditorsrapport is een feitelijke ‘bewering’ van de accountant omtrent de interne beheersingsmaatregelen. Eventuele bevindingen naar aanleiding van de review- / controlewerkzaamheden van de accountant worden tevens in het Auditorsrapport verantwoord. Tevens is het oordeel van de accountant ten aanzien van de interne beheersingsmaatregelen verantwoord in het Auditorsrapport.

2.3.4 Beschrijving van de systemen

In het Service auditor’s rapport wordt door het management van de Service organisatie een omschrijving opgenomen omtrent het ‘systeem van de Service organisatie’. ‘Het systeem van de Service organisatie’ betreft het proces waarop het Service auditor’s rapport betrekking heeft. De definitie van ‘systeem’ is dus meer uitgebreid dan IT-/ of informatiesystemen binnen de Service organisatie. Het systeem bevat de beleidslijnen en procedures die voor de Service organisatie zijn opgezet en geïmplementeerd om de uitbestede diensten ten behoeve van de Gebruikersorganisatie te kunnen verlenen (KPMG, 2012). De beschrijving van de systemen bevat een nadrukkelijke toelichting op de reikwijdte, daarnaast dienen onderstaande onderwerpen te zijn opgenomen in de beschrijving (KPMG, 2012):

- soorten diensten; - procedures;

- informatiestromen;

- verwerking andere gebeurtenissen dan standaardtransacties; - procedure ten aanzien van Service Level-rapportages;

- de beheersingsdoelstellingen en beheersingsmaatregelen;

- door de Gebruikersorganisatie te treffen beheersingsmaatregelen; - overige aspecten ten aanzien van;

- beheersingsomgeving; - risico-inschatting;

- informatiesysteem en communicatie; - beheersingsactiviteiten;

- monitoringmaatregelen.

- In een Type II-rapport, een beschrijving van de relevante wijzigingen gedurende de verslagperiode.

2.3.5 Type Service auditor’s rapporten

Richtlijn 3402 Service auditor’s rapporten zijn onder te verdelen naar twee typen: ‘Type I’ en ‘Type II’. In Richtlijn 3402 worden deze typen als onderstaand gedefinieerd:

- Type I: Een rapportage over de beschrijving en de opzet van interne beheersingsmaatregelen van een serviceorganisatie; en,

- Type II: Rapport over de beschrijving, opzet en werking van de interne beheersingsmaatregelen van een serviceorganisatie.

Door KPMG (2012) worden de typen als onderstaand gedefinieerd: Het Type I-rapport betreft een momentopname en beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. Het Type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt.

21 Over het algemeen wordt een Type I Service auditor’s rapport gezien als ‘eerste stap” richting een Type-II Service auditor’s rapport, aangezien een Type-I voor de accountant van de Gebruikersorganisatie van zeer beperkte waarde is. Deze beperkte waarde wordt veroorzaakt door het feit dat en Type-I Service auditor’s rapport enkel een beschrijving van de opzet van de interne beheersingsmaatregelen geeft tijdens een bepaalde momentopname, er wordt geen zekerheid gegeven ten aanzien van het bestaan en de werking van de interne beheersingsmaatregelen.

2.4 Conclusie

In dit hoofdstuk is een theoretische achtergrond ten aanzien van het Service auditor’s rapport gepresenteerd, bestaande uit een algemene introductie, de achtergrond en een beschrijving van de historie van Service auditor’s rapporten. Tevens zijn verschillende typen van Service auditor’s rapporten toegelicht. Als laatste is een meer gedetailleerde toelichting gegeven op de NOREA Richtlijn 3402 (omtrent de reikwijdte, management bewering, bewering van de IT-Auditor, beschrijving van de systemen alsmede de twee typen welke onder Richtlijn 3402 worden onderscheiden).

Hoofdstuk 2 biedt theoretische achtergrond informatie welke niet direct bijdraagt aan de beantwoording van de deelvragen, maar van belang is voor het verkrijgen van algemene kennis ten aanzien van Service auditor’s rapporten.

3. Het beoordelen en toepassen van een Service auditor’s rapport

In dit hoofdstuk wordt een nadere toelichting gegeven omtrent de wijze waarop een Service auditor’s rapport onderdeel kan uitmaken van de jaarrekeningcontrole van de Gebruikersorganisatie (paragraaf 3.1), tevens wordt toegelicht welke Standaard door de Openbaar accountant toegepast dient te worden ten behoeve van het beoordelen van het Service auditor’s rapport als onderdeel van de jaarrekeningcontrole (paragraaf 3.2). de door mij gehanteerde definitie van de ‘gebruikerswaarde’ van een Service auditor’s rapport is opgenomen in paragraaf 3.3.

3.1 Service auditor’s rapporten als onderdeel van de jaarrekeningcontrole

Op basis van Titel 9 BW 2 zijn Nederlandse entiteiten verplicht een jaarrekening op te stellen (en te deponeren bij de Kamer van Koophandel), de daadwerkelijke samenstelling (inhoud) van de jaarrekening is afhankelijk van de rechtsvorm alsmede de omvang van de entiteit. De jaarrekeningen van ondernemingen moeten voldoen aan de richtlijn van titel 9, boek 2 BW en gecontroleerd worden door een openbaar accountant, wanneer op twee opeenvolgende jaren wordt voldaan aan twee van de drie onderstaande criteria:

- Het balanstotaal is groter dan €6.000.000,-;

- De netto-omzet over het boekjaar is hoger dan €12.000.000,-;

- En er gemiddeld over het boekjaar meer dan 50 (full time) medewerkers in dienst waren.

Zoals in hoofdstuk 2 nader toegelicht, zijn door Gebruikersorganisaties uitbestede processen (aan Service organisaties) met enige regelmaat van invloed op de jaarrekening (financiële verantwoording). De controlerend accountant van de jaarrekening van de Gebruikersorganisatie kan in een dergelijke situatie gebruik maken van een Service auditor’s rapport ten behoeve van het verkrijgen van inzicht en zekerheid ten aanzien van het uitbestede proces.

Openbare accountants in Nederland maken gebruik van de International Standards on Auditing (ISA’s), welke zijn gepubliceerd door de International Federation of Accountants (IFAC). De IFAC is, ten behoeve van het algemeen belang, belast met het ontwikkelen en bevorderen van het accountantsberoep zodat deze in staat is op een uniforme wijze diensten van hoge kwaliteit te leveren. In Nederland is de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA) als lid van de IFAC-organisatie belast met het informeren van de leden ten aanzien van de ISA’s en de interpretatie van deze standaarden overeenkomstig aan de Nederlandse wet- en regelgeving (Koninklijke NBA, 2015). De NBA heeft derhalve de ISA’s verwerkt in de Nederlandstalige ‘Controle- en overige standaarden’ welke zijn verantwoord in de Handleiding Regelgeving Accountancy. Door de HRA toe te passen bij het controleren van een jaarrekening voldoet de openbaar accountant derhalve aan de ISA’s zoals opgesteld door IFAC.

De Handleiding Regelgeving Accountancy bestaat uit onderstaande onderwerpen: - Wetgeving,

- Verordeningen, - Nadere voorschriften,

- Nadere voorschriften controle- en overige standaarden, - Overig.

23 De nadere voorschriften controle- en overige standaarden is samengesteld uit onderstaande secties:

- 100-999 Opdrachten tot controle van historische financiële informatie - 2000-2699 Opdrachten tot beoordeling van historische financiële informatie

- 3000-3850 Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie

- 4000-4699 Aan assurance verwante opdrachten - 5000-5699 Overige opdrachten

De Standaarden welke door de openbaar accountant toegepast dienen te worden bij de controle van een jaarrekening zijn verantwoord in sectie ’100-999 Opdrachten tot controle van historische financiële informatie’.

3.2 Standaard voor het beoordelen en toepassen van een Service auditor’s rapport

Zoals in hoofdstuk 3.1 toegelicht, zijn in de Handleiding Regelgeving Accountancy standaarden opgenomen welke door de Openbaar accountant toegepast dienen te worden bij de controle van historische financiële informatie (Standaarden 100-999). Standaard 402 (“Overwegingen met betrekking tot controles van entiteiten die gebruikmaken van een serviceorganisatie”) is door het NBA opgesteld en dient door de accountant van de Gebruikersorganisatie toegepast te worden ten behoeve van de controle van de financiële overzichten van de Gebruikersorganisatie. Standaard 402 behandelt de verantwoordelijkheid van de accountant van de Gebruikersorganisaties voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een gebruikende entiteit gebruik maakt van de diensten van één of meer serviceorganisaties (Koninklijke NBA, 2015). Hierbij is het van belang dat de betreffende diensten relevant zijn voor de controle van de financiële overzichten van de Gebruikersorganisatie. Het is derhalve van belang dat de accountant van de Gebruikersorganisatie inzicht verwerft in de diensten die worden verleend door de Service organisatie, met inbegrip van de interne beheersing daaromtrent.

De in Standaard 402 verantwoorde doelstellingen zijn (Koninklijke NBA, 2015):

- Het verwerven van inzicht in de aard en de significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de Gebruikersorganisatie, dat hem in staat stelt om de risico’s op een afwijking van materieel belang te identificeren en in te schatten; en

- Het opzetten en uitvoeren van controlewerkzaamheden die op die risico’s inspelen.

In Standaard 402 zijn een aantal paragrafen opgenomen welke een zeer concrete toelichting geven op de werkzaamheden welke door de accountant van de Gebruikersorganisatie toegepast dienen te worden, onderstaand zijn deze paragrafen samengevat (Koninklijke NBA, 2015):

- Bepalen of de controle-informatie in het Assurance-rapport13 _{voldoende en geschikt is op basis van de} volgende overwegingen:

- Vaststellen of de accountant van de serviceorganisatie vakbekwaam is en onafhankelijk van de serviceorganisatie;

- de standaarden op basis waarvan het type 1- of type 2-rapport is uitgebracht, adequaat zijn.

- Indien de accountant van de Gebruikersorganisatie voornemens is het Service auditor’s rapport als controle-informatie toe te passen, teneinde inzicht in de opzet en het bestaan van de interne beheersingsmaatregelen van de Service organisatie te verkrijgen, is het van belang:

- te evalueren of de beschrijving en de opzet van de interne beheersingsmaatregelen bij de serviceorganisatie betrekking hebben op de juiste periode;

- te evalueren of de informatie in het rapport voldoende en geschikt is om inzicht te verwerven in de voor de controle relevante interne beheersing van de Gebruikersorganisatie; en

- te bepalen of de aanvullende interne beheersingsmaatregelen van de Gebruikersorganisatie relevant zijn voor de Gebruikersorganisatie (indien ja: inzicht te verwerven of de Gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd).

- Indien de accountant van de Gebruikersorganisatie voornemens is een Type 2 Service auditor’s rapport toe te passen als controle-informatie, dient deze vast te stellen of het Service auditor’s rapport voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen, ter ondersteuning van de te maken risico inschatting. Dit dient de accountant vast te stellen door:

- Te evalueren of de beschrijving, opzet en de effectieve werking van de interne beheersingsmaatregelen is vastgesteld overeenkomstig aan de periode waar de historische financiële data betrekking op heeft;

- Te bepalen of de aanvullende interne beheersingsmaatregelen van de Gebruikersorganisatie relevant zijn voor de Gebruikersorganisatie (indien ja: inzicht te verwerven of de Gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd);

- Te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken na het uitvoeren van de toetsingen; - Te evalueren of de door de accountant van de Service organisatie verrichte toetsingen en de

resultaten daarvan relevant zijn voor de beweringen in de financiële overzichten van de Gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen.

- Indien er sprake is van een situatie waarin de diensten van een subserviceorganisatie worden uitgesloten in het Service auditor’s rapport, dient de accountant van de Gebruikersorganisatie de vereisten van Standaard 402 toe te passen ten aanzien van de door de subserviceorganisatie verleende diensten.

3.3 Gebruikerswaarde

Gebruikerswaarde betreft het nut dat de gebruiker aan de consumptie van een goed of dienst ontleend. Door de Britse econoom Adam Smith is ‘Gebruikerswaarde’ verantwoord in zijn ‘Theory of value’. In deze theorie wordt gebruikerswaarde gedefinieerd als “de mate waarin een goed of dienst de van toepassing zijnde behoefte

bevredigt” (Smith, 2016). Deze definitie is ten behoeve van het uit te voeren onderzoek (interviews) herschreven naar onderstaande:

Gebruikerswaarde is de mate waarin de Service auditor’s rapportage voldoet aan het primaire doel: het juist en volledig informeren (assurance leveren) van gebruikers ten aanzien van de uitbestede processen.

25 3.4 Conclusie

In hoofdstuk 3 is toegelicht hoe Service auditor’s rapporten gebruikt worden als onderdeel van de jaarrekeningcontrole. De wijze waarop Standaard 402 toegepast dient te worden, alsmede de daadwerkelijk inhoud van Standaard 402 is uitgewerkt. De vereisten zoals verantwoord in Standaard 402 (zie tevens onderstaande opsomming) zijn verwerkt in het beoordelingsmodel (zie paragraaf 4.2.2) waarmee de gebruikswaarde van een Service auditor’s rapport vastgesteld kan worden.

Deelvraag 1 betreft: “Welke eisen en verwachtingen zijn er ten aanzien van het beoordelen van de gebruikswaarde van een Service auditor’s rapport?”. Op basis van Standaard 402 is geconcludeerd dat deze voornaamste eisen zijn:

- Bepalen of de controle-informatie in het Service auditor’s rapport voldoende en geschikt is; - Evalueren of het rapport betrekking heeft op de juiste periode;

- Evalueren of de informatie in het rapport voldoende en geschikt is om inzicht te verwerven in de voor de controle relevante interne beheersing van de Gebruikersorganisatie;

- Evalueren of de beschrijving, opzet en de effectieve werking van de interne beheersingsmaatregelen is vastgesteld overeenkomstig aan de periode waar de historische financiële data betrekking op heeft;

- Bepalen of de aanvullende interne beheersingsmaatregelen van de Gebruikersorganisatie relevant zijn voor de Gebruikersorganisatie;

- Evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken na het uitvoeren van de toetsingen;

- Evalueren of de door de accountant van de Service organisatie verrichte toetsingen en de resultaten daarvan relevant zijn voor de beweringen in de financiële overzichten van de Gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen. De verwachtingen ten aanzien van het beoordelen van de gebruikerswaarde van een Service auditor’s rapport worden in hoofdstuk 4 gepresenteerd.

4. Toetsing aan de hand van beoordelingsmodel

Een analyse ten aanzien van de verzamelde kwalitatieve data is verantwoord in paragraaf 4.1. In paragraaf 4.2.1 zijn de resultaten naar aanleiding van de interviews verantwoord, de resultaten op basis van het beoordelingsmodel zijn opgenomen in paragraaf 4.2.2. In paragraaf 4.3 is een conclusie verwoord.

4.1. Analyse verzamelde data

De dataverzameling aan de hand van interviews resulteert in ‘open antwoorden van een aantal respondenten’, hierdoor is het niet mogelijk om deze door middels van statistische analysetechnieken te analyseren (European Institute for Brand Management, 2011). Om tot een betrouwbare analyse van de kwalitatieve data te komen worden onderstaande (analyse-)werkzaamheden uitgevoerd:

(1) Structureren kwalitatieve data

a. Ordening: aantekening opgesteld tijdens het interview wordt geordend: niet relevante tekst wordt verwijderd, relevante informatie wordt gereduceerd tot de essentie. ‘Zinnen’ en ‘fragmenten’ worden hierbij als relevante analyse-eenheid toegepast.

b. Labeling: de geordende resultaten worden gelabelled: expliciet maken van de onderwerpen per geordende informatie. Hierdoor is het mogelijk om grote hoeveelheden data te reduceren tot een beperkt aantal labels.

c. Vaststellen van verbanden: op basis van de labels de overeenkomsten en verschillen tussen de experts vaststellen.

(2) Analyseren kwalitatieve data

De gestructureerde kwalitatieve data zal op een beschrijvende wijze geanalyseerd worden, daarbij worden labels gegroepeerd en beoordeeld op basis van frequentie en lading (positief / negatief).

4.2. Resultaten

4.2.1 Resultaten interviews

Zoals in hoofdstuk 1 beschreven zijn een zevental interviews gehouden met experts welke vanuit verschillende stakeholder-posities betrokken zijn bij Service auditor’s rapporten (zie paragraaf 1.3.2 voor details). De interviews zijn aan de hand van een agenda (bijlage 2) uitgevoerd. Een gespreksverslag14 _{per respondent is} opgenomen in bijlage 3. Onderstaand is de verkregen informatie en kennis op basis van de interviews nader uitgewerkt, mede op basis daarvan zijn conclusies ten aanzien van de deelvragen geformuleerd.

4.2.1.1 Functie en ervaring respondenten

De respondenten hebben allen een ruime ervaring ten aanzien van Service auditor’s rapportages. Er bestaat wel een diversiteit ten aanzien van de intensiteit en de periodiciteit waarmee de respondenten in aanraking komen met de Service auditor’s rapporten. De verstrekkende IT-Auditors en de RA’s komen vaker in aanraking met een Service auditor’s rapportage dan de respondenten welke werkzaam zijn voor een Service organisatie.

14 _{De gespreksverslagen zijn voorafgaand aan verwerking in het onderzoek afgestemd met de expert om de juistheid en de} volledigheid van de verantwoorde informatie te waarborgen.