ISAE 3402 en de internal auditor
Praktijkhandreiking
Instituut van
Internal Auditors Nederland
ISAE 3402 En dE IntErnAl AudItor
ISAE 3402 en de internal auditor
Praktijkhandreiking
Instituut van
Internal Auditors Nederland
De missie van IIA Nederland is om het beroep en vak “internal audit” in Nederland te onder- steunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden behulpzaam te zijn bij een succesvolle invulling van de internal audit- functie.
Wij stellen ons ten doel de internal auditor op de hoogte te houden van de nieuwste ont- wikkelingen binnen het vakgebied, zodat hij of zij daar vaktechnisch goed op in kan spelen.
Begin 2008 hebben wij een praktijkhandreiking uitgebracht onder de titel “SAS 70 en de interne auditor”. Nu de ISAE (International Standard on Assurance Engagements) 3402 per 15 juni 2011 het oude SAS 70 rapport heeft vervangen was er voor IIA Nederland alle aanleiding tot een update te komen.
Vanuit de Commissie Vaktechniek heeft een enthousiaste werkgroep hier invulling aan ge- geven, resulterend in een nieuwe praktijkhandreiking “ ISAE 3402 en de internal auditor”.
De werkgroep ISAE 3402 bestond uit René Ewals, Jan Ite Muller, Bas van Meegeren, Nico- lette Nuijs (voorzitter) en Dennis Stabel.
Wij willen de werkgroepleden bedanken voor hun inzet om de leden van IIA Nederland bekend te maken met de gevolgen van de nieuwe ISAE-standaard voor de internal auditor.
Wij bevelen kennisneming van de inhoud van deze praktijkhandreiking van harte aan.
drs. Sander Weisz RO CIA CCSA drs. Harrie de Poot RA Voorzitter IIA Nederland Bestuurslid IIA Nederland
Voorwoord
IIA werkgroep ISAE 3402 drs. René Ewals RE
Jan Ite Muller RA RE
drs. Bas van Meegeren RA RO CIA drs. Nicolette Nuijs RA (voorzitter) drs. Dennis Stabel RE CIA Disclosure
Het IIA publiceert dit document voor informatieve en educatieve doeleinden. Deze praktijk- handreiking is niet bedoeld om definitieve antwoorden te geven voor specifieke individu- ele omstandigheden en is als zodanig slechts bedoeld als gids. IIA beveelt aan om altijd onafhankelijk deskundig advies in te winnen omtrent een specifieke situatie. Het IIA accepteert geen verantwoordelijkheid voor eenieder die uitsluitend vertrouwt op deze handreiking.
Copyright
Het copyright van deze publicatie is in handen van IIA Nederland. Toestemming voor repro- ductie kunt u per e-mailaanvragen bij IIA via iia@iia.nl.
Inhoud
1. Inleiding 8
2. ISAE 3402 10
2.1 De aanleiding: uitbesteding 11
2.2 De oorsprong 11
2.3 ISAE 3402 rapport: kenmerken en de inhoud 11
2.4 ISAE 3402: rollen en verantwoordelijkheden 13
2.5 ISAE 3402: huidig en toekomstig gebruik 14
2.6 ISAE 3402 alternatieven 14
2.7 ISAE 3402 versus SSAE 16 15
3. ISAE 3402 bij de gebruikersorganisatie: 16
rollen van de internal auditor
3.1 Inleiding 17
3.2 Rollen internal auditor van de gebruikersorganisatie 17 3.2.1 Ex ante (voorafgaand aan het ISAE 3402 rapport) 18
3.2.2 Tijdens (ISAE 3402 rapport ontvangen) 21
3.2.3 Ex-post (na ontvangst ISAE 3402 rapport) 23
4. ISAE 3402 bij de serviceorganisatie: 24
rollen van de internal auditor
4.1 Inleiding 25
4.2 Rollen internal auditor van de serviceorganisatie 25 4.2.1 Ex-ante (voorafgaand aan het ISAE 3402 rapport) 25
4.2.2 Tijdens (ISAE 3402 traject) 28
4.2.3 Ex-post (na afgifte ISAE 3402 rapport) 32
4.3 Enkele praktische vraagstukken 32
4.3.1 Onderuitbesteding 32
4.3.2 Generiek of maatwerk? 33
4.3.3 Gebruikerskring 34
4.3.4 Gecertificeerde auditor 34
Bijlage 1 ISAE 3402 vergeleken 35
Bijlage 2 ‘Sound practice’ voor bewoordingen 38 in ISAE 3402 rapporten
Literatuur 41
Uitbesteding van bedrijfsprocessen heeft de afgelopen tien jaar wereldwijd een enorme vlucht genomen. De eindverantwoordelijkheid voor de uitbestede processen blijft echter rusten bij de bestuurders van de uitbesteder. Met de invoering van de Sarbanes Oxley wet- geving in 2002 is dit nog verder geformaliseerd. Deze wetgeving heeft ook de wereldwijde maatschappelijke tendens naar het afleggen van verantwoording verstevigd. Steeds vaker wordt de vraag gesteld of een serviceorganisatie aantoonbaar de processen beheerst (‘in control’ is).
Om te kunnen aantonen dat een serviceorganisatie de processen beheerst, wordt veel gebruik gemaakt van de Amerikaanse standaard SAS 70, waarover IIA Nederland in 2008 een praktijkhandreiking heeft geschreven. Inmiddels heeft de IAASB (als onderdeel van IFAC) een nieuwe wereldstandaard gepubliceerd, die de SAS 70 standaard1 vervangt: ‘ISAE (Inter- national Standard on Assurance Engagements) 3402, Assurance reports on controls at service organizations’. De vertaling daarvan in de Nederlandse regelgeving bij NOREA en NBA2 heeft geresulteerd in de Richtlijn respectievelijk Standaard3 ‘Assurancerapporten betreffende interne beheersmaatregelen bij een serviceorganisatie’.
Met de invoering van deze nieuwe ISAE 3402 is een aantal wijzigingen doorgevoerd die een impact kunnen hebben op de wijze waarop de audit wordt uitgevoerd, maar ook op de rol van de internal auditor. Zo wordt meer aandacht geschonken aan de verantwoorde- lijkheid van de bestuurder van de serviceorganisatie en wordt ook de rol van de internal auditor expliciet onderdeel van de rapportage.
Ook bij de nieuwe ISAE 34024 bestaan mogelijkheden om als internal auditor een goede bijdrage te leveren aan de kwaliteit van de interne beheersing. In deze praktijkhandreiking, die de bestaande handreiking over SAS 70 vervangt, besteden wij niet alleen aandacht aan de verschillen en overeenkomsten tussen beide standaarden, doch werken die ook uit naar praktische modellen. Hierbij hebben wij getracht om de onderdelen die niet feitelijk wijzigen, zoveel mogelijk intact te laten.
In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van ISAE 3402. In de hoofd- stukken 3 en 4 worden de rollen van de internal auditor in een ISAE 3402 traject bij respec- tievelijk de gebruikersorganisatie en de serviceorganisatie verder uitgewerkt.
1. Inleiding
1 In de Verenigde Staten is op basis van ISAE 3402 een nieuwe eigen standaard gemaakt, de SSAE 16 (Statement on Standards for Attestation Engagement, “Reporting on controls at a Service Organization).
2 NIVRA is per 1 januari 2011 samengegaan met het NOVAA, waarbij de naamgeving vooruitlopend op de formele fusie is veranderd in NBA (Nederlandse Beroepsorganisatie van Accountants).
3 NOREA en NBA hebben een gezamenlijke vertaling gemaakt van ISAE 3402. NOREA heeft het definitieve stuk genoemd
“Richtlijn 3402” en het NBA “COS 3402”. In deze publicatie wordt het geheel steeds met “ISAE 3402” aangeduid.
4Geldig voor assurancerapporten de betrekking hebben op verslagperiodes eindigend op of na 15 juni 2011.
2.1 De aanleiding: uitbesteding
Uitbesteding heeft geleid tot een nieuwe indeling van organisaties: zij die uitbesteden (de gebruikersorganisaties) en zij die de uitbestede services voor hun rekening nemen (de ser- viceorganisaties).
Zowel bedrijfsprocessen als IT-processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de IT-systemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele bedrijfs- en administratieve processen uitbesteed, inclusief IT.
Bij uitbesteding blijft de gebruikersorganisatie onverminderd verantwoordelijk voor de uit- bestede processen. Ook voor het uitbestede gedeelte moet de gebruikersorganisatie aan- toonbaar kunnen voldoen aan de eisen die daaraan worden gesteld:
• Externe accountant: wanneer het uitbestede proces is gekoppeld aan relevante posten van de jaarrekening, heeft de externe accountant voor de jaarrekeningcontrole van de gebruikersorganisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service- organisatie.
• Toezichthouders: financiële instellingen hebben te maken met specifieke eisen van toe- zichthouders, bijvoorbeeld Solvency II, Bazel III.
De serviceorganisatie moet dus op zoek naar een middel om de informatiebehoefte van de gebruikersorganisatie in te vullen. Een geschikt middel is de ISAE 3402, die hierin de veel- gebruikte standaard SAS 70 opvolgt.
2.2 De oorsprong
Het ISAE 3402 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een commu- nicatiemiddel tussen de externe accountant van de gebruikersorganisatie en de externe auditor van de serviceorganisatie onderling in een situatie van uitbesteding: de auditor van de serviceorganisatie verstrekt met het rapport assurance aan de accountant van de gebrui- kersorganisatie. Dit rapport moet worden opgesteld conform de richtlijnen van ISAE 3402.
Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar een assurance- rapportage met COS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie’.
De oorspronkelijke ISAE 3402 standaard is inmiddels vertaald in het Nederlands en verankerd in de regelgeving van NOREA en NIVRA, in respectievelijk Richtlijn 3402 en COS 3402.
2.3 ISAE 3402 rapport: kenmerken en de inhoud
ISAE 3402 is geen normenkader, het betreft voorschriften voor de audit en de rapportage (rapportageformat) waarbij de opsteller zelf zijn normenset en beheersmaatregelen kiest (de
2. ISAE 3402
externe auditor toetst overigens wel de toereikendheid van de reikwijdte, de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen en passen bij de processen die onderdeel zijn van de reik- wijdte). Er wordt onderscheid gemaakt in twee typen rapportages: type I over opzet en bestaan en type II over opzet en de werking van beheersmaatregelen over een bepaalde periode.
De belangrijkste kenmerken5 van het ISAE 3402 rapport zijn:
• Het betreft een assurancerapport, waarin een conclusie wordt getrokken met ‘redelijke zekerheid’;
• Het rapport gaat over uitbestede processen, de beheersdoelstellingen en de beheersmaat- regelen die nodig zijn om deze doelstellingen te realiseren;
• De beschreven processen en beheersmaatregelen moeten relevant zijn voor de jaarreke- ning van de gebruikersorganisatie;
• Het rapport beschrijft veelal zowel bedrijfsprocessen als IT;
• Het rapport heeft een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toestemming van de externe auditor, die de mededeling heeft verstrekt.
Een ISAE 3402 rapport bevat de volgende onderdelen:
• De mededeling van het verantwoordelijke management van de serviceorganisatie;
• De mededeling van een externe auditor naar aanleiding van de audit op het ISAE 3402 rapport. Deze mededeling wordt in sectie I van het rapport opgenomen;
• De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau (‘de COSO componenten Control Environment, Risk Assessment, Information & Communica- tion en Monitoring’). Vaak wordt dit sectie II van het rapport genoemd;
• De beschrijving van de processen van de serviceorganisatie, de beheersdoelstellingen (‘control objectives’) en beheersmaatregelen (‘controls’). Deze zijn vaak opgenomen in sectie III;
• Een beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede pro- cessen maar de verantwoordelijkheid zijn van de gebruikersorganisatie (user control considerations);
• In geval van type II: De beschrijving van door de externe auditor uitgevoerde testwerk- zaamheden en de uitkomsten daarvan;
• Naast de bovenstaande verplichte onderdelen kan een onderdeel ‘Overige informatie’
aan het rapport worden toegevoegd, waarin belangrijke recente ontwikkelingen of bij- voorbeeld maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe auditor geen mededeling.
2.4 ISAE 3402: rollen en verantwoordelijkheden
Het ‘spelersveld’ van ISAE 3402 is als volgt in beeld gebracht:
Figuur 1: ‘Spelersveld’
De gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen.
De externe accountant6 van de gebruikersorganisatie: ontvanger van het ISAE 3402 rapport, toetst het aan zijn behoefte voor de jaarrekeningcontrole van de gebruikersorganisatie.
De serviceorganisatie: verantwoordelijk voor het ISAE 3402 rapport, met uitzondering van de mededeling en bevindingen zoals opgesteld door de externe auditor.
De externe auditor van de serviceorganisatie (service auditor): verantwoordelijk voor zijn mededeling in het ISAE 3402 rapport en voor de uitgevoerde testwerkzaamheden be- schreven in het rapport van de serviceorganisatie.
De internal auditor: wanneer de gebruikersorganisatie en/of de serviceorganisatie beschik- ken over een Internal Audit Functie (IAF), kunnen internal auditors op verschillende momen- ten rollen vervullen gedurende het ISAE 3402 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt.
5 Voor een volledig overzicht wordt verwezen naar COS 3402: “Assurance-rapporten betreffende interne beheersingsmaat- regelen bij een serviceorganisatie”, de Nederlandse vertaling van de IAASB publicatie: “ISAE 3402 Reporting on controls at a service organization, 19 December 2009”.
6 In deze publicatie worden de termen externe auditor en externe accountant gebruikt. Het onderscheid wordt bepaald door de formele achtergrond en taak: de externe auditor kan een register IT Auditor (RE) zijn of een registeraccountant (RA). Met externe accountant wordt bedoeld een registeraccountant (RA).
IT Infrastructuur IT Applicaties
Bedrijfsproces A Bedrijfsproces B Internal Audit Serviceorganisatie
Internal Audit Gebruikersorganisatie
Bedrijfsproces A Bedrijfsproces B Bedrijfsproces C IT Infrastructuur IT Applicaties
Goedgekeur door de auditord ISAE 3402
29 3.2 Balans per 31 december
(alle bedragen in (na bestemming/ver €)
werking van het r esultaat) ACTIEF
2010 2009 Vlottende activa
Vorderingen Debiteuren
130.257 45.324 Overige vor
deringen en overlopende activa
37.986 70.119 168.243
115.443 Liquide middelen
512.399 701.530 Totaal
680.642
816.973 PASSIEF
2010 2009 Eigen vermogen
Algemene r eserve
369.964 347.170 Bestemmingsr
eserve kwaliteitstoetsingen
50.000 50.000 Bestemmingsr
eserve Website
2.071 25.000 422.035
422.170 Kortlopende schulden
Af te dragen BTW
16.934 4.959 Af te dragen loonheffing
13.415 12.852 Crediteuren
100.498 277.774 Overlopende passiva
127.760 99.218 258.607
394.803 Totaal
680.642
816.973 3.3 Rekening van baten en lasten
(alle bedragen in
€) Baten
2010 2009 Ledenbijdragen
365.068 307.680 Bijdrage Seminars
83.883 87.581 Bijdrage Examengelden
75.489 72.166 Bijdrage Trainingen
119.129 117.538 Bijdrage Congr
essen
66.081 60.491 Bijdrage magazine-advertenties en abonnementen
-52.097 -40.352 Bijdrage kwaliteitstoetsingen
581 1.673 Overige baten
106.544 165.060 Totaal
764.678 771.837 Lasten
Professional practices
43.042 4.219 Commissies
2.538 6.527 Overige lasten
49.913 54.190 Bestuur
33.857 32.929 Bureau
620.206 591.774 Bijzonder
e lasten
0 26.855 Som der lasten
749.556 716.494 Saldo van baten en lasten
15.122 55.343 Financieel r
esultaat
7.672 13.444 Operationeel r
esultaat boekjaar
22.794 68.787 Kosten website
22.929 - Resultaat boekjaar
-135 68.787 Resultaatbestemming:
Ontrekking/toevoeging aan bestem mingsreserve website
-22.929 25.000 Toevoeging aan algemene r
eserve
22.794 43.787 -135
68.787 Deze cijfers zijn ontleend aan de jaarr
ekening 2010. V oor leden is de volledige jaarr
ekening opvraagbaar via de website van IIA Nede rland.
IIA Jaarverslag 2010.indd 29
08-03-11 15:50
Jaarrekening
Goedgekeur door de auditord
2.5 ISAE 3402: huidig en toekomstig gebruik
ISAE 3402 is gerelateerd aan de jaarrekeningcontrole van de gebruikersorganisatie in een situatie van uitbesteding van onder andere operationele processen. De voorloper van ISAE 3402, de SAS 70, werd in voorkomende gevallen niet uitsluitend gebruikt voor de jaarreke- ningcontrole.
Wanneer partijen behoefte hadden aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de eisen op grond van de Wet op het Financieel Toezicht of van De Neder- landsche Bank met betrekking tot uitbesteding) kon dit met een SAS 70 rapport worden gefaciliteerd. Dit wordt in de ISAE 3402 standaard ook mogelijk gemaakt. Indien bijvoorbeeld de wet- en regelgeving of de toezichthouder vereisen dat bepaalde processen in de reik- wijdte moeten zijn opgenomen, kan deze standaard daar ook in voorzien.
Aspecten van effectiviteit en efficiëntie kunnen eveneens worden opgenomen in de reik- wijdte van het rapport. Dat is echter niet anders dan thans in de SAS70 standaard mogelijk is. Hiervan wordt echter in de praktijk weinig gebruik gemaakt.
2.6 ISAE 3402 alternatieven
De SAS 70 standaard is als voorganger van ISAE 3402 erg populair geworden. Om die reden valt te verwachten dat de opvolger in toenemende mate als ‘standaard-onderdeel’ wordt meegenomen tijdens contractonderhandelingen tussen serviceorganisatie en gebruikersor- ganisatie.
Er zijn echter ook alternatieven. Een ISAE 3402 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)kosten met zich mee. Dit is niet altijd noodzakelijk.
Bijvoorbeeld wanneer assurance op onderdelen nodig is, zoals de IT-omgeving, of op spe- cifieke beheersmaatregelen, die niet noodzakelijkerwijs zijn gerelateerd aan de jaarrekening.
Een alternatief is een assurancerapport gebaseerd op de Richtlijn 3000 (NOREA) of de COS 3000 (NIVRA). Daarnaast bestaat de mogelijkheid om een bepaalde mate van zekerheid te verkrijgen op basis van specifiek overeengekomen werkzaamheden.
De werkzaamheden en kosten verbonden aan dergelijke mededelingen zijn vaak lager dan bij een ISAE 3402, terwijl het wel mogelijk is een afdoende zekerheid te verstrekken dan wel te verkrijgen.
Naast assurancerapportages, kan een gebruikersorganisatie, afhankelijk van haar informatie- of assurancebehoefte, ook kijken naar kwaliteitskeurmerken van een serviceorganisatie, bijvoorbeeld ISO-certificeringen. Deze hebben een andere basis en bieden in tegenstelling tot ISAE 3402 geen assurance, maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikersorganisatie. Bijlage 1 bevat een vergelijking van ISAE 3402 met de COS 3000 en ISO-certificering.
2.7 ISAE 3402 versus SSAE 16
Kort na de publicatie van ISAE 3402 heeft de AICPA haar opvolger van de SAS 70 standaard gepubliceerd, de SSAE 16 standaard (Statement on Standards for Attestation Engagements, reporting on Controls at a Service Organization). Door de AICPA is een aantal toevoegingen en wijzigingen aangebracht aan ISAE 3402 die het geheel passend maken voor de Ameri- kaanse regelgeving. Hierdoor zijn verschillen ontstaan tussen ISAE 3402 en SSAE 16, die echter niet materieel van aard zijn, doch wel andere werkzaamheden, formuleringen of verantwoordelijkheden omvatten. Voor nadere informatie over de verschillen wordt verwe- zen naar de literatuuropgave van deze praktijkhandreiking.
Het is in principe mogelijk om gecombineerde rapporten op te stellen die voldoen aan beide standaarden. Dit is voornamelijk relevant voor ondernemingen die opdrachtgevers of deelnemingen hebben in de Verenigde Staten.
3. ISAE 3402 bij de gebruikers
organisatie:
rollen van de
internal auditor
3.1 Inleiding
Wet- en regelgeving vragen de gebruikersorganisatie aantoonbaar ‘in control’ te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikersorganisatie aan de serviceorganisatie.
Omdat het management van een gebruikersorganisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurancevraagstuk vaak te liggen bij de auditors: de externe auditor en de internal auditor.
3.2 Rollen internal auditor van de gebruikersorganisatie
De taken en verantwoordelijkheden van de externe auditor (van de gebruikersorganisatie) in een ISAE 3402 traject zijn beschreven in beroepsregels en vaktechnische voorschriften.
Hiertoe is de controlestandaard COS 402 geactualiseerd. Deze standaard bevat een uitwer- king van de factoren die in overweging moeten worden genomen bij de controle van en- titeiten die gebruikmaken van serviceorganisaties (COS 402). Dit is strikt gereguleerd.
Deze standaard behandelt onder meer de verantwoordelijkheid van de auditor van de gebruikersorganisatie voor het verkrijgen van voldoende en geschikte controle-informatie wanneer de gebruikersorganisatie aan één of meer serviceorganisaties processen heeft uitbesteed.
COS 4027 richt zich in het bijzonder op hoe de auditor van de gebruikersorganisatie COS 3158 en COS 3309 toepast bij het verwerven van inzicht in de risicobeheersing van de aan de serviceorganisatie uitbestede processen. In het bijzonder betreft dit het voldoende onder- kennen en inschatten van de risico’s op een afwijking van materieel belang en voor het opzet- ten en uitvoeren van verdere controlewerkzaamheden aangaande de geconstateerde risico’s.
De internal auditor heeft echter een ander speelveld. Hij ondersteunt het management als onderdeel van het totale risicomanagement-raamwerk van de organisatie. In een ISAE 3402 traject kan de internal auditor grote toegevoegde waarde leveren. Vooral door goed begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij.
COS 402 gaat over de verantwoordelijkheid van de externe accountant van de gebruikersorganisatie om voldoende en geschikte controle-informatie te verkrijgen wanneer een gebruikersorganisatie gebruik maakt van de diensten van één of meer serviceorganisaties.
Door begrip te hebben van de (on)mogelijkheden van ISAE 3402 kan de internal au- ditor zijn toegevoegde waarde tonen in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding.
7 COS 402, “Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie”.
8 COS 315, “Het onderkennen en inschatten van de risico’s van een afwijking van materieel belang door middel van het verwerven van inzicht in de entiteit en haar omgeving”.
9 COS 330, “De wijzen van inspelen door de accountant op ingeschatte risico’s”.
3.2.1 Ex ante (voorafgaand aan het ISAE 3402 rapport)
In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht moet worden verkregen in de kwaliteit van de risicobeheersing van de uit te besteden processen, welke vragen hierbij moeten worden gesteld intern en aan de serviceorganisatie en hoe het ‘assuranceproces’ zo efficiënt mogelijk kan worden ingericht.
3.2.1.1 Advisering management tijdens beginfase van uitbesteding
Met het voornemen tot uitbesteding ontstaat ook een aantal vragen op het vlak van het voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een advies- rol. Vragen die de internal auditor bij het management onder de aandacht kan brengen zijn:
• Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikersorganisatie van toepassing is: Mag het proces worden uitbesteed?
• Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance-eisen van de gebruikers- organisatie: Welke regels worden geraakt?
• Wordt getoetst of de serviceorganisatie betrouwbaar is?
• Welke beheersmaatregelen zijn binnen de gebruikersorganisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht):
Stellen wet- en regelgeving hier eisen aan?
• Wat is de aard en omvang van de beheersmaatregelen van de gebruikersorganisatie op de in- en uitgaande stromen richting de serviceorganisatie (‘user controls’)?
• Welke afspraken moeten bij het opstellen van het uitbestedingscontract worden opgeno- men over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de serviceorganisatie. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract.
De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding.
In uitbestedingcontracten wordt veelal een ‘right to audit’ bepaling opgenomen. Dit betekent dat de gebruikersorganisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de serviceorganisatie door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen; zo houdt de gebruikersorganisatie altijd het recht tot het doen van eigen waarnemingen.
3.2.1.2 Advisering management over inhoud ISAE 3402
De internal auditor die het management adviseert over de inhoud van het ISAE 3402 rap- port, neemt hierbij onder meer het volgende in acht:
• Overleg met de externe accountant;
• Wet- en regelgeving waar de gebruikersorganisatie aan moet voldoen;
• De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting service- organisatie controleert;
• De risicoanalyse van internal audit.
Overleg met de externe accountant
De externe accountant van de gebruikersorganisatie is één van de primaire belanghebben- den bij het ISAE 3402 rapport van de serviceorganisatie. Voor het bepalen van zijn informa- tiebehoefte, zal de externe accountant beginnen met een analyse op basis van de jaarreke- ning van de gebruikersorganisatie: Welke posten worden geraakt door de uitbesteding, wat is de impact; in andere woorden: zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen.
De reikwijdte van het ISAE 3402 rapport is strikt beperkt tot de processen en beheersmaatre- gelen gerelateerd aan de jaarrekeningcontrole (‘relevant for reporting’) voor de gebruikers- organisatie. Hierbij geldt dat door de IAASB is onderkend dat beheersmaatregelen rondom
‘operations’ van de serviceorganisatie en compliance met wet- en regelgeving ook relevant kunnen zijn voor de financiële verslaggeving van de gebruikersorganisatie. Wanneer daarnaast ook assurance wordt gewenst over processen die niet gerelateerd zijn aan de financiële verantwoording dient een audit op basis van de ISAE 3000 standaard te worden uitgevoerd.
Toepasselijke wet- en regelgeving voor de gebruikersorganisatie
Sarbanes Oxley stelt eisen aan de in de Verenigde Staten beursgenoteerde ondernemingen, waartoe onder meer het opnemen van een ‘In control Statement’ behoort. Vanuit de ser- viceorganisatie kan hiervoor input worden geleverd met een ISAE 3402 rapport.
Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT-risico’s.
Waar relevant of noodzakelijk zal de instelling de eigen beheersdoelstellingen, die deze aspecten borgen, willen terugvinden in het ISAE 3402 rapport van de serviceorganisatie.
De wijze waarop de gebruikersorganisatie de in- en uitgaande stromen richting serviceor- ganisatie controleert.
Bij uitbesteding vindt er informatieuitwisseling plaats tussen de gebruikersorganisatie en de serviceorganisatie. De beheersmaatregelen die de gebruikersorganisatie heeft, beïnvloeden de assurancevraag aan de serviceorganisatie. Wanneer de gebruikersorganisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk zijn aan de aan de serviceorganisatie verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke to- taalcontroles niet (kunnen) worden uitgevoerd.
Risicoanalyse conform de eigen audit risicoanalyse methodiek
De internal auditor beschikt veelal over een auditplanning gebaseerd op een risicoanalyse.
De inhoud van de risicoanalyse kan goed worden benut als input voor de te bepalen infor- matiebehoefte omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico’s en beheersmaatregelen van de processen.
Wanneer op basis van interne inventarisatie de gewenste inhoud helder is, moet worden gewaarborgd dat de beheersdoelstellingen waarover assurance wordt gewenst, overeen- komen met de beheersdoelstellingen van het ISAE 3402 rapport dat de serviceorganisatie gaat opleveren. Ter voorkoming van een ‘mismatch’ achteraf, is het van het grootste belang
dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzake- lijke controle-informatie) tussen de betrokken partijen. Dit betekent dat:
• Een overleg plaatsvindt tussen gebruikersorganisatie, serviceorganisatie, de betrokken externe auditors aan beide kanten en de betrokken internal auditors.
• Voor alle partijen wordt vastgelegd wat in het ISAE 3402 rapport moet worden opgeno- men: welke processen (reikwijdte), en mogelijk: welke beheersdoelstellingen.
Wanneer sprake is van een nieuwe relatie tussen een gebruikersorganisatie en een service- organisatie, en de nieuwe serviceorganisatie al de beschikking heeft over één of meerdere ISAE 3402 rapporten zal de internal auditor van de nieuwe gebruikersorganisatie, mogelijk in samenwerking met de externe auditor, de inhoud van het bestaande rapport toetsen aan de assurancebehoefte.
Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helderheid te hebben voor welke beheersdoelstellingen assurance verkregen moet worden. Bij een ISAE 3402 kan alleen een redelijke mate van zekerheid worden gegeven.
3.2.1.3 Aansluiting bij het interne beheersingsraamwerk van de gebruikersorganisatie
Een ISAE 3402 rapport kan aanleiding zijn voor de gebruikersorganisatie om (nog eens) kritisch te kijken naar het interne beheersingsraamwerk van de organisatie:
Zijn definities van processen en beheersmaatregelen helder en staan de belangrijkste be- heersmaatregelen (ook wel key controls genoemd) vast?
Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die worden uitbesteed aan de service- organisatie en dientengevolge in het ISAE 3402 rapport moeten worden opgenomen.
Als meerdere processen aan verschillende serviceorganisaties worden uitbesteed levert een helder raamwerk ook voordelen op. Door het management en de internal auditor kan, aan de hand van het raamwerk, worden vastgesteld welke assurance bij welke serviceorganisa- tie moet worden neergelegd.
Ook kan worden bepaald of en in hoeverre de verschillende assurancerapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico’s) van gebruikersorganisatie en serviceorganisaties is afgedekt.
3.2.1.4 Onderuitbesteding
Een bijzondere variant betreft de situatie waarin de serviceorganisatie op zijn beurt een deel van de processen heeft uitbesteed aan een andere partij (sub-serviceorganisatie). De voor de gebruikersorganisatie significante delen van de processen van de sub-serviceorganisatie moeten in het ISAE 3402 rapport zijn opgenomen (‘inclusive method’).
• ISAE 3402 stelt dat indien sprake is van de ‘inclusive method’, de gehele beschrijving van de sub-serviceorganisatie integraal moet worden opgenomen in het rapport, alsook de mededeling van het management van de sub-serviceorganisatie.
• In het geval van een ‘carve-out’10 moeten alle beheersmaatregelen, die de serviceorgani- satie heeft ingericht om zeker te stellen dat de relevante beheersmaatregelen bij de sub- serviceorganisatie effectief werken, in het rapport worden opgenomen.
Hier is een rol voor de internal auditor weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of be- oordelende rol vervullen.
3.2.1.5 Geschikte criteria
De externe auditor moet bepalen of de serviceorganisatie zogenoemde geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van het systeem. Nadat het rapport is ontvangen door de gebruikersorganisatie lijkt het verstandig voor de internal auditor ook te bezien of de serviceorganisatie de geschikte criteria heeft gebruikt bij het opstellen van de beschrijving, maar dan specifiek gericht op de vereisten van de gebruikersorganisatie.
3.2.2 Tijdens (ISAE 3402 rapport ontvangen)
Internal auditors voeren in de praktijk vaak een toetsing uit op het ISAE 3402 rapport. Deze toetsing richt zich op de vraag of het ISAE 3402 rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde:
Toetsing op nakoming afspraken
• Komen de reikwijdte, de periode en de beheersdoelstellingen overeen met de gemaakte afspraken?
• Is het type rapport (type I, type II) conform de afspraken?
• Wanneer verschillen bestaan met de gemaakte afspraken, dient hierover overleg plaats te vinden.
Inhoudelijke toetsing
De inhoudelijke toetsing van het ontvangen ISAE 3402 rapport moet leiden tot een antwoord op de vraag of de risico’s, bezien vanuit de gebruikersorganisatie, zijn afgedekt.
In overeenstemming met COS 402, lid 13 en 14, moet de externe accountant van de ge- bruikersorganisatie vaststellen of de controle-informatie die in een type I of type II rapport wordt verstrekt, voldoende en geschikt is. Hierbij moet de auditor van de gebruikersorgani- satie, de ‘user auditor’, zich ervan vergewissen dat:
• De auditor van de serviceorganisatie deskundig is en onafhankelijk ten opzichte van de serviceorganisatie;
• De standaarden waaronder het type I of II rapport is uitgebracht adequaat zijn. Type I of
10 Zie paragraaf 4.3.1
type II rapporten zullen veelal worden uitgebracht onder toepassing van COS 3402. In internationaal verband is het echter ook mogelijk dat rapporten worden uitgebracht onder toepassing van andere standaarden die zijn vastgesteld door een geautoriseerde of erkende instantie (regelgever of ‘standard setter’) die standaarden vaststelt;
• De beschrijving en de opzet van de interne beheersmaatregelen bij de serviceorganisatie op een bepaalde datum of voor een periode is, die passend is voor de doeleinden van de auditor van de gebruiker;
• De informatie die door het rapport wordt verschaft voldoende en geschikt is voor het verkrijgen van inzicht in de voor de controle relevante interne beheersing van de gebrui- kersorganisatie;
• De aanvullende interne beheersmaatregelen van de gebruikersorganisatie, die door de serviceorganisatie zijn onderkend, relevant zijn voor de gebruikersorganisatie (zo ja, dan dient de auditor inzicht te verkrijgen in de vraag of de gebruikersorganisatie dergelijke interne beheersmaatregelen heeft opgezet en geïmplementeerd).
In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen as- surance. Bijvoorbeeld ten aanzien van:
De periode (werking) van het ISAE 3402 rapport (type II) sluit niet aan op de gevraagde periode
De oplossing kan gevonden worden door te vragen naar additionele zekerheid over de ontbrekende periode aan de serviceorganisatie, welke bijvoorbeeld kan worden verkregen middels additionele gegevensgerichte werkzaamheden van de externe auditor of internal auditor (daarom strekt het tot de aanbeveling een ‘right to audit’ clausule op te nemen) of een managementverklaring van de serviceorganisatie over de ontbrekende periode.
De strekking van de auditorsmededeling in het ontvangen ISAE 3402 rapport
Door de auditor geconstateerde afwijkingen kunnen op twee manieren blijken in het ISAE 3402 rapport:
• Afwijkingen die het (positieve) oordeel niet beïnvloeden. De auditor volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden.
• Afwijkingen die het oordeel beïnvloeden. Deze worden opgenomen in de mededeling van de externe auditor.
Van de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het be- heersingsraamwerk van de gebruikersorganisatie. Dit zal zowel de externe accountant (of de IT Auditor) als de internal auditor van de gebruikersorganisatie doen. Onderdeel van de impactanalyse zijn ook de beheersmaatregelen van de gebruikersorganisatie. Mogelijk heb- ben bepaalde beheersmaatregelen bij de gebruikersorganisatie een mitigerend effect op tekortkomingen bij de serviceorganisatie. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaam- heden en/of een managementverklaring.
• Binnen ISAE 3402 moet de auditor de aard en oorzaak van afwijkingen tussen de beschre- ven beheersmaatregel en de vastgestelde uitvoering van de beheersmaatregel onderzoe-
ken. ISAE 3402 opent de mogelijkheid om een gevonden uitzondering (‘deviation’) te betitelen als een anomalie, een gebeurtenis die ver buiten de verwachting ligt. Dit is mogelijk door nader onderzoek te verrichten naar de gevonden uitzondering en vervol- gens met hoge mate van zekerheid te concluderen dat de gevonden uitzondering niet representatief is voor de populatie. Indien de auditor van de serviceorganisatie een ano- malie vaststelt, is het aan de auditor van de gebruikersorganisatie om de onderbouwing daarvan kritisch te beoordelen.
• Nog een belangrijke toevoeging in ISAE 3402 betreft de mededeling van het management van de serviceorganisatie. Hierin moet duidelijk worden gemaakt op welke wijze het management beheersmaatregelen monitort om de effectieve werking daarvan vast te stellen. De mededeling bevat ook een rapportage van uitzonderingen en tijdige correcties.
Van belang is dat duidelijk wordt gemaakt op welke wijze de conclusie van het manage- ment is onderbouwd. Bij de beoordeling kan ook de internal auditor van de gebruikers- organisatie een rol spelen.
• Een andere belangrijke toevoeging heeft betrekking op ‘subsequent events’. Indien rele- vante gebeurtenissen na de periode van onderzoek en voor de afgifte van het rapport niet door het management worden opgenomen in de beschrijving, neemt de auditor van de serviceorganisatie de gebeurtenis op in zijn mededeling.
3.2.3 Ex-post (na ontvangst ISAE 3402 rapport)
De analyse van het ontvangen ISAE 3402 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte van de gebruikersorganisatie afdekt. De internal auditor van de gebruikersorganisatie, zal in overleg met de externe accountant, hier een belangrijke rol kunnen spelen.
Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeen- gekomen dan moet de gebruikersorganisatie aandringen op naleving van het contract.
Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, Service Level Agreement) moeten worden overeengekomen.
Het ontvangen ISAE 3402 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken.
4. ISAE 3402
bij de service
organisatie:
rollen van de internal auditor
4.1 Inleiding
In dit hoofdstuk worden de rollen beschreven die de internal auditor van de serviceorgani- satie kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/baten- overwegingen en/of het gekozen samenwerkingsmodel tussen internal en external auditors.
Tenslotte komt de uitvoering van een ISAE 3402 project aan bod.
4.2 Rollen internal auditor van de serviceorganisatie
Het ISAE 3402 rapport van de serviceorganisatie wordt door een externe auditor van een mededeling voorzien. Dit sluit niet uit dat een aantal belangrijke taken is weggelegd voor de internal auditor.
De internal auditor van de serviceorganisatie beschikt over een aantal eigenschappen, welke hem bij uitstek geschikt maken voor het adviseren van het management in een ISAE 3402 traject:
• Kennis van de organisatie van de serviceorganisatie: zowel intern (intern beheersings- raamwerk) als extern (het speelveld waarin de serviceorganisatie opereert met eisen van stakeholders zoals klanten, toezichthouder en externe auditor).
• Vaktechnische kennis, kennis van het beheersingsraamwerk: de verschillende mogelijk- heden die de serviceorganisatie kan benutten om te voldoen aan de informatiebehoefte van stakeholders.
Door zijn vaktechnische kennis te combineren met zijn kennis van de organisatie, levert de internal auditor een belangrijke toegevoegde waarde bij het adviseren van het management in het ISAE 3402 traject.
4.2.1 Ex-ante (voorafgaand aan het ISAE 3402 rapport)
4.2.1.1 Advisering management over nut ISAE 3402
De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving, ontwikkelingen in de markt (transparantie, (cross-border) uitbesteding, com- plexiteit producten en beheersomgeving) en de steeds groeiende aandacht voor risicobeheer, de vraag naar assurance gegeven door gebruikersorganisaties blijft toenemen.
Een ander (concreter) argument is dat van efficiëntie in de verantwoording. Wanneer de serviceorganisatie contracten heeft met meerdere gebruikersorganisaties waarin een ’right to audit’ clausule is opgenomen, heeft de serviceorganisatie zich verplicht (meerdere) an- dere auditors toe te laten. In dat geval is het efficiënter om met één ISAE 3402 meerdere gebruikersorganisaties ‘tevreden’ te stellen. Op basis hiervan kan de internal auditor advise- ren een traject in te gaan, resulterend in een generiek ISAE 3402 rapport.
Waar in het verleden een serviceorganisatie voorop liep met een SAS 70 rapport, is nu het aantonen van ‘in control’ zijn via een ISAE 3402 rapport een basisvereiste geworden voor een serviceorganisatie. Tegenwoordig kan de toegevoegde waarde worden aangetoond met het uitvoeren en documenteren van een heldere risicoanalyse, die kan worden gedeeld met de gebruikersorganisatie en die aansluit op wet- en regelgeving.
Tenslotte dient een concrete aansluiting te bestaan tussen de uitgevoerde risicoanalyse en het beheersingsraamwerk dat wordt uitgewerkt in het ISAE 3402 rapport.
Vanzelfsprekend dient een gedegen risicoanalyse te worden uitgevoerd door het manage- ment, maar de internal auditor kan dit proces goed faciliteren en ook de koppeling met het beheersingsraamwerk kan worden voorbereid door de internal auditor.
4.2.1.2 Advisering management over inhoud ISAE 3402
Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze advi- seren hoe het ISAE 3402 rapport moet worden ingericht.
Vaststelling van reikwijdte (proces), beheersdoelstelling en beheersmaatregelen
Tot de reikwijdte van het ISAE 3402 rapport moeten minimaal de door de gebruikersorgani- satie uitbestede processen behoren, wanneer relevant voor de jaarrekening. Aanknopings- punten voor de exacte inhoud (reikwijdte, beheersdoelstellingen en beheersmaatregelen) zijn:
• Overleg met de gebruikersorganisatie. Bij de start van een ISAE 3402 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikersorganisatie en die van de serviceorganisatie.
• De gemaakte afspraken tussen de gebruikersorganisaties en de serviceorganisatie, in het algemeen vastgelegd in Service Level Agreements. Wanneer sprake is van veel gebrui- kersorganisaties en overleg niet haalbaar is, is het een optie om uitsluitend uit te gaan van deze afspraken.
• Wet- en regelgeving kan ook input zijn voor de inhoud van het rapport: welke beheers- doelstellingen moeten minimaal worden gerealiseerd vanuit deze regels?
Op te nemen beschrijvingen
Het ISAE 3402 rapport bevat ten eerste de beschrijving van de serviceorganisatie. Hier wordt aan de hand van de COSO componenten (Control Environment, Risk Assessment, Informa- tion & Communication en Monitoring) de organisatie beschreven.
Deze beschrijving wordt opgesteld door het management van de serviceorganisatie. Een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO en de organisatie) ten behoeve van het management dat deze beschrijving dan kan overnemen.
Vervolgens wordt beschreven over welke beheersdoelstellingen assurance wordt verstrekt, waarbij ook de beheersmaatregelen worden opgenomen die door de serviceorganisatie worden uitgevoerd om de beheersdoelstellingen te realiseren.
Generiek of maatwerk
Vanuit het oogpunt van de serviceorganisatie wordt bij voorkeur één generiek ISAE 3402
rapport ontwikkeld; één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen maatwerk ISAE 3402 rapporten worden ontwikkeld, waarbij het verstandig is dat duidelijk- heid bestaat over wie de meerkosten draagt.
Normenkader
Zoals eerder aangegeven is ISAE 3402 geen normenkader (zie paragraaf 2.3). ISAE 3402 schrijft voor hoe de indeling van het rapport en de audit moet zijn en wat moet worden beschreven. ISAE 3402 zelf stelt geen inhoudelijke eisen aan de beheersdoelstellingen, de beheersmaatregelen en wat ten behoeve van de audit moet worden beschreven. Alhoewel aldus geen inhoudelijke eisen worden gesteld aan beheersmaatregelen, bestaan wel ‘sound practices’ voor de beschrijving van deze maatregelen (zie bijlage 2). Immers, de doelstel- lingen en maatregelen moeten wel toetsbaar zijn door de externe auditor.
In het algemene gedeelte beschrijft de serviceorganisatie hoe de Control Environment eruit ziet en hoe de componenten Risk Assessment, Information & Communication en Monitoring zijn ingericht (de COSO elementen). Met de beschrijving van de beheersmaatregelen wordt invulling gegeven aan de component Control Activities uit het COSO raamwerk. De internal auditor kan bij deze beschrijving het management ondersteunen.
Wij geven ter overweging om waar mogelijk voor de beschrijving van de beheersmaatre- gelen aan te haken bij gerenommeerde (internationale) kaders, zoals bijvoorbeeld CobiT voor IT controls. Gebruik hiervan biedt onder meer de volgende voordelen:
• De beheersmaatregelen kunnen op volledigheid (en juistheid) worden getoetst. CobiT heeft bijvoorbeeld een uitgebreide set van beheersdoelstellingen met daaronder de be- heersmaatregelen die dit ondersteunen. Het is wel belangrijk om daarbij de toetsbaarheid van de doelstellingen en maatregelen te beschouwen, daar niet alle doelstellingen en maatregelen in CobiT voldoen aan de criteria zoals opgenomen in bijlage 2;
• Het vergemakkelijkt de afstemming met gebruikers omdat het bekende en veelgebruikte beheersingsraamwerken zijn.
4.2.1.3 Advisering management over externe auditor
Een ISAE 3402 rapport zonder mededeling van het management en een externe auditor voldoet niet aan de eisen. Bij de selectie van de externe auditor kan de internal auditor het management van advies dienen. Opties zijn onder andere:
• De eigen externe accountant: het voordeel van inzet van de eigen externe accountant is dat deze de organisatie kent en daarmee mogelijk efficiënter tot zijn mededeling bij het ISAE 3402 rapport kan komen. Bovendien zou de auditor auditwerkzaamheden voor ISAE 3402 in enkele gevallen kunnen combineren met de reguliere auditwerkzaamheden waardoor voor de organisatie de totale kosten lager kunnen zijn.
• Een andere externe auditor. Het voordeel is een ‘frisse kijk’ op de organisatie (overigens wel op basis van dezelfde vaktechnische grondslagen als de eigen externe accountant).
Nadeel is mogelijk meer communicatie en deze auditor zal mogelijk meer tijd nodig heb- ben om de organisatie te leren kennen.
Een belangrijk aandachtspunt bij de beoordeling van de in te schakelen externe auditor is de ‘ISAE 3402 auditaanpak’ (deze is niet universeel), waaronder ook de samenwerking met de internal auditor.
4.2.2 Tijdens (ISAE 3402 traject)
4.2.2.1 Advisering management over ISAE 3402 traject
Het vervaardigen van een ISAE 3402 rapport is geen sinecure: de internal auditor kan advi- seren over timing, kosten, fasering van dit traject en benodigde capaciteit. Hierbij komen de volgende belangrijke aandachtspunten aan de orde:
Business case/project
Om een ISAE 3402 traject gestructureerd te laten plaatsvinden wordt aanbevolen om volgens een ‘projectplan’ het traject te doorlopen. In een dergelijk projectplan dienen aan de orde te komen:
• De kosten van het ISAE 3402 traject: Deze zijn onder meer afhankelijk van de inhoud van het rapport, het type rapport, de betrokkenheid van eventuele adviseurs en de review werkzaamheden van de externe auditor.
• Fasering van het traject: Bepalend voor het succes van het ISAE 3402 traject is onder meer de ‘volwassenheid’ van de organisatie en het aantoonbaar uitvoeren van beheersmaat- regelen. Dit is een heel belangrijk punt: de externe auditor zal immers voor zijn auditwerk- zaamheden op een moment (type I rapport) of gedurende een periode (type II) moeten kunnen vaststellen dat de beheersmaatregelen zijn uitgevoerd.)
Een ISAE 3402 traject heeft veelal de volgende fasering:
1. Pilotfase
Doel is om vast te stellen wat nodig is om te komen tot een ISAE 3402 rapport. Deze fase betreft:
• De bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen.
• De analyse van de organisatie: hoe ver is de organisatie met procesbeschrijvingen, hel- dere definities van beheersmaatregelen en aantoonbaarheid van de uitvoering van deze beheersmaatregelen?
• De serviceorganisatie is verantwoordelijk voor het onderkennen van de risico’s die het bereiken van de interne beheersingsdoelstellingen in gevaar brengen. Hiertoe moet een formele of informele risicoanalyse worden uitgevoerd. De externe auditor zal zich tijdens zijn werkzaamheden een oordeel vormen over de geschiktheid van de interne beheers- maatregelen en zal zich hierbij de vraag stellen in hoeverre de serviceorganisatie de ri- sico’s heeft onderkend die de beheersingsdoelstellingen van de serviceorganisatie in gevaar kunnen brengen en of de beschreven beheersmaatregelen, bij een adequate werking, deze risico’s mitigeren. De internal auditor kan het management ondersteunen bij de bepaling van de reikwijdte, beheersdoelstellingen en beheersmaatregelen. Ook kan de internal auditor bijvoorbeeld het risico-onderkenningsproces door het manage- ment begeleiden.
• Wanneer de serviceorganisatie een overstap maakt van SAS 70 naar ISAE 3402 zal in deze fase vooral aandacht worden geschonken aan de wijze waarop het management tot haar mededeling zal moeten komen. Welke beheersmaatregelen of welke aanpassingen in de beheersomgeving kunnen het management voldoende waarborgen geven om tot een on- derbouwde managementmededeling te komen. Belangrijk daarbij is dat de beheersdoelstel- lingen onder ISAE 3402 het resultaat moeten zijn van een formele of informele risicoanalyse.
• De internal auditor zal het management kunnen aangeven op welke wijze meer inzicht verkregen kan worden in de effectieve werking van de beheersmaatregelen, welke infor- matie al beschikbaar is en hoe deze bijdragen aan het behalen van de beheersdoelstel- lingen. Het kan zijn dat de rapportage van de internal auditor als input voor de beoorde- ling van de effectieve werking van de beheersmaatregelen dient. Het management is uiteindelijk verantwoordelijk om de keuzes zelf te maken en zelf te bepalen hoe inzicht wordt verkregen in de effectieve werking van de beheersmaatregelen.
2. Eerste versie ISAE 3402 rapport
In deze fase wordt het rapport geschreven (beschrijving beheersomgeving, beheersdoelstel- lingen en beheersmaatregelen) en worden verbeteringen aangebracht ten aanzien van procesbeschrijvingen en vastlegging (aantoonbaarheid) van beheersmaatregelen.
Wederom zal bij een overgang van SAS 70 naar ISAE 3402 vooral aandacht moeten worden geschonken aan eventuele nieuwe elementen in de beheersomgeving en de wijze waarop deze geborgd zijn. De monitoringactiviteiten moeten gedurende de gehele testperiode worden uitgevoerd.
3. Verbeterde versie ISAE 3402 rapport
Dit rapport wordt afgestemd met betrokkenen. Alle beheersmaatregelen worden onderbouwd met procesdocumentatie (opzet) en documentatie van de uitvoering (bestaan, werking). De internal auditor kan hier testwerkzaamheden uitvoeren. Ook is het een optie om de externe auditor een soort pre-audit te laten uitvoeren. Eventueel gebleken leemtes zullen moeten resulteren in een SMART actieplan.
4. ISAE 3402 audit; de audit door de externe auditor
Inhoudelijk bestaan ten aanzien van de fasering verschillende varianten. De serviceorgani- satie kan in overleg met de gebruikersorganisatie starten met een ISAE 3402 met een be- perkte reikwijdte en nadien werken aan het uitbouwen ervan.
Begonnen kan worden met een type I rapport, dat zich richt op opzet en bestaan, om dit vervolgens uit te bouwen tot een type II rapport.
Uitvoering en verantwoordelijkheid voor het ISAE 3402 traject
De internal auditor is vaak intensief betrokken bij de (om-)bouw van het ISAE 3402 rapport.
Hij moet alert zijn op de volgende twee valkuilen:
• Het management kan de verantwoordelijkheid voor de inhoud minder voelen, zeker wanneer de internal auditor de communicatie met de externe auditor volledig voor zijn rekening neemt; en
• De internal auditor moet zijn eigen vaktechnische afwegingen maken: Wanneer hij nauw betrokken is bij de totstandkoming van het rapport, zal hij moeten nagaan of hij audit- werkzaamheden (voorbereidend voor externe auditor) kan uitvoeren op dezelfde beheers- maatregelen.
Onafhankelijk van de gekozen rol is het in alle gevallen van belang dat de internal auditor het management wijst op het feit dat zij uiteindelijk verantwoordelijk zijn voor de inhoud van het ISAE 3402 rapport.
4.2.2.2 ISAE 3402 auditwerkzaamheden internal auditor
Onder de SAS 70 standaard kon op twee manieren gebruik worden gemaakt van de werk- zaamheden van de internal auditor:
1. Met de zogenaamde direct assistance, waarbij de internal auditor wordt ingezet alsof hij/
zij onderdeel is van het externe auditteam.
2. Om de aard, timing en omvang van de werkzaamheden van de service auditor aan te passen op de verlangde werkzaamheden.
• In de nieuwe ISAE 3402-regelgeving wordt dit onderscheid niet genoemd en wordt alleen gesproken over de mogelijkheid, genoemd onder punt 2. Hierbij is aangesloten bij de huidige formuleringen van COS 610 (ISA 610), waarin dit onderscheid ook niet wordt gemaakt. In juli 2010 is door de IAASB een exposure draft gepubliceerd ‘ISA 610 Using the work of Internal Auditors’. In deze exposure draft is wel expliciet tekst opgenomen rondom de ‘direct assistance’ vanuit een Internal Audit Functie (IAF).
• Een ander belangrijk verschil met SAS 70 is dat de externe auditor van de serviceorgani- satie specifiek melding dient te maken van de werkzaamheden die zijn uitgevoerd door de internal auditor. Dit is bijvoorbeeld conform de huidige Britse AAF/01-standaard voor financiële instellingen, maar geheel anders dan onder SAS 70 het geval is. Wel is specifiek opgenomen, dat de ondertekenende auditor geheel en ongedeeld verantwoordelijk is voor zijn deel van het rapport. De verantwoordelijkheid voor de uitgevoerde werkzaam- heden en de opinie wordt niet gedeeld met de IAF.
In de nieuwe standaard is, evenals in de SAS 70, niet omschreven in welke mate gebruik mag worden gemaakt van de werkzaamheden van een internal auditor. Hierbij doet zich de vraag gelden of de invulling hiervan aan individuele eindverantwoordelijken of aan kantoren wordt overgelaten of dat richtlijnen worden ontwikkeld door NOREA/NIVRA, waarin wordt opgenomen wat de minimum te verrichten werkzaamheden zijn door de service auditor. In het algemeen moet de service auditor ‘toereikende’ assurance-informatie verzamelen om tot zijn oordeel te kunnen komen.
In de COS 610 is hierover het volgende opgenomen: ‘De aard, timing en omvang van de controlewerkzaamheden die worden uitgevoerd op specifieke werkzaamheden van de in- ternal auditor zullen afhangen van de inschatting door de externe accountant van het ri- sico van een afwijking van materieel belang, van de evaluatie van de IAF (afdeling) waarbin- nen de internal auditor werkzaam is, alsmede van de evaluatie van de specifieke
werkzaamheden van de internal auditor.
Dergelijke controlewerkzaamheden kunnen omvatten:
• Het onderzoeken van items die reeds door de internal auditor zijn onderzocht;
• Het onderzoeken van andere soortgelijke items; het observeren van werkzaamheden die door de internal auditor zijn uitgevoerd.
Voordat kan worden gesteund op de werkzaamheden uitgevoerd door de internal auditor, zal de service auditor de volgende aspecten van de internal auditor beoordelen:
• De kwaliteit van de afdeling (IAF).
• In welke mate de verrichte of te verrichten werkzaamheden relevant zijn.
• De impact van de werkzaamheden op de aard, timing en omvang van de werkzaamhe- den, waarbij in ogenschouw wordt genomen:
- De aard en reikwijdte van verrichte of te verrichten werkzaamheden.
- De significantie van de werkzaamheden voor de conclusies van de externe auditor.
• De mate van subjectiviteit die is toegepast bij de beoordeling van het bewijsmateriaal.
Werkverdeling internal auditor en service auditor
Wanneer de service auditor steunt op auditwerkzaamheden van de internal auditor moeten:
• Afspraken worden gemaakt over de aard en omvang van de te verrichten testwerkzaam- heden. Bij het bepalen van de omvang van deze werkzaamheden is de externe auditor uiteindelijk leidend. Deze moet op basis van vaktechnische gronden een risicoanalyse uitvoeren ter bepaling van de omvang van de uit te voeren werkzaamheden;
• Afspraken worden gemaakt over de wijze van documentatie. De documentatie van door de internal auditor uitgevoerde testwerkzaamheden moet voldoen aan de vaktechnische vereisten waaraan de external auditor zich heeft te houden.
4.2.2.3 Het verkrijgen van onderbouwende informatie met betrekking tot de werking van interne beheersmaatregelen (de steekproef)
De internal auditor kan werkzaamheden verrichten in het kader van ISAE 3402 waar de externe auditor gebruik van kan maken. In de praktijk is vaak discussie over de steekproef- omvang, dan wel de omvang van de deelwaarneming. Dit wordt in de tekst van ISAE 3402 beschreven bij de methodes voor het selecteren van items ter toetsing van de beheersmaat- regelen en het bepalen of deze methode geschikt is. De externe auditor moet bij het bepa- len van de omvang van de toetsing van interne beheersmaatregelen kijken naar de ken- merken van de te toetsen populatie zoals de aard van de beheersmaatregelen, de frequentie van hun toepassing (maandelijks, dagelijks, een aantal keren per dag) en de verwachte mate van afwijking.
Wanneer de auditor gebruik maakt van steekproeven, dient deze op een aantal aspecten te letten, waaronder:
• het doel van de controlemaatregel en de kenmerken van de populatie waaruit de steek- proef genomen zal worden bij het opzetten hiervan;
• een afdoende grootte van de steekproef die het steekproefrisico tot een aanvaardbaar niveau verlaagt;
