NV COS 3402

 

Inleiding

Toepassingsgebied van deze Standaard

1Deze Standaard behandelt de assurance-opdrachten die door een accountantStandaard 3000, Assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie, paragraaf 12(r). worden uitgevoerd om voor gebruikersorganisaties en hun accountants een rapportage te verstrekken. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikersorganisaties een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot de financiële verslaggeving. Deze Standaard vult Standaard 402 aan zodat de rapportages opgesteld in overeenstemming met deze Standaard, geschikt zijn de onder Standaard 402 Standaard 402, Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie. passende assurance-informatie te verschaffen. (Zie Par. A1)

2In het Stramien voor Assurance-opdrachten (het Stramien) staat aangegeven dat een assurance-opdracht een opdracht met een 'redelijke mate van zekerheid' of een opdracht met een 'beperkte mate van zekerheid' kan zijn en, dat een assurance-opdracht een 'attest'-opdracht of een 'directe'-opdracht kan zijn.Standaard 3000, paragraaf 12. In deze Standaard worden alleen attest-opdrachten met een redelijke mate van zekerheid behandeld.Paragraaf 13 en 52(k) van deze Standaard.

3Deze Standaard is alleen van toepassing wanneer de serviceorganisatie verantwoordelijk is voor, of anderszins in staat is om een vermelding te doen over de geschikte opzet van interne beheersingsmaatregelen. In deze Standaard worden niet de assurance-opdrachten behandeld:

  1. om uitsluitend te rapporteren over de vraag of interne beheersingsmaatregelen van een serviceorganisatie zo werken als staat beschreven; of
  2. om te rapporteren over interne beheersingsmaatregelen van een serviceorganisatie anders dan die beheersmaatregelen die verband houden met een dienst die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot de financiële verslaggeving (bijvoorbeeld, interne beheersingsmaatregelen die de productie of kwaliteitsbeheersing van de gebruikersorganisaties beïnvloeden).

 

Desalniettemin worden in deze Standaard enige leidraden verschaft voor dergelijke opdrachten die onder Standaard 3000 worden uitgevoerd. (Zie Par. A2)

4Naast het uitbrengen van het assurance-rapport betreffende interne beheersingsmaatregelen kan een accountant van de serviceorganisatie ook ingehuurd zijn om rapporten te verschaffen, die niet in deze Standaard behandeld worden zoals de volgende:

  1. een rapportage betreffende de transacties of saldi van een gebruikersorganisatie die door een serviceorganisatie worden onderhouden; of
  2. een rapport van feitelijke bevindingen betreffende de interne beheersingsmaatregelen van een serviceorganisatie.

Relatie met Standaard 3000, overige professionele uitingen en overige vereisten

5Van de accountant van de serviceorganisatie is vereist Standaard 3000 en deze Standaard na te leven bij het uitvoeren van assurance-opdrachten voor interne beheersingsmaatregelen bij een serviceorganisatie. Deze Standaard vult Standaard 3000 aan, maar is hier geen vervanging voor en zet uiteen op welke wijze Standaard 3000 toegepast moet worden op een assurance-opdracht met een redelijke mate van zekerheid om over de interne beheersingsmaatregelen van een serviceorganisatie te rapporteren.

6Het naleven van Standaard 3000 vereist onder andere naleving van de Verordening gedrags- en beroepsregels accountants (VGBA) en de Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO) of - indien van toepassing- andere wettelijke of professionele vereisten die tenminste gelijkwaardig zijn. Standaard 3000 , Paragraaf 3(a), 20 en 34. Het vereist tevens van de opdrachtpartner dat hij werkzaam is bij of verbonden is aan een accountantseenheid die onderworpen is aan de NVKS.

Ingangsdatum

7Voor de ingangsdatum wordt verwezen naar de slotbepalingen.

Doelstellingen

8De doelstellingen van de accountant van de serviceorganisatie zijn:

  1. het verkrijgen van een redelijke mate van zekerheid over de vraag of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria:

    1. een beschrijving van de serviceorganisatie van haar systeem, het systeem getrouw weergeeft zoals dit gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd (of in het geval van een type 1 rapport, op een gespecificeerde datum);
    2. interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die staan vermeld in de beschrijving van de serviceorganisatie van haar systeem gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet (of in het geval van een type 1 rapport, op een gespecificeerde datum);
    3. waar inbegrepen in de reikwijdte van de opdracht, de interne beheersingsmaatregelen, effectief werkten om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van het systeem van de serviceorganisatie staan vermeld, gedurende de gespecificeerde verslagperiode zijn bereikt.

  2. te rapporteren over de aangelegenheden die hierboven bij (a) staan vermeld in overeenstemming met de bevindingen van de accountant van de serviceorganisatie.

Definities

9In het kader van deze Standaard hebben de volgende termen de hierna weergegeven betekenissen:

  1. uitsluitingsmethode (Carve-out methode) - een methode van omgaan met de diensten die worden verleend door een subserviceorganisatie. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door een subservice-organissatie worden verleend. De relevante interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de subserviceorganisatie zijn echter uitgesloten van de beschrijving van de serviceorganisatie van haar systeem alsmede van de reikwijdte van de opdracht van de accountant van de serviceorganisatie. De beschrijving van de serviceorganisatie van haar systeem en de reikwijdte van de opdracht van de accountant van de serviceorganisatie bevatten interne beheersingsmaatregelen van de serviceorganisatie die de effectiviteit van de interne beheersingsmaatregelen van een subserviceorganisatie monitort, wat in kan houden dat de serviceorganisatie een assurance-rapport betreffende de interne beheersingsmaatregelen van de subserviceorganisatie beoordeelt;
  2. aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie - Interne beheersingsmaatregelen waarvan de serviceorganisatie, bij het opzetten van de dienst, aanneemt dat zij door de gebruikersorganisaties zullen worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen te bereiken, in de beschrijving van de serviceorganisatie van haar systeem staan vermeld;
  3. interne beheersingsdoelstelling - Het doel of doeleinde van een bepaald aspect van interne beheersingsmaatregelen. Interne beheersingsdoelstellingen houden verband met risico's waar de interne beheersingsmaatregelen naar streven deze te mitigeren;
  4. interne beheersingsmaatregelen bij de serviceorganisatie - Interne beheersingsmaatregelen over het bereiken van een interne beheersingsdoelstelling die door het assurance-rapport van de accountant wordt omvat; (Zie Par. A3)
  5. interne beheersingsmaatregelen van een subserviceorganisatie - Interne beheersingsmaatregelen van een subserviceorganisatie die een redelijke mate van zekerheid verschaffen over het bereiken van een interne beheersingsdoelstelling;
  6. criteria - Benchmarks die gebruikt worden om het een object van onderzoek te evalueren of te meten. De 'van toepassing zijnde criteria' zijn de criteria die bij de specifieke opdracht worden gebruikt;
  7. opname methode (Inclusive methode) - Methode hoe er wordt omgegaan met de diensten die door een subserviceorganisatie worden verleend. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door de subserviceorganisatie worden verleend. De relevante interne beheersingsdoelstellingen van die subserviceorganisatie en daarmee verband houdende interne beheersingsmaatregelen zijn opgenomen in de beschrijving van de serviceorganisatie van haar systeem en in de reikwijdte van de opdracht van de accountant van de serviceorganisatie; (Zie Par. A4)
  8. interne auditfunctie - Een functie van een entiteit die assurance- en adviesactiviteiten uitvoert die zijn opgezet om de effectiviteit van de governance, risicobeheersings- en interne beheersingsprocessen van de entiteit te evalueren en te verbeteren;
  9. interne auditors - Die individuen die de activiteiten van de interne auditfunctie uitvoeren. Interne auditors kunnen tot een interne auditafdeling of vergelijkbare functie behoren;
  10. rapport over de beschrijving en de opzet van interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 3402 wordt daarnaar verwezen als een 'type 1 rapport') - Een rapport dat bestaat uit:

    1. de beschrijving van de serviceorganisatie van haar systeem;
    2. een schriftelijke vermelding van de serviceorganisatie dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria:

      1. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum;
      2. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; en

    3. een assurance-rapport van de accountant van de serviceorganisatie dat een conclusie met een redelijke mate van zekerheid over de aangelegenheden in (ii)a.-b. hierboven uitdrukt.

  11. rapport over de beschrijving, opzet en werking van de interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 3402 wordt daarnaar verwezen als een 'type 2 rapport') - Een rapport dat bestaat uit:

    1. de beschrijving van de serviceorganisatie van haar systeem;
    2. een schriftelijke vermelding van de serviceorganisatie dat in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria:

      1. de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd;
      2. de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en
      3. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten; en

    3. een assurance-rapport van de accountant van de serviceorganisatie dat:

      1. een conclusie met een redelijke mate van zekerheid over de aangelegenheden in (ii)a.-c. hierboven uitdrukt; en
      2. een beschrijving van de toetsingen van interne beheersingsmaatregelen en de resultaten daarvan omvat.

  12. accountant van de serviceorganisatie - Een accountant die, op verzoek van de serviceorganisatie, een assurance-rapport verstrekt betreffende de interne beheersingsmaatregelen van een serviceorganisatie;
  13. serviceorganisatie - Een derde organisatie (of onderdeel van een derde organisatie) die diensten verleent aan gebruikersorganisaties die waarschijnlijk relevant zijn voor de interne beheersing in relatie tot de financiële verslaggeving;
  14. systeem van een serviceorganisatie (of het systeem) - De beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruikersorganisaties de diensten te verlenen die door het assurance-rapport van de accountant van de serviceorganisatie worden omvat. De beschrijving van de serviceorganisatie van haar systeem bestaat onder meer uit een identificatie van: de diensten die worden verleend; de verslagperiode, of in het geval van een type 1 rapport de datum waarop de beschrijving betrekking heeft; interne beheersingsdoelstellingen; en daarmee verband houdende interne beheersingsmaatregelen;
  15. vermelding van een serviceorganisatie - De schriftelijke vermelding over de aangelegenheden waarnaar in paragraaf 9(k)(ii) (of in het geval van een type 1 rapport in paragraaf 9 (j)(ii)) wordt verwezen;
  16. subserviceorganisatie - Een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om sommige diensten uit te voeren die aan gebruikersorganisaties worden verleend die waarschijnlijk relevant zijn voor de interne beheersing van gebruikersorganisaties in relatie tot de financiële verslaggeving;
  17. toetsing van interne beheersingsmaatregelen - Een controlemaatregel die is opgezet om de werking van interne beheersingsmaatregelen voor het bereiken van de interne beheersingsdoelstellingen, zoals vermeld in de beschrijving van het systeem van de serviceorganisatie, te evalueren;
  18. accountant van de gebruiker - Een accountant die de financiële overzichten van een gebruikersorganisaties controleert en daarover verslag uitbrengt;In het geval van een subserviceorganisatie, is de accountant van een serviceorganisatie die gebruik maakt van de diensten van een subserviceorganisatie tevens een accountant van een gebruiker.
  19. gebruikersorganisatie - Een entiteit die gebruik maakt van een serviceorganisatie.

Vereisten

Standaard 3000

10De accountant van de serviceorganisatie dient niet aan te geven conform deze Standaard te hebben gewerkt, tenzij de accountant van de serviceorganisatie de vereisten van deze Standaard en Standaard 3000 heeft nageleefd.

Ethische voorschriften

11De accountant van de serviceorganisatie dient de Verordening gedrags- en beroepsregels accountants (VGBA) en de Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO) na te leven of -indien van toepassing- andere wettelijke of professionele vereisten, die ten minste gelijkwaardig zijn. (Zie Par. A5)

Management en de met governance belaste personen

12Waar op grond van deze Standaard van de accountant van de serviceorganisatie vereist wordt dat hij verzoekt om inlichtingen van, of bevestigingen verzoekt bij, communiceert met, of anderszins in interactie staat met de serviceorganisatie, dient de accountant van de serviceorganisatie de juiste persoon of personen binnen het management van de serviceorganisatie of governancestructuur met wie die interactie plaatsvindt te bepalen. Dit dient onder meer in te houden het beschouwen van welke persoon of personen de geschikte verantwoordelijkheden voor en kennis van de betrokken aangelegenheden hebben. (Zie Par. A6)

Aanvaarding en continuering

13Alvorens de accountant van de serviceorganisatie een opdracht aanvaardt of continueert, dient hij:

  1. te bepalen of:

    1. de accountant van de serviceorganisatie de capaciteiten en de competentie bezit om de opdracht uit te voeren; (Zie Par. A7)
    2. de toe te passen criteria bij de serviceorganisatie waarvan de accountant veronderstelt dat deze om de beschrijving van haar systeem op te stellen, voor de gebruikersorganisatie en hun accountants geschikt zijn en beschikbaar zullen zijn; en
    3. de reikwijdte van de opdracht en de beschrijving van de serviceorganisatie van haar systeem niet zo beperkt zullen zijn dat het onwaarschijnlijk is dat zij voor de gebruikersorganisaties en hun accountants nuttig zijn.

  2. de instemming van de serviceorganisatie te verkrijgen dat zij haar verantwoordelijkheid erkent en begrijpt:

    1. voor het opstellen van de beschrijving van haar systeem en de bijgaande vermelding van de serviceorganisatie, inclusief de volledigheid, nauwkeurigheid en de methode van presentatie van die beschrijving en vermelding; (Zie Par. A8)
    2. om een redelijke basis te hebben voor de vermelding van de serviceorganisatie die met de beschrijving van haar systeem samengaat: (Zie Par. A9)
    3. voor het in de vermelding van de serviceorganisatie aangeven van de criteria die zij hanteerde bij het beschrijven van haar systeem;
    4. voor het in de beschrijving van haar systeem aangeven van:

      1. de interne beheersingsdoelstellingen; en
      2. de partij die deze doelstellingen specificeerde wanneer deze gespecificeerd zijn door wet- of regelgeving, of een andere partij (bijvoorbeeld een gebruikersgroep of een beroepsorganisatie);

    5. voor het identificeren van risico's die het bereiken van interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen, en het opzetten en implementeren van interne beheersingsmaatregelen om een redelijke mate van zekerheid te verschaffen dat die risico's het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan aangegeven niet zullen verhinderen, en daarmee dat de aangegeven interne beheersingsdoelstellingen zullen worden bereikt; en (Zie Par. A10)
    6. om de accountant van de serviceorganisatie:

      1. toegang te verschaffen tot alle informatie zoals vastleggingen, documentatie en andere aangelegenheden, met inbegrip van service level agreements waarvan de serviceorganisatie op de hoogte is dat deze relevant is voor de beschrijving van het systeem van de serviceorganisatie en de bijgaande vermelding van de serviceorganisatie;
      2. aanvullende informatie te verschaffen die de accountant kan verzoeken aan de serviceorganisatie voor de doeleinden van de assurance-opdracht; en
      3. onbeperkte toegang te verschaffen tot de personen binnen de serviceorganisatie van wie accountant van de serviceorganisatie bepaalt dat het noodzakelijk is assurance-informatie te verkrijgen.

De aanvaarding van een wijziging in de voorwaarden van de opdracht

14Indien de serviceorganisatie voor de afronding van de opdracht verzoekt om een wijziging in de reikwijdte van de opdracht, dient de accountant van de serviceorganisatie zich ervan te vergewissen dat er een redelijke rechtvaardiging bestaat voor die wijziging. (Zie Par. A11 en A12)

De geschiktheid van de criteria bepalen

15De accountant van de serviceorganisatie dient te bepalen of de serviceorganisatie geschikte criteria heeft gehanteerd bij het opstellen van de beschrijving van haar systeem, bij het evalueren of de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en, in het geval van een type 2 rapport, bij het evalueren of de interne beheersings-maatregelen effectief werken.

16Bij het bepalen van de geschiktheid van de criteria, om de beschrijving van de serviceorganisatie van haar systeem te evalueren, dient de accountant van de serviceorganisatie te bepalen of de criteria ten minste het volgende bevatten:

  1. of de beschrijving weergeeft op welke wijze het systeem van de serviceorganisatie is opgezet en geïmplementeerd, met inbegrip van, in voorkomend geval:

    1. de soorten diensten die worden verleend, met inbegrip van, in voorkomend geval de verwerkte transactiestromen;
    2. de procedures, binnen zowel de informatie technologie als handmatige systemen, waardoor diensten worden verleend, met inbegrip van, in voorkomend geval, procedures waardoor transacties worden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages en overige informatie die voor gebruikersorganisaties is opgesteld;
    3. de daarmee verband houdende vastleggingen en ondersteunende informatie, met inbegrip van, in voorkomend geval, administratie, ondersteunende informatie en specifieke rekeningen die worden gebruikt om transacties te initiëren, vast te leggen, te verwerken en erover te rapporteren; dit omvat tevens het corrigeren van onjuiste informatie en op welke wijze informatie naar de rapporten wordt overgebracht en op welke wijze overige informatie voor gebruikersorganisaties is opgesteld;
    4. op welke wijze het systeem van de serviceorganisatie significante gebeurtenissen en omstandigheden, anders dan de transacties, behandelt;
    5. het proces dat wordt gehanteerd om rapportages en overige informatie voor gebruikersorganisaties op te stellen;
    6. de gespecificeerde interne beheersingsdoelstellingen en interne beheersingsmaatregelen om die doelstellingen te bereiken;
    7. aanvullende interne beheersingsmaatregelen van de gebruikersorganisaties beschouwd bij de opzet van de interne beheersingsmaatregelen; en
    8. andere aspecten van de beheersingsomgeving van de entiteit, het risico-inschattingsproces, het informatiesysteem (inclusief daarmee verband houdende processen) en communicatie, de beheersingsactiviteiten en de monitoringsbeheersingsmaatregelen die relevant zijn voor de diensten die worden verleend.

  2. in het geval van een type 2 rapport, over de vraag of de beschrijving relevante details bevat over wijzigingen aan het systeem van de serviceorganisatie gedurende de verslagperiode die door de beschrijving wordt omvat.
  3. of de beschrijving informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem van de serviceorganisatie dat wordt omschreven, terwijl erkend wordt dat de beschrijving is opgesteld om aan de algemene behoeftes van een brede groep gebruikers en hun accountants te voldoen en dat de beschrijving daarom niet ieder aspect van het systeem van de serviceorganisatie kan bevatten dat iedere individuele gebruikersorganisatie en haar accountant in diens bijzondere omgeving belangrijk kan achten.

17Bij het bepalen van de geschiktheid van de criteria om de opzet van de interne beheersingsmaatregelen te evalueren, dient de accountant van de serviceorganisatie te bepalen of de criteria ten minste de vraag bevatten of:

  1. de serviceorganisatie de risico's heeft geïdentificeerd die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen; en
  2. de interne beheersingsmaatregelen die in die beschrijving zijn geïdentificeerd, indien zij werken zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet verhinderen.

18Bij het bepalen van de geschiktheid van de criteria om de werking van interne beheersingsmaatregelen te evalueren bij het verschaffen van een redelijke mate van zekerheid dat de vermelde interne beheersingsdoelstellingen die in de beschrijving zijn geïdentificeerd bereikt zullen worden, dient de accountant van de serviceorganisatie te bepalen of de criteria ten minste de vraag bevatten of de interne beheersingsmaatregelen gedurende de gespecificeerde verslagperiode consistent zijn toegepast. Dit houdt onder meer in of er handmatige interne beheersingsmaatregelen zijn toegepast door personen die de geschikte competentie en bevoegdheid hebben. (Zie Par. A13, A14 en A15)

Materialiteit

19Bij het plannen en het uitvoeren van de opdracht dient de accountant van de serviceorganisatie de materialiteit met betrekking tot de getrouwe weergave van de beschrijving, de geschiktheid van de opzet van de interne beheersingsmaatregelen en, in het geval van een type 2 rapport, de werking van interne beheersingsmaatregelen in aanmerking te nemen. (Zie Par. A16, A17 en A18)

Het verwerven van inzicht in het systeem van de serviceorganisatie

20De accountant van de serviceorganisatie dient inzicht in het systeem van de serviceorganisatie te verkrijgen, met inbegrip van interne beheersingsmaatregelen die bij de reikwijdte van de opdracht zijn inbegrepen. (Zie Par. A19 en A20)

Het verkrijgen van assurance-informatie met betrekking tot de beschrijving

21De accountant van de serviceorganisatie dient de beschrijving van de serviceorganisatie van haar systeem te verkrijgen en te lezen en dient te evalueren of die aspecten van de beschrijving die bij de reikwijdte van de opdracht zijn inbegrepen getrouw zijn weergegeven, met inbegrip van de vraag of: (Zie Par. A21 en A22)

  1. de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld in de gegeven omstandigheden redelijk zijn; (Zie Par. A23)
  2. interne beheersingsmaatregelen geïdentificeerd in die beschrijving zijn geïmplementeerd;
  3. aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie, indien aanwezig, adequaat zijn beschreven; en
  4. diensten die door een subservice-organisatie, indien aanwezig, zijn uitgevoerd adequaat zijn beschreven, met inbegrip van of de opname methode (inclusive methode) of de uitsluitingsmethode (carve-out methode) is gehanteerd met betrekking tot die diensten.

22De accountant van de serviceorganisatie dient middels overige werkzaamheden in combinatie met verzoeken om inlichtingen te bepalen of het systeem van de serviceorganisatie is geïmplementeerd. Die overige werkzaamheden dienen observatie en inspectie van vastleggingen en overige documentatie te bevatten van de manier waarop het systeem van de serviceorganisatie werkt en interne beheersingsmaatregelen zijn toegepast. (Zie Par. A24)

Het verkrijgen van assurance-informatie met betrekking tot de opzet van interne beheersingsmaatregelen

23De accountant van de serviceorganisatie dient te bepalen welke van de interne beheersingsmaatregelen van de serviceorganisatie noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld te bereiken en dient te beoordelen of die interne beheersingsmaatregelen op afdoende wijze zijn opgezet. De bepaling hiervan dient het volgende te bevatten: (Zie Par. A25, A26 en A27)

  1. het identificeren van de risico's die het bereiken van de interne beheersingsdoelstellingen die de beschrijving van de serviceorganisatie van haar systeem staan vermeld in gevaar brengen; en
  2. het evalueren van de koppeling van interne beheersingsmaatregelen geïdentificeerd in de beschrijving van de serviceorganisatie van haar systeem aan deze risico's.

Het verkrijgen van assurance-informatie met betrekking tot de werking van de interne beheersingsmaatregelen

24Wanneer een type 2 rapport wordt verstrekt dient de accountant van de serviceorganisatie die interne beheersingsmaatregelen te toetsen waarvan de accountant van de serviceorganisatie heeft bepaald dat zij noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld te bereiken, en dient hij hun werking gedurende de verslagperiode vast te stellen. De assurance-informatie die in eerdere opdrachten is verkregen over de toereikende werking van interne beheersingsmaatregelen in eerdere verslagperiodes verschaft geen basis voor een vermindering van het toetsen, zelfs niet wanneer die is aangevuld met assurance-informatie die tijdens de lopende verslagperiode is verkregen. (Zie Par. A28, A29, A30, A31 en A32)

25Bij het opzetten en het uitvoeren van de toetsing van interne beheersingsmaatregelen dient de accountant van de serviceorganisatie:

  1. overige werkzaamheden uit te voeren in combinatie met verzoeken om inlichtingen om assurance-informatie te verkrijgen over:

    1. de wijze waarop de interne beheersingsmaatregel was toegepast;
    2. de consistentie waarmee de interne beheersingsmaatregel was toegepast; en
    3. de vraag door wie of met welke middelen de interne beheersingsmaatregel is toegepast;

  2. vast te stellen of de te toetsen interne beheersingsmaatregelen afhankelijk zijn van andere interne beheersingsmaatregelen (indirecte interne beheersingsmaatregelen) en, zo ja, of het noodzakelijk is om assurance-informatie te verkrijgen die de werking van die indirecte interne beheersingsmaatregelen onderbouwt; en (Zie Par. A33 en A34)
  3. methodes te bepalen voor het selecteren van elementen ter toetsing die effectief zijn in het bereiken van de doelstellingen van de controlemaatregel. (Zie Par. A35 en A36)

26Bij het bepalen van de omvang van de toetsing van interne beheersingsmaatregelen dient de accountant van de serviceorganisatie aangelegenheden, met inbegrip van de kenmerken van de te toetsen populatie te overwegen, hetgeen omvat de aard van de interne beheersingsmaatregelen, de frequentie van hun toepassing (bijvoorbeeld maandelijks, dagelijks, een aantal keren per dag) en de verwachte mate van deviatie.

Het gebruiken van steekproeven

27Wanneer de accountant van de serviceorganisatie gebruik maakt van steekproeven dient de accountant van de serviceorganisatie: (Zie Par. A35 en A36)

  1. het doel van de controlemaatregel en de kenmerken van de populatie van waaruit de steekproef zal worden genomen bij het opzetten van de steekproef te overwegen;
  2. een afdoende grootte van de steekproef te bepalen die het steekproefrisico tot een aanvaardbaar laag niveau verlaagt;
  3. eenheden voor de steekproef te selecteren op een dergelijke manier dat iedere steekproefeenheid in de populatie een kans heeft om geselecteerd te worden;
  4. indien een opgezette controlemaatregel niet van toepassing is op het geselecteerde item, de controlemaatregel op een vervangend item uit te voeren; en
  5. indien hij niet in staat is om de opgezette werkzaamheden, of geschikte andere werkzaamheden, op een geselecteerd item toe te passen, dat item als een deviatie te behandelen.

Aard en oorzaak van deviaties

28De accountant van de serviceorganisatie dient de aard en de oorzaak van de geïdentificeerde deviaties te onderzoeken en dient te bepalen of:

  1. geïdentificeerde deviaties binnen de verwachte mate van deviatie en aanvaardbaar zijn; daarom verschaft de reeds uitgevoerde toetsing een geschikte basis om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode effectief werkt;
  2. aanvullende toetsing van de interne beheersingsmaatregel of overige interne beheersingsmaatregelen noodzakelijk zijn om tot een conclusie te komen dat de interne beheersingsmaatregelen met betrekking tot een bepaalde interne beheersingsdoelstelling gedurende de gespecificeerde verslagperiode effectief werken; of (Zie Par. A25)
  3. de uitgevoerde toetsing een geschikte basis verschaft om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode niet effectief werkte.

29In de zeer zeldzame gevallen waar de accountant van de serviceorganisatie overweegt dat een ontdekte deviatie in een steekproef een a-typische fout is en er geen enkele andere interne beheersingsmaatregelen zijn geïdentificeerd die het voor de accountant van de serviceorganisatie mogelijk maken te concluderen dat de relevante interne beheersingsdoelstelling gedurende de gespecificeerde verslagperiode wordt behaald, dient de accountant van de serviceorganisatie een hoge mate van zekerheid te verkrijgen dat een dergelijk deviatie niet representatief is voor de populatie. De accountant van de serviceorganisatie dient deze mate van zekerheid te verkrijgen door aanvullende werkzaamheden uit te voeren om voldoende en geschikte assurance-informatie te verkrijgen dat de deviatie geen invloed heeft op het resterende deel van de populatie.

De werkzaamheden van een interne auditfunctie

Het verwerven van inzicht in de interne auditfunctie

30Indien de serviceorganisatie een interne auditfunctie heeft, dient de accountant van de serviceorganisatie een inzicht in de aard van de verantwoordelijkheden van de interne auditfunctie te verwerven alsmede in de werkzaamheden die worden uitgevoerd om te bepalen of het waarschijnlijk is dat de interne auditfunctie relevant is voor de opdracht. (Zie Par. A37) In deze Standaard worden geen gevallen behandeld waarbij de interne auditors directe ondersteuning verlenen aan de accountant van de serviceorganisatie bij het uitvoeren van controlewerkzaamheden.

Bepalen of en in welke mate van de werkzaamheden van de interne auditors gebruik kan worden gemaakt

31De accountant van de serviceorganisatie dient te bepalen:

  1. of het waarschijnlijk is dat de werkzaamheden van de interne auditors adequaat zijn voor de doeleinden van de opdracht; en
  2. zo ja, wat de geplande invloed is van de werkzaamheden van de interne auditors op de aard, de timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie.

32Bij het bepalen of de werkzaamheden van de interne auditors waarschijnlijk adequaat zijn voor de doeleinden van de opdracht, dient de accountant van de serviceorganisatie het volgende te evalueren:

  1. de objectiviteit van de interne auditfunctie;
  2. de technische competentie van de interne auditors;
  3. of de werkzaamheden van de interne auditors waarschijnlijk met voldoende professionele zorgvuldigheid worden uitgevoerd; en
  4. of het waarschijnlijk is dat er effectieve communicatie zal plaatsvinden tussen de interne auditors en de accountant van de serviceorganisaties.

33Bij het bepalen van de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie, dient de accountant van de serviceorganisatie te overwegen: (Zie Par. A38)

  1. de aard en de reikwijdte van de gespecificeerde werkzaamheden die door de interne auditors zijn uitgevoerd of uitgevoerd moeten worden;
  2. de significantie van die werkzaamheden voor de conclusies van de accountant van de serviceorganisatie; en
  3. de mate van subjectiviteit die is gehanteerd bij de evaluatie van de assurance-informatie die ter ondersteuning van die conclusies is verzameld.

Gebruik maken van de werkzaamheden van de interne auditfunctie

34Om gebruik te maken van specifieke werkzaamheden van de interne auditors, dient de accountant van de serviceorganisatie die werkzaamheden te evalueren en daarop werkzaamheden uit te voeren om te bepalen of zij adequaat zijn voor de doeleinden van de accountant van de serviceorganisatie. (Zie Par. A39)

35Om het adequaat zijn van specifieke werkzaamheden die door de interne auditors zijn uitgevoerd voor de doeleinden van de accountant van de serviceorganisatie te bepalen, dient de accountant van de serviceorganisatie te evalueren of:

  1. de werkzaamheden zijn uitgevoerd door interne auditors die beschikken over adequate vaktechnische training en vaardigheid;
  2. op de werkzaamheden naar behoren toezicht is uitgeoefend en of ze naar behoren werden beoordeeld en gedocumenteerd;
  3. adequate assurance-informatie is verkregen om de interne auditors in staat te stellen redelijke conclusies te trekken;
  4. de bereikte conclusies onder de gegeven omstandigheden passend zijn en of alle rapportages opgesteld door de interne auditors consistent zijn met de uitkomsten van de uitgevoerde werkzaamheden; en
  5. uitzonderingen die voor de opdracht of ongebruikelijke aangelegenheden die door de interne auditors naar voren zijn gebracht naar behoren worden opgelost.

Effect op het assurance-rapport van de accountant van de serviceorganisatie

36Indien er gebruik is gemaakt van de werkzaamheden van de interne auditfunctie dient de accountant van de serviceorganisatie in de sectie van het assurance-rapport dat zijn oordeel bevat niet te verwijzen naar die werkzaamheden. (Zie Par. A40)

37In het geval van een type 2 rapport, indien er gebruik is gemaakt van de werkzaamheden van de interne auditfunctie bij het toetsen van interne beheersingsmaatregelen, dient het onderdeel van het assurance-rapport van de accountant van de serviceorganisatie, dat de toetsing door de accountant van de serviceorganisatie van de interne beheersingsmaatregelen en de resultaten daarvan beschrijft, een beschrijving van het werk van de interne auditor en van de werkzaamheden van de accountant van de serviceorganisatie met betrekking tot die werkzaamheden te bevatten. (Zie Par. A41)

Schriftelijke bevestigingen

38De accountant van de serviceorganisatie dient de serviceorganisatie te verzoeken om schriftelijke bevestigingen te verschaffen die: (Zie Par. A42)

  1. de vermelding opnieuw bevestigen die samengaat met de beschrijving van het systeem;
  2. vermelden dat de serviceorganisatie alle relevante informatie en overeengekomen toegang aan de accountant van de serviceorganisatie heeft verschaft; en
  3. vermelden dat de serviceorganisatie de accountant van de serviceorganisatie heeft ingelicht over de volgende zaken waarvan de serviceorganisatie op de hoogte is:

    1. het niet-naleven van wet- en regelgeving, fraude, ongecorrigeerde deviaties die toe te schrijven zijn aan de serviceorganisatie die één of meer gebruikersorganisaties kunnen beïnvloeden;
    2. tekortkomingen in de opzet van interne beheersingsmaatregelen;
    3. gevallen waarin interne beheersingsmaatregelen niet hebben gewerkt zoals stond beschreven; en
    4. alle gebeurtenissen na de einddatum van de verslagperiode, die de beschrijving van de serviceorganisatie van haar systeem omvat tot aan de datum van het assurance-rapport van de accountant van de serviceorganisatie, die een significantie invloed zouden kunnen hebben op het assurance-rapport van de accountant van de serviceorganisatie.

39De schriftelijke bevestigingen dienen in de vorm van een bevestigingsbrief geadresseerd aan de accountant van de serviceorganisatie te zijn. De datum van de schriftelijke bevestigingen dient zo dicht als praktisch uitvoerbaar is bij, maar niet na, de datum van het assurance-rapport van de accountant van de serviceorganisatie te liggen.

40Indien, na de aangelegenheid met de accountant van de serviceorganisatie te hebben besproken, de serviceorganisatie niet één of meerdere schriftelijke bevestigingen verschaft die in overeenstemming met paragraaf 38(a) en (b) van deze Standaard zijn verzocht, dient de accountant van de serviceorganisatie een oordeelonthouding te formuleren. (Zie Par. A43)

Andere informatie

41De accountant van de serviceorganisatie dient de eventuele overige informatie te lezen die is inbegrepen bij een document dat de beschrijving van de serviceorganisatie van haar systeem en het assurance-rapport van de accountant van de serviceorganisatie bevat, om eventuele met die beschrijving van materieel belang zijnde inconsistenties te identificeren. De accountant van de serviceorganisatie kan tijdens het lezen van de overige informatie met als doel de van materieel belang zijnde inconsistenties te identificeren, kennis krijgen van een duidelijke afwijking van de feiten in die overige informatie.

42Indien de accountant van de serviceorganisatie een van materieel belang zijnde inconsistentie identificeert of zich bewust wordt van een duidelijke afwijking van de feiten, dient de accountant van de serviceorganisatie de aangelegenheid met de serviceorganisatie te bespreken. Indien de accountant van de serviceorganisatie concludeert dat er in de overige informatie een van materieel belang zijnde inconsistentie of een afwijking van de feiten bestaat waarvan de serviceorganisatie weigert deze te corrigeren, dient de accountant van de serviceorganisatie verder passende actie te ondernemen. (Zie Par. A44 en A45)

Gebeurtenissen na de einddatum van de verslagperiode

43De accountant van de serviceorganisatie dient te verzoeken om inlichtingen of de serviceorganisatie op de hoogte is van gebeurtenissen na de einddatum van de verslagperiode die door de beschrijving van de serviceorganisatie van haar systeem is omvat tot aan de datum van het assurance-rapport van de accountant van de serviceorganisatie die ertoe zouden kunnen leiden dat de accountant van de serviceorganisatie het assurance-rapport aanpast. Indien de accountant van de serviceorganisatie kennis heeft van een dergelijke gebeurtenis, en informatie over die gebeurtenis niet door de serviceorganisatie is toegelicht, dient de accountant van de serviceorganisatie het in het assurance-rapport van de accountant van de serviceorganisatie toe te lichten.

44De accountant van de serviceorganisatie heeft geen verplichting om werkzaamheden uit te voeren met betrekking tot de beschrijving van het systeem van de serviceorganisatie, of de geschiktheid van de opzet of de werking van de interne beheersingsmaatregelen, na de datum van het assurance-rapport van de accountant van de serviceorganisatie.

Documentatie

45De accountant van de serviceorganisatie dient tijdig opdrachtdocumentatie op te stellen die een vastlegging verschaft van de basis voor het assurance-rapport die voldoende en geschikt is om een ervaren accountant van een serviceorganisatie die voorheen niet bij de opdracht betrokken was, in staat te stellen inzicht te verwerven in:

  1. de aard, timing en omvang van de werkzaamheden die zijn uitgevoerd overeenkomstig deze Standaard en in overeenstemming met de van toepassing zijnde door wet- en regelgeving gestelde eisen;
  2. de uitkomsten van de uitgevoerde werkzaamheden en de verkregen assurance-informatie; en
  3. significante aangelegenheden voortgekomen uit de opdracht, de daaruit getrokken conclusies en significante professionele oordelen die zijn gevormd om tot die conclusies te komen.

46Bij het documenteren van de aard, timing en omvang van de uitgevoerde werkzaamheden dient de accountant het volgende vast te leggen:

  1. de onderscheidende kenmerken van de specifieke elementen of aangelegenheden die worden getoetst;
  2. wie de werkzaamheden heeft uitgevoerd en de datum waarop dergelijke werkzaamheden zijn voltooid; en
  3. wie de werkzaamheden heeft beoordeeld en de datum en omvang van een dergelijke beoordeling.

47Indien de accountant van de serviceorganisatie gebruik maakt van de werkzaamheden van de interne auditors, dient de accountant van de serviceorganisatie de conclusies die getrokken zijn met betrekking tot de evaluatie van het adequaat zijn van de werkzaamheden van de interne auditors, en de door de accountant van de serviceorganisaties uitgevoerde werkzaamheden met betrekking tot die werkzaamheden, te documenteren.

48De accountant van de serviceorganisatie dient de besprekingen met de serviceorganisatie en overige over significante aangelegenheden te documenteren met inbegrip van de aard van de besproken significante aangelegenheden en wanneer en met wie deze besprekingen plaatsvonden.

49Indien de accountant van de serviceorganisatie informatie heeft geïdentificeerd die inconsistent is met de uiteindelijke conclusie van de accountant van de serviceorganisatie met betrekking tot een significante aangelegenheid, dient de accountant van de serviceorganisatie te documenteren op welke wijze de accountant van de serviceorganisatie de inconsistentie heeft behandeld.

50De accountant van de serviceorganisatie dient de documentatie in een opdrachtdossier samen te stellen en het administratieve proces van samenstelling van het definitieve dossier tijdig na de datum van zijn assurance-rapport te voltooien Een geschikt tijdsbestek waarbinnen de samenstelling van het definitieve opdrachtdossier moet worden afgerond, is gewoonlijk niet meer dan 2 maanden na de datum van het assurance-rapport (gelijk aan de periode die geldt voor controledossiers. (Zie Standaard 230, paragraaf A21))..

51Nadat het samenstellen van het definitieve opdrachtdossier is voltooid, dient de accountant van de serviceorganisatie geen documentatie te vernietigen of te verwijderen voordat de bewaarperiode is afgelopen. (Zie Par. A46)

52Indien de accountant van de serviceorganisatie het noodzakelijk acht om bestaande opdrachtdocumentatie aan te passen of nieuwe documentatie nadat de samenstelling van het definitieve opdrachtdossier is voltooid, toe te voegen en die documentatie geen invloed heeft op de rapportage van de accountant van de serviceorganisatie, dient de accountant van de serviceorganisatie, ongeacht de aard van de aanpassingen of de toevoegingen, het volgende te documenteren:

  1. de specifieke redenen voor het aanbrengen daarvan; en
  2. wanneer en door wie ze werden aangebracht en beoordeeld.

Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie

De inhoud van het assurance-rapport van de accountant van de serviceorganisatie

53Het assurance-rapport van de accountant van de serviceorganisatie dient minstens de volgende basiselementen te bevatten: (Zie Par. A47)

  1. een titel die duidelijk aangeeft dat de rapportage een assurance-rapport is van een onafhankelijke accountant;
  2. een geadresseerde;
  3. het aanduiden van:
  4. de beschrijving van de serviceorganisatie van haar systeem en de vermelding van de serviceorganisatie die de aangelegenheden bevatten die beschreven zijn in paragraaf 9(k)(ii) voor een type 2 rapport, of paragraaf 9(j)(ii) voor een type 1 rapport;
  5. de eventuele onderdelen van de beschrijving van de serviceorganisatie van haar systeem die niet door het oordeel van de accountant van de serviceorganisatie worden omvat;
  6. indien de beschrijving naar de behoefte aan aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie verwijst, een vermelding dat de accountant van de serviceorganisatie de geschiktheid van de opzet of de werking van aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie niet heeft geëvalueerd, en dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld alleen maar kunnen worden bereikt, indien de aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie samen met de interne beheersingsmaatregelen van de serviceorganisatie op afdoende wijze zijn opgezet of werken;
  7. Indien diensten door een subserviceorganisatie worden uitgevoerd, de aard van de activiteiten die door de subserviceorganisatie worden uitgevoerd zoals die staan beschreven in de beschrijving van de serviceorganisatie van haar systeem en of er van de opname methode (inclusive methode) of de uitsluitingsmethode (carve-out methode) met betrekking tot die diensten gebruik is gemaakt. Waar er van de uitsluitingsmethode (carve-out methode) gebruik is gemaakt, een vermelding dat de beschrijving van de serviceorganisatie van haar systeem de interne beheersingsdoelstellingen en daarmee verband houdende interne beheersingsmaatregelen van relevante subserviceorganisaties uitsluit en dat werkzaamheden van de accountant van de serviceorganisatie zich niet uitstrekken tot de interne beheersingsmaatregelen van de subserviceorganisatie. Waar er gebruik is gemaakt van de opname methode (inclusive methode), een vermelding dat de beschrijving van de subserviceorganisatie van haar systeem de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de serviceorganisatie omvat, en dat de werkzaamheden van de accountant van de serviceorganisatie zich uitstrekten tot de interne beheersingsmaatregelen van de subserviceorganisatie.
  8. aanduiding van de van toepassing zijnde criteria en de partij die de interne beheersingsdoelstellingen specificeert;
  9. een vermelding dat de rapportage en, in het geval van een type 2 rapport, de beschrijving van toetsingen van interne beheersingsmaatregelen alleen voor gebruikersorganisaties en hun accountants, die afdoende inzicht hebben om deze te beschouwen zijn bedoeld, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door gebruikersorganisaties zelf worden uitgevoerd, wanneer zij de risico's op afwijkingen van materieel belang in de financiële overzichten van gebruikersorganisaties inschatten; (Zie Par. A48)
  10. een vermelding dat de serviceorganisatie verantwoordelijk is voor:
  11. het opstellen van de beschrijving van haar systeem en de bijgaande vermelding, met inbegrip van de volledigheid, nauwkeurigheid en de methode van presentatie van die beschrijving en die vermelding;
  12. het verlenen van de diensten die door de beschrijving van de serviceorganisatie van haar systeem wordt omvat;
  13. het vermelden van de interne beheersingsdoelstellingen (waar zij niet zijn geïdentificeerd door wet- of regelgeving, of een andere partij bijvoorbeeld een gebruikersgroep of een beroepsorganisatie); en
  14. het opzetten en implementeren van interne beheersingsmaatregelen om de interne beheersingsdoelstellingen te bereiken die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld.
  15. een vermelding dat de verantwoordelijkheid van de accountant van de serviceorganisatie ligt bij het tot uitdrukking brengen van een oordeel over de beschrijving van de serviceorganisatie, over de opzet van interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen die in die beschrijving staan vermeld, en, in het geval van een type 2 rapport, over de werking van die interne beheersingsmaatregelen op basis van de werkzaamheden van de accountant van de serviceorganisatie;
  16. een vermelding dat de accountantseenheid waarbij de accountant werkzaam is of aan verbonden is, de NVKS toepast. Indien de eindverantwoordelijk professional geen accountant is, dient de vermelding de vergelijkbare professionele vereisten te identificeren, die zijn toegepast;
  17. een vermelding dat de accountant de vereisten van de VGBA en de ViO heeft nageleefd. Als de eindverantwoordelijk professional geen accountant is, dient de vermelding de professionele vereisten die tenminste gelijkwaardig zijn te identificeren die zijn toegepast;
  18. een vermelding dat de opdracht overeenkomstig Standaard 3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie is uitgevoerd, op grond waarvan van de accountant wordt vereist dat hij werkzaamheden uitvoert om een redelijke mate van zekerheid te verkrijgen of, in alle van materieel belang zijnde opzichten, de beschrijving van de serviceorganisatie van haar systeem een getrouwe weergave is en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en, in het geval van een 'type 2 rapport', effectief werken;
  19. het oordeel van de accountant van de serviceorganisatie, dat in de positieve vorm tot uitdrukking is gebracht, of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria:
  20. in het geval van een 'type 2 rapport':

    1. de beschrijving van het systeem van de serviceorganisatie, dat gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd, getrouw weergeeft;
    2. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en
    3. de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving staan vermeld zijn bereikt gedurende de gespecificeerde verslagperiode, effectief werkten.

  21. in het geval van een 'type 1 rapport':

    1. de beschrijving van het systeem van de serviceorganisatie, dat op de gespecificeerde datum is opgezet en geïmplementeerd, getrouw weergeeft;
    2. de interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet.

  22. de datum van het assurance-rapport van de accountant van de serviceorganisatie, die niet eerder zal zijn dan de datum waarop de accountant van de serviceorganisatie de assurance-informatie heeft verkregen waarop zijn oordeel is gebaseerd;
  23. de naam van de accountant van de serviceorganisatie en de locatie in het rechtsgebied waarin de accountant van de serviceorganisatie werkzaam is.

54In het geval van een type 2 rapport dient het assurance-rapport van de accountant van de serviceorganisatie een separate sectie na het oordeel, of een bijlage, te bevatten die de uitgevoerde toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan beschrijft. Bij het beschrijven van die toetsingen dient de accountant van de serviceorganisatie duidelijk te vermelden welke interne beheersingsmaatregelen zijn getoetst, aan te duiden of de getoetste elementen alle of een selectie van de elementen in de populatie weergeven en de aard van de getoetste elementen op afdoende gedetailleerde wijze aan te geven om de gebruikende accountant in staat te stellen de invloed van dergelijke toetsingen op hun risico-inschattingen te bepalen. Indien er deviaties zijn geïdentificeerd, dient de accountant van de serviceorganisatie de omvang van de uitgevoerde toetsen die leidde naar het identificeren van de deviaties, erbij te betrekken (met inbegrip van de grootte van de steekproef waar er van een steekproef gebruik werd gemaakt), en het aantal en de aard van de geconstateerde deviaties. De accountant van de serviceorganisatie dient deviaties te rapporteren zelfs als, op basis van de uitgevoerde toetsingen, de accountant van de serviceorganisatie geconcludeerd heeft dat de gerelateerde beheersingsdoelstelling was bereikt. (Zie Par. A18 en A49)

Aangepaste oordelen

55Indien de accountant van de serviceorganisatie concludeert dat: (Zie Par. A50, A51 en A52)

  1. de beschrijving van de serviceorganisatie het systeem, zoals dit is opgezet en geïmplementeerd, in alle van materieel belang zijnde aspecten, niet getrouw weergeeft;
  2. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld, niet op afdoende wijze zijn opgezet, in alle van materieel belang zijnde opzichten;
  3. in het geval van een type 2 rapport de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie staan vermeld, zijn bereikt, in alle van materieel belang zijnde opzichten, niet effectief werkten; of
  4. de accountant van de serviceorganisatie niet in staat is om voldoende en geschikte assurance-informatie te verkrijgen, dient het oordeel van de accountant van de serviceorganisatie te worden aangepast en dient het assurance-rapport van de accountant van de serviceorganisatie een sectie te omvatten met een duidelijke beschrijving van alle redenen voor die aanpassing.

Overige communicatieverantwoordelijkheden

56Indien de accountant van de serviceorganisatie kennis krijgt van het niet-naleven van wet- en regelgeving, fraude of niet-gecorrigeerde fouten die toe te schrijven zijn aan de serviceorganisatie en die niet duidelijk triviaal zijn en een of meerdere gebruikersorganisaties kunnen beïnvloeden, dient de accountant van de serviceorganisatie te bepalen of de aangelegenheid op de geschikte wijze is gecommuniceerd aan de getroffen gebruikersorganisaties. Indien de aangelegenheid niet op die manier is besproken en de serviceorganisatie niet bereid is om dat te doen, dient de accountant van de serviceorganisatie passende actie te ondernemen. (Zie Par. A53)

Toepassingsgerichte en overige verklarende teksten

Toepassingsgebied van deze Standaard

(Zie Par. 1 en 3)

A1Interne beheersing is een proces dat is opgezet om een redelijke mate van zekerheid te verschaffen betreffende het bereiken van de doelstellingen die verband houden met de betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiency van activiteiten en het naleven van toepasselijke wet- en regelgeving. Interne beheersingsmaatregelen met betrekking tot doelstellingen met betrekking tot de activiteiten en het naleven van wet- en regelgeving van een serviceorganisatie kunnen relevant zijn voor de interne beheersing van een gebruikersorganisatie in relatie tot de financiële verslaggeving. Dergelijke interne beheersingsmaatregelen maken deel uit van de beweringen betreffende de presentatie en toelichting met betrekking tot saldi, transactiestromen of toelichtingen, of zij maken deel uit van assurance-informatie die de gebruikende accountant evalueert of hier gebruik van maakt bij het toepassen van de controlewerkzaamheden. De interne beheersingsmaatregelen, bijvoorbeeld, van een serviceorganisatie die de loonkosten verwerkt, die betrekking hebben op het tijdig afdragen van de wettelijke inhoudingen op het loon aan overheidsautoriteiten zijn mogelijk relevant voor een gebruikersorganisatie aangezien late afdrachten op rente en boetes kunnen uitlopen die voor een gebruikersorganisatie zouden resulteren in een schuld.

Op vergelijkbare wijze worden de interne beheersingsmaatregelen betreffende de aanvaardbaarheid van investeringstransacties vanuit een regelgevend perspectief mogelijk gezien als relevant voor de presentatie en toelichting van de transacties en rekeningsaldi van een gebruikersorganisaties in haar financiële overzichten. De bepaling of de interne beheersingsmaatregelen bij een serviceorganisatie die verband houden met activiteiten en naleving waarschijnlijk relevant zijn voor de interne beheersing van gebruikersorganisaties in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming, waarbij de interne beheersingsdoelstellingen die door de serviceorganisatie zijn opgezet en de geschiktheid van de criteria in acht moeten worden genomen.

A2De serviceorganisatie kan niet in staat zijn om te beweren dat het systeem op afdoende wijze is opgezet wanneer, bijvoorbeeld de serviceorganisatie met een systeem werkt dat door een gebruikersorganisatie is opgezet of in een contract tussen de gebruikersorganisatie en de serviceorganisatie is vastgelegd. Vanwege de onlosmakelijke verbinding tussen de geschikte opzet van de interne beheersings-maatregelen en hun werking, zal het ontbreken van een vermelding met betrekking tot de geschiktheid van de opzet de accountant van de serviceorganisatie waarschijnlijk beletten te concluderen dat de interne beheersingsmaatregelen een redelijke mate van zekerheid verschaffen dat de interne beheersingsdoelstellingen zijn bereikt en bijgevolg de accountant van de serviceorganisatie beletten te oordelen over de werking van interne beheersingsmaatregelen. Als andere mogelijkheid kan de accountant ervoor kiezen een opdracht tot het verrichten van overeengekomen specifieke werkzaamheden te aanvaarden om de toetsingen van interne beheersingsmaatregelen of een assurance-opdracht op basis van Standaard 3000 uit te voeren om te kunnen concluderen of, op basis van toetsingen van interne beheersingsmaatregelen, de interne beheersingsmaatregelen werken zoals staat beschreven.

Definities

(Zie Par. 9(d) en 9(g))

A3De definitie van 'interne beheersingsmaatregelen bij een serviceorganisatie' omvat aspecten van informatiesystemen van gebruikersorganisaties die door de serviceorganisatie zijn onderhouden en kunnen ook aspecten van een of meer van de componenten van interne beheersing van een serviceorganisatie bevatten. Het kan bijvoorbeeld aspecten bevatten van de beheersingsomgeving, het monitoren en beheersingsactiviteiten van een serviceorganisatie wanneer deze verband houden met de verleende diensten. Het bevat echter geen interne beheersingsmaatregelen van een serviceorganisatie die geen verband houden met het bereiken van de beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, zoals interne beheersingsmaatregelen die verband houden met het opstellen van de financiële overzichten van de serviceorganisatie zelf.

A4Wanneer er van de opname methode (inclusive methode) gebruik wordt gemaakt, zijn de vereisten in deze Standaard ook van toepassing op de diensten die door de subserviceorganisatie worden verleend, met inbegrip van het verkrijgen van overeenstemming met betrekking tot de aangelegenheden in Par. 13 (b)(i)-(v) zoals die op de subserviceorganisatie in plaats van de serviceorganisatie zijn toegepast. Het uitvoeren van werkzaamheden bij de subserviceorganisatie leidt tot coördinatie en communicatie tussen de serviceorganisatie, de subserviceorganisatie en de accountant van de serviceorganisatie. De opname methode (inclusive methode) is doorgaans alleen haalbaar indien de serviceorganisatie en de subserviceorganisatie met elkaar zijn verbonden of als het contract tussen de serviceorganisatie en de subserviceorganisatie hierin voorziet.

Ethische voorschriften

(Zie Par. 11)

A5De accountant van de serviceorganisatie is onderhevig aan de relevante onafhankelijkheidsvereisten die gewoonlijk bestaan uit de Verordening gedrags- en beroepsregels accountants tezamen met de daarop gebaseerde Nadere Voorschriften. Bij het uitvoeren van een opdracht overeenkomstig deze Standaard wordt op grond van de Verordening gedrags- en beroepsregels accountants niet van de accountant van de serviceorganisatie vereist dat hij onafhankelijk is van elke gebruikersorganisatie.

Management en de met governance belaste personen

(Zie Par. 12)

A6De beheers- en governance-structuren lopen per rechtsgebied en per entiteit uiteen, waardoor ze invloeden zoals verschillende culturele en juridische achtergronden en kenmerken van grootte en eigendom weerspiegelen. Een dergelijke verscheidenheid houdt in dat het voor deze Standaard niet mogelijk is om voor alle opdrachten de personen te specificeren met wie de accountant van de serviceorganisatie in interactie moet staan met betrekking tot bepaalde aangelegenheden. De serviceorganisatie kan bijvoorbeeld een segment zijn van een derde organisatie en geen gescheiden juridische entiteit. In dergelijke gevallen is het mogelijk dat voor het identificeren van geschikt managementpersoneel of de met governance belaste personen bij wie de schriftelijke bevestigingen moeten worden verzocht, het toepassen van professionele oordeelsvorming is vereist.

Aanvaarding en continuering

Capaciteiten en competentie om de opdracht uit te kunnen voeren

(Zie Par. 13(a)(i))

A7Relevante capaciteiten en competentie om de opdracht uit te voeren bevatten onder meer de volgende aangelegenheden:

  • kennis van de betreffende sector;
  • inzicht in informatietechnologie en systemen;
  • ervaring met het evalueren van risico's aangezien deze verband houden met de geschikte opzet van interne beheersingsmaatregelen; en
  • ervaring met het opzetten en het uitvoeren van toetsingen van interne beheersingsmaatregelen en met het evalueren van de resultaten.

De vermelding van een serviceorganisatie

De vermelding van een serviceorganisatie (Zie Par. 13(b)(i))

A8De weigering door een serviceorganisatie om een schriftelijke vermelding te verschaffen, volgende op een overeenkomst van de accountant van de serviceorganisatie om een opdracht te aanvaarden of te continueren, geeft een beperking in reikwijdte aan die ertoe leidt dat de accountant van de serviceorganisatie de opdracht teruggeeft. Indien wet- of regelgeving de accountant van de serviceorganisatie niet toestaat de opdracht terug te geven, formuleert de accountant van de serviceorganisatie een oordeelonthouding.

Een redelijke basis voor de vermelding van de serviceorganisatie

(Zie Par. 13(b)(ii))

A9In het geval van een 'type 2 rapport', houdt de vermelding van de serviceorganisatie onder meer een vermelding in dat de interne beheersingsmaatregelen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld gedurende de gespecificeerde verslagperiode effectief werkten. Deze vermelding kan gebaseerd zijn op de monitoringactiviteiten van de serviceorganisatie. Het monitoren van interne beheersingsmaatregelen is een proces om de effectiviteit van interne beheersingsmaatregelen in de loop van de tijd vast te stellen. Het houdt onder meer het tijdig bepalen van de effectiviteit van de interne beheersingsmaatregelen in, het identificeren en rapporteren van tekortkomingen aan geschikte personen binnen de serviceorganisatie en het nemen van de noodzakelijke corrigerende acties. De serviceorganisatie brengt het monitoren van interne beheersingsmaatregelen tot stand middels voortdurende activiteiten, separate evaluaties of een combinatie van beiden. Hoe groter de mate van effectiviteit van voortdurende monitoringactiviteiten, des te kleiner de behoefte aan separate evaluaties. Voortdurende monitoringactiviteiten zijn vaak opgenomen in de normale terugkerende activiteiten van een serviceorganisatie en bevatten regelmatige leidinggevende en toezichthoudende activiteiten.

Interne auditors of personeelsleden die vergelijkbare functies bekleden kunnen een bijdrage leveren aan het monitoren van de activiteiten van de serviceorganisatie. Monitoringactiviteiten kunnen ook het gebruik maken van informatie die door externe partijen wordt gecommuniceerd, inhouden, zoals klachten van cliënten en commentaar van regelgevers of toezichthouders die mogelijk op problemen wijzen of de nadruk leggen op gebieden die behoefte hebben aan verbetering. Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar vermelding te verschaffen.

Het identificeren van risico's

(Zie Par. 13(b)(iv))

A10Zoals staat vermeld in paragraaf 9(c), houden interne beheersingsdoelstellingen verband met risico's waar de interne beheersingsmaatregelen ernaar streven deze te mitigeren. Het risico dat een transactie bijvoorbeeld op het verkeerde bedrag of in de verkeerde verslagperiode wordt vastgelegd kan als een interne beheersingsdoelstelling tot uitdrukking worden gebracht dat transacties op het juiste bedrag en in de juiste verslagperiode worden vastgelegd. De serviceorganisatie is verantwoordelijk voor het identificeren van de risico's die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen. De serviceorganisatie kan een formeel of informeel proces hebben om relevante risico's te identificeren. Een formeel proces kan het inschatten van de significantie van geïdentificeerde risico's inhouden, het inschatten van de waarschijnlijkheid dat zij zullen voorkomen en het besluiten welke acties moeten worden ondernomen om op die risico's in te spelen. Daar de interne beheersingsdoelstellingen echter verband houden met risico's waar interne beheersingsmaatregelen naar streven deze te mitigeren, kan weldoordachte identificatie van interne beheersingsdoelstellingen bij het opzetten en implementeren het systeem van de serviceorganisatie zelf bestaan uit een informeel proces voor het identificeren van relevante risico's.

Aanvaarding van een wijziging in de voorwaarden van de opdracht

(Zie Par. 14)

A11Een verzoek tot het wijzigen van de reikwijdte van de opdracht heeft mogelijk geen redelijke rechtvaardiging wanneer het verzoek bijvoorbeeld is gedaan om bepaalde interne beheersingsdoelstellingen uit te sluiten van de reikwijdte van de opdracht vanwege de waarschijnlijkheid dat het oordeel van de accountant van de serviceorganisatie aangepast zou worden; of de serviceorganisatie zal de accountant geen schriftelijke vermelding verschaffen en het verzoek wordt gedaan om de opdracht onder Standaard 3000 uit te voeren.

A12Een verzoek tot het wijzigen van de reikwijdte van de opdracht kan een redelijke rechtvaardiging hebben wanneer het verzoek bijvoorbeeld is gedaan om een subserviceorganisatie van de opdracht uit te sluiten wanneer de serviceorganisatie geen toegang voor de accountant van de serviceorganisatie kan regelen, en de methode waarvan gebruik wordt gemaakt bij het behandelen van de diensten die door die subserviceorganisatie worden verleend is gewijzigd van de opname methode (inclusive methode) naar de uitsluitingmethode (carve-out methode).

Het beoordelen van de geschiktheid van de criteria

(Zie Par. 15, 16, 17 en 18)

A13Het is nodig dat criteria voor de beoogde gebruikers beschikbaar zijn om het hen mogelijk te maken inzicht te verkrijgen in de basis voor de vermelding van de serviceorganisatie betreffende de getrouwe weergave van haar systeem, de geschiktheid van het opzetten van interne beheersingsmaatregelen en, in het geval van een type 2 rapport, de werking van interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen.

A14Op grond van Standaard 3000 wordt er van de accountant vereist dat hij, onder andere, bepaalt of de criteria die gebruikt worden geschikt zijn en de toepasselijkheid van het object van onderzoek bepaalt Standaard 3000, paragraaf 24(b) en 41.. Het object van onderzoek is de onderliggende conditie van belang voor de beoogde gebruikers van een assurance-rapport. De volgende tabel identificeert het object van onderzoek en minimale criteria voor elk van de oordelen in 'type 1' en 'type 2 rapporten'.

Object van onderzoek Criteria Commentaar
Oordeel over getrouwe weergave beschrijving systeem serviceorganisatie (type 1 en type 2- rapporten Het systeem van de serviceorganisatie dat waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisatie in relatie tot de financiële verslaggeving en door het assurance-rapport van de accountant van de serviceorganisatie wordt omvat. De beschrijving is een getrouwe weergave indien zij:

  1. weergeeft hoe het systeem van de serviceorganisatie is opgezet en geïmplementeerd, met inbegrip van, in voorkomend geval, de aangelegenheden die in paragraaf 16(a)(i)-(viii) zijn geïdentificeerd;
  2. relevante details van wijzigingen in het systeem van de serviceorganisatie bevat, gedurende de verslagperiode (bij type 2 rapport); en
  3. relevante informatie niet weglaat of verkeerd voorstelt, terwijl erkend wordt dat de beschrijving is opgesteld om aan behoeftes van een brede groep gebruikersorganisaties te voldoen en daarom niet ieder aspect kan bevatten dat iedere individuele gebruikersorganisatie in diens eigen bijzondere omgeving belangrijk acht.

Het kan nodig zijn de bewoording van de criteria op maat te maken om consistent te zijn met criteria van bijvoorbeeld wet- of regelgeving, gebruikersgroepen of de beroepsorganisatie. Voorbeelden hiervan staan in Bijlage 1. Par. A21-A24 verschaffen verdere leidraden bij het bepalen of aan deze criteria wordt voldaan. (Volgens de vereisten van Standaard 3000, betreft de informatie* over het object van onderzoek voor dit oordeel: de beschrijving v/h systeem van de serviceorganisatie en de bewering van de serviceorganisatie dat de beschrijving getrouw is weergegeven).
* De informatie over het object van onderzoek is de uitkomst van de evaluatie of meting van het object van onderzoek dat het resultaat is van het toepassen van de criteria op het object van onderzoek.)
Oordeel over geschiktheid opzet en werking ('type 2 rapporten' De geschiktheid van de opzet en werking van de interne beheersingsmaatregelen die noodzakelijk zijn om de beheersingsdoel- stellingen te bereiken die in beschrijving van de serviceorganisatie staan vermeld. De interne beheersingsmaatregelen zijn afdoende opgezet en werken effectief indien:

  1. de serviceorganisatie de risico's op het bereiken van de beheersingsdoelstel- lingen uit de beschrijving van het systeem heeft benoemd;
  2. de geïdentificeerde beheersingsmaatre-gelen uit de beschrijving - indien werkend - een redelijke mate van zekerheid verschaffen dat die risico's het bereiken van de beheersings-doelstellingen niet verhinderen; en
  3. de interne beheersingsmaat-regelen gedurende de verslagperiode volgens de opzet zijn toegepast .In het geval van handmatige beheersingsmaatregelen zijn deze toegepast door competente én bevoegde personen.

Wanneer aan de criteria voor dit oordeel is voldaan, dan hebben de interne beheersings-maatregelen een redelijke mate van zekerheid verschaft dat de interne beheersings-doelstellingen* gedurende de verslagperiode zijn bereikt. Volgens de vereisten van Standaard 3000, betreft de informatie over het object van onderzoek voor dit oordeel: de bewering van de serviceorganisatie dat de interne beheersingsmaat-regelen op afdoende wijze zijn opgezet en effectief werken.
* De beheersingsdoelstellingen, die in de beschrijving van het systeem van de serviceorganisatie staan vermeld, zijn onderdeel van de criteria voor de oordelen. De vermelde beheersingsdoelstellingen verschillen per opdracht. Indien, bij het vormen van het oordeel over de beschrijving, de accountant van de serviceorganisatie concludeert dat de beheersingsdoelstellingen niet getrouw zijn weergegeven, zijn deze niet geschikt als criterium voor het vormen van een oordeel over de opzet of de doeltreffende werking van interne beheersingsmaatregelen.
Oordeel over geschiktheid van opzet ('type 1 rapporten') De geschiktheid van de opzet van de interne beheersings-maatregelen noodzakelijk voor het bereiken van de beheersingsdoelstellingen die in de beschrijving van het systeem van de serviceorganisatie zijn vermeld. De interne beheersings-maatregelen zijn op afdoende wijze opgezet indien:

  1. de serviceorganisatie de risico's op bereiken van beheersingsdoelstellingen - opgenomen in de beschrijving van het systeem - heeft geïdentificeerd; en
  2. de beschreven interne beheersingsmaatregelen - indien ze werken zoals beschreven - een redelijke mate van zekerheid bieden dat deze risico's niet verhinderen dat de beheersingsdoelstellingen worden bereikt.

Het voldoen aan criteria verschaft op zich zelf geen zekerheid over het bereiken van beheersingsmaatregelen omdat geen enkele zekerheid over de werking van interne beheersingsmaatregelen is verkregen. Volgens de vereisten van Standaard 3000, betreft de informatie over het object van onderzoek voor dit oordeel: de bewering van de serviceorganisatie dat interne beheersingsmaatregelen op afdoende wijze zijn opgezet.

A15Paragraaf 16(a) identificeert een aantal elementen die in voorkomend geval bij de beschrijving van de serviceorganisatie van haar systeem zijn inbegrepen. Deze elementen kunnen niet geschikt zijn indien het beschreven systeem geen systeem is dat transacties verwerkt, indien het systeem bijvoorbeeld verband houdt met algemene interne beheersingsmaatregelen (general controls) met betrekking tot de hosting van een IT-applicatie, maar niet met de interne beheersingsmaatregelen die in de applicatie zelf zijn verankerd.

Materialiteit

(Zie Par. 19 en 54)

A16Bij een opdracht om verslag uit te brengen over de interne beheersingsmaatregelen bij een serviceorganisatie houdt het begrip materialiteit verband met het systeem waarover gerapporteerd wordt, niet met de financiële overzichten van gebruikersorganisaties. De accountant van de serviceorganisatie plant werkzaamheden en voert deze uit om te bepalen of de beschrijving van de serviceorganisatie van haar systeem in alle van materieel belang zijnde opzichten getrouw is weergegeven, of de interne beheersingsmaatregelen bij de serviceorganisatie op afdoende wijze en in alle van materieel belang zijnde opzichten zijn opgezet en, in het geval van een type 2 rapport, of de interne beheersingsmaatregelen in alle van materieel belang zijnde opzichten effectief werken. Het begrip materialiteit houdt rekening met het feit dat het assurance-rapport van de accountant van de serviceorganisatie informatie over het systeem van de serviceorganisatie verschaft om aan de algemene informatiebehoefte van een brede groep gebruikersorganisaties en hun accountants te voldoen die inzicht hebben in de manier waarop er gebruik is gemaakt van dat systeem.

A17Materialiteit met betrekking tot de getrouwe weergave van de beschrijving van de serviceorganisatie van haar systeem, en met betrekking tot de opzet van interne beheersingsmaatregelen, houdt voornamelijk het in overweging nemen van kwalitatieve factoren in, bijvoorbeeld: of de beschrijving de significante aspecten van het verwerken van significante transacties omvat; of de beschrijving relevante informatie weglaat of verkeerd voorstelt; en het vermogen van interne beheersingsmaatregelen, zoals ze zijn opgezet, om een redelijke mate van zekerheid te verschaffen dat interne beheersingsdoelstellingen zouden worden bereikt. Materialiteit met betrekking tot het oordeel van de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen houdt het in overweging nemen van zowel kwantitatieve als kwalitatieve factoren in, bijvoorbeeld: de toelaatbare mate en waargenomen mate waarin wordt afgeweken (een kwantitatieve aangelegenheid) en de aard en oorzaak van een waargenomen deviatie (een kwalitatieve aangelegenheid).

A18Het begrip materialiteit wordt niet toegepast bij het, in de beschrijving van de toetsingen van interne beheersingsmaatregelen, openbaar maken van de resultaten van die toetsingen wanneer deviaties zijn geïdentificeerd. Dit is zo omdat, in de bijzondere omstandigheden van een specifieke gebruikersorganisatie of accountant van de gebruiker, de deviatie significantie kan hebben naast het feit dat zij, naar het oordeel van de accountant van de serviceorganisatie, voorkomt dat een interne beheersingsmaatregel effectief werkt. De interne beheersingsmaatregel waarmee de deviatie verband houdt, kan bijvoorbeeld bijzonder significant zijn bij het voorkomen dat een bepaald soort fout die mogelijk in bepaalde omstandigheden in de omstandigheden van de financiële overzichten van een gebruikersorganisatie van materieel belang zou kunnen zijn.

Het verwerven van inzicht in het systeem van de serviceorganisatie

(Zie Par. 20)

A19Het verwerven van inzicht in het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen die bij de reikwijdte van de opdracht zijn opgenomen, ondersteunt de accountant van de serviceorganisatie bij:

  • het aanduiden van de grenzen van dat systeem en hoe het met andere systemen is gekoppeld;
  • het vaststellen of de beschrijving van de serviceorganisatie het systeem dat is opgezet en geïmplementeerd, getrouw weergeeft;
  • Het verwerven van inzicht in de interne beheersing over het opstellen van de vermelding van de serviceorganisatie.
  • het bepalen welke interne beheersingsmaatregelen noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, te bereiken;
  • het vaststellen of de interne beheersingsmaatregelen op afdoende wijze zijn opgezet;
  • het, in het geval van een 'type 2 rapport', vaststellen of interne beheersingsmaatregelen effectief werkten.

A20De werkzaamheden van de accountant van de serviceorganisatie om dit inzicht te verkrijgen kunnen omvatten:

  • het verzoeken om inlichtingen bij personen binnen de serviceorganisatie die, naar het oordeel van de accountant van de serviceorganisatie, relevante informatie kunnen hebben;
  • het observeren van activiteiten en het inspecteren van documenten, rapportages, uitgeprinte en elektronische vastleggingen van de verwerking van transacties;
  • het inspecteren van een selectie van overeenkomsten tussen de serviceorganisatie en gebruikersorganisaties om hun gemeenschappelijke voorwaarden te identificeren;
  • het herhalen van de uitvoering van de interne beheersingsmaatregelen.

Het verkrijgen van assurance informatie met betrekking tot de beschrijving

(Zie Par. 21 en 22)

A21Het in overweging nemen van de volgende vragen kan de accountant van de serviceorganisatie ondersteunen bij het bepalen of die aspecten van de beschrijving die bij de reikwijdte van de opdracht zijn inbegrepen in alle van materieel belang zijnde opzichten getrouw zijn weergegeven:

  • behandelt de beschrijving de belangrijkste aspecten van de verleende dienst (binnen de reikwijdte van de opdracht) waarvan redelijkerwijs zou kunnen worden verwacht dat zij relevant zijn voor de algemene behoeftes van een brede groep accountants van de gebruiker bij het plannen van hun controles van de financiële overzichten van gebruikersorganisaties?
  • is de beschrijving op een gedetailleerd niveau opgesteld waarvan redelijkerwijs zou kunnen worden verwacht dat die aan een brede groep accountants van de gebruiker voldoende informatie verschaft om inzicht te verwerven in de interne beheersing overeenkomstig Standaard 315Standaard 315, Risico's op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving.? De beschrijving hoeft niet op ieder aspect van de verwerking van de serviceorganisatie of de aan gebruikersorganisaties verleende diensten in te spelen en hoeft niet dermate gedetailleerd te zijn om het een lezer mogelijk te maken de veiligheid of overige interne beheersingsmaatregelen bij de serviceorganisatie in gevaar te brengen;
  • is de beschrijving op een zodanige manier opgesteld dat die geen informatie weglaat of verkeerd voorstelt die de algemene behoeftes van besluiten van een brede groep van accountants van de gebruikers kan beïnvloeden? Bevat de beschrijving bijvoorbeeld significante weglatingen of onnauwkeurigheden bij het verwerken waarvan de accountant van de serviceorganisatie op de hoogte is?
  • waar sommige vermelde interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem van de reikwijdte van de opdracht zijn uitgesloten, identificeert de beschrijving daar duidelijk die uitgesloten doelstellingen?
  • zijn de interne beheersingsmaatregelen die in beschrijving worden geïdentificeerd geïmplementeerd?
  • zijn aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie, indien aanwezig, adequaat beschreven? In de meeste gevallen is de beschrijving van interne beheersingsdoelstellingen dermate verwoord dat het mogelijk is dat de interne beheersingsdoelstellingen worden bereikt middels de werking van interne beheersingsmaatregelen die alleen door de serviceorganisatie zijn geïmplementeerd. Echter, in sommige gevallen kunnen de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld niet door de serviceorganisatie alleen worden bereikt, omdat het bereiken daarvan bepaalde interne beheersingsmaatregelen vereist die door gebruikersorganisaties moeten worden geïmplementeerd. Dit kan het geval zijn waar de interne beheersingsdoelstellingen bijvoorbeeld door een regelgevende of toezichthoudende instantie zijn gespecificeerd. Wanneer de beschrijving inderdaad aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie bevat, identificeert de beschrijving separaat die interne beheersingsmaatregelen samen met de specifieke interne beheersingsdoelstellingen die niet alleen door de serviceorganisatie bereikt kunnen worden;
  • indien er van de opname methode (inclusive methode) gebruik is gemaakt, identificeert de beschrijving dan separaat interne beheersingsmaatregelen bij de serviceorganisatie en interne beheersingsmaatregelen bij de subserviceorganisatie? Indien er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, identificeert de beschrijving de functies die door de subserviceorganisatie zijn uitgevoerd? Wanneer er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, hoeft de beschrijving niet de gedetailleerde verwerking of interne beheersingsmaatregelen bij de subserviceorganisatie te beschrijven.

A22De werkzaamheden van de accountant van de serviceorganisatie om de getrouwe weergave van de beschrijving te evalueren, kunnen omvatten:

  • het in overweging nemen van de aard van gebruikersorganisaties en op welke wijze de diensten die door de serviceorganisatie zijn verleend deze waarschijnlijk beïnvloeden, bijvoorbeeld of gebruikersorganisaties afkomstig zijn uit een bepaalde sector en of zij door instanties binnen de overheid worden gereguleerd;
  • het lezen van standaardcontracten, of standaardvoorwaarden van contracten, (indien van toepassing) met gebruikersorganisaties om inzicht te krijgen in de contractuele verplichtingen van de serviceorganisatie;
  • het waarnemen van procedures die door het personeel van de serviceorganisatie zijn uitgevoerd;
  • het beoordelen van handleidingen met beleidslijnen en procedures en overige documentatie van de systemen zoals stroomschema's en beschrijvingen.

A23Op grond van paragraaf 21(a) wordt er van de accountant van de serviceorganisatie vereist dat hij evalueert of de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, redelijk zijn in de omstandigheden. Het in overweging nemen van de volgende vragen kan de accountant van de serviceorganisatie ondersteunen bij deze evaluatie:

  • zijn de vermelde interne beheersingsdoelstellingen aangegeven door de serviceorganisatie of door externe partijen zoals een regelgevende of toezichthoudende instantie, een gebruikersgroep of een beroepsorganisatie die een transparant zorgvuldig proces volgt?
  • waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, houden zij daar verband met de soorten beweringen die doorgaans zijn vastgelegd in de financiële overzichten van een brede groep gebruikersorganisaties waarmee, naar redelijke verwachting, de interne beheersingsmaatregelen bij de serviceorganisatie verband houden? Alhoewel de accountant van de serviceorganisatie doorgaans niet in staat is te bepalen op welke wijze interne beheersingsmaatregelen bij een serviceorganisatie specifiek verband houden met de beweringen die in de financiële overzichten van individuele gebruikersorganisaties zijn vastgelegd, wordt gebruik gemaakt van het inzicht van de accountant van de serviceorganisatie in de aard van het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen, en in verleende diensten om de soorten beweringen te onderkennen waarmee de interne beheersingsmaatregelen waarschijnlijk verband houden;
  • waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, zijn zij daar volledig? Een complete set van interne beheersingsdoelstellingen kan aan een brede groep van accountants van de gebruiker een stelsel verschaffen om het effect van interne beheersingsmaatregelen bij de serviceorganisatie op de beweringen te beoordelen die doorgaans in de financiële overzichten van de gebruikersorganisaties zijn vastgelegd.

A24De werkzaamheden van de accountant van de serviceorganisatie om te bepalen of het systeem van de serviceorganisatie geïmplementeerd is, kan gelijk zijn aan, en uitgevoerd worden in samenhang met, werkzaamheden om een inzicht in dat systeem te verwerven. Zij kunnen ook het traceren van elementen door het systeem van de serviceorganisatie inhouden en, in het geval van een type 2 rapport, specifieke verzoeken om inlichtingen over de wijzigingen in interne beheersingsmaatregelen die gedurende die verslagperiode zijn geïmplementeerd. Wijzigingen die significant zijn voor gebruikersorganisaties of hun accountants zijn bij de beschrijving van de serviceorganisatie van haar systeem inbegrepen.

Het verkrijgen van assurance informatie met betrekking tot de opzet van interne beheersingsmaatregelen

(Zie Par. 23 en 28(b))

A25Vanuit het oogpunt van een gebruikersorganisatie of een accountant van de gebruiker is een interne beheersingsmaatregel op afdoende wijze opgezet indien zij, individueel of in combinatie met overige interne beheersingsmaatregelen, wanneer zij naar tevredenheid wordt nageleefd, een redelijke mate van zekerheid zou verschaffen dat afwijkingen van materieel belang worden voorkomen of zijn gedetecteerd of gecorrigeerd. Een serviceorganisatie of een accountant van de serviceorganisatie is echter niet op de hoogte van de omstandigheden bij individuele gebruikersorganisaties die zouden bepalen of een afwijking van het materieel belang die het gevolg is van een deviatie van een interne beheersingsmaatregel voor die gebruikersorganisaties van materieel belang is. Derhalve is, vanuit het oogpunt van een accountant van de serviceorganisatie, een interne beheersingsmaatregel op afdoende wijze opgezet, indien zij, individueel of in combinatie van overige interne beheersingsmaatregelen, wanneer zij naar tevredenheid wordt nageleefd, een redelijke mate van zekerheid zou verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, worden bereikt.

A26Een accountant van de serviceorganisatie kan overwegen gebruik te maken van stroomschema's, vragenlijsten of beslissingstabellen om het inzicht in de opzet van interne beheersingsmaatregelen te bevorderen.

A27Interne beheersingsmaatregelen kunnen uit een aantal activiteiten bestaan die bedoeld zijn om een interne beheersingsdoelstelling te bereiken. Derhalve is het mogelijk dat, indien de accountant van de serviceorganisatie bepaalde activiteiten niet effectief acht voor het bereiken van een bepaalde interne beheersingsdoelstelling, het bestaan van overige activiteiten het voor de accountant van de serviceorganisatie mogelijk maakt dat hij concludeert dat de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstelling op afdoende wijze zijn opgezet.

Het verkrijgen van assurance informatie met betrekking tot de werking van de interne beheersingsmaatregelen

Het vaststellen van de werking

(Zie Par. 24)

A28Vanuit het oogpunt van een gebruikersorganisatie of een accountant van de gebruiker werkt een interne beheersingsmaatregel effectief indien, individueel of in combinatie met overige interne beheersings-maatregelen, zij een redelijke mate van zekerheid verschaft dat de afwijkingen van materieel belang, als gevolg van fraude of van fouten, worden voorkomen, of gedetecteerd en gecorrigeerd. Een serviceorganisatie of een accountant van de serviceorganisatie, is echter niet op de hoogte van de omstandigheden bij individuele entiteiten die zouden bepalen of een afwijking die het gevolg is van een deviatie van een interne beheersingsmaatregel is voorgekomen en, zo ja, of deze van materieel belang is. Daarom werkt, vanuit het oogpunt van de accountant van de serviceorganisatie een interne beheersingsmaatregel effectief indien, individueel of in combinatie met overige interne beheersings-maatregelen, zij een redelijke mate van zekerheid verschaft dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, worden bereikt. Op vergelijkbare wijze bevindt een serviceorganisatie of een accountant van de serviceorganisatie zich niet in een positie om te bepalen of een waargenomen deviatie van een interne beheersingsmaatregel zou resulteren in een afwijking van materieel belang vanuit het oogpunt van een individuele gebruikersorganisatie.

A29Het verkrijgen van inzicht in interne beheersingsmaatregelen dat voldoende is om een oordeel te vormen over de geschiktheid van hun opzet is niet voldoende assurance-informatie met betrekking tot hun werking, tenzij er een bepaald automatisme bestaat dat zorgt voor de consistente werking van de interne beheersingsmaatregelen zoals deze zijn opgezet en geïmplementeerd. Het verkrijgen van informatie over bijvoorbeeld het implementeren van een handmatige interne beheersingsmaatregel op een gegeven tijdstip verschaft geen assurance-informatie over de werking van interne beheersingsmaatregelen op andere tijdstippen. Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking, kan het uitvoeren van werkzaamheden om de opzet van een geautomatiseerd interne beheersingsmaatregel te bepalen, en of deze geïmplementeerd is, mogelijk als assurance-informatie dienen die de werking van de interne beheersingsmaatregelen aantoont, afhankelijk van de beoordeling en toetsing van overige interne beheersingsmaatregelen zoals die over de wijzigingen in programma's.

A30Om nuttig te zijn voor de accountant van de gebruiker, omvat een 'type 2 rapport' doorgaans een minimale verslagperiode van zes maanden. Indien die verslagperiode korter is dan zes maanden, kan de accountant van de serviceorganisatie het gepast achten om de redenen voor die kortere verslagperiode in het assurance-rapport van de accountant van de serviceorganisatie te beschrijven. Bij de omstandigheden die kunnen resulteren in een rapportage die een verslagperiode van minder dan zes maanden omvat, zijn onder meer inbegrepen wanneer (a) de accountant van de serviceorganisatie tot dicht bij de datum waarop de rapportage over de interne beheersingsmaatregelen wordt uitgebracht een opdracht heeft; (b) de serviceorganisatie (of een bepaald systeem of toepassing) minder dan zes maanden heeft gewerkt; of (c) wanneer er significante wijzigingen in de interne beheersingsmaatregelen hebben plaatsgevonden en het niet praktisch uitvoerbaar is om zes maanden te wachten voordat de rapportage wordt uitgebracht of een rapportage uit te brengen die zowel de verslagperiodes voor als na de wijzigingen omvat.

A31Bepaalde interne beheersingsmaatregelen kunnen geen assurance-informatie achterlaten over hun werking die op een latere datum kan worden getoetst en derhalve kan de accountant van de service-organisatie het noodzakelijk achten om op verschillende tijdstippen gedurende de verslagperiode de werking van dergelijke interne beheersingsmaatregelen te toetsen.

A32De accountant van de serviceorganisatie verschaft een oordeel over de werking van interne beheersingsmaatregelen gedurende iedere verslagperiode en daarom is er voldoende geschikte assurance-informatie over de werking van interne beheersingsmaatregelen gedurende de lopende verslagperiode vereist, zodat de accountant van de serviceorganisatie dat oordeel kan verschaffen. Kennis van deviaties die in eerdere opdrachten zijn waargenomen kan er echter toe leiden dat de accountant van de serviceorganisatie de omvang van het toetsen gedurende de lopende verslagperiode vergroot.

Het toetsen van indirecte beheersingsmaatregelen

(Zie Par. 25(b))

A33In sommige omstandigheden kan het noodzakelijk zijn om assurance-informatie te verkrijgen die de werking van indirecte beheersingsmaatregelen ondersteunt. Wanneer de accountant van de service-organisatie bijvoorbeeld besluit om de effectiviteit van een beoordeling van uitzonderingsrapportages te toetsen die verkopen boven de toegestane kredietlimieten gedetailleerd beschrijven, is die beoordeling en de daarmee verband houdende follow-up de interne beheersingsmaatregel die voor de accountant van de serviceorganisatie direct relevant is. Interne beheersingsmaatregelen betreffende de nauwkeurigheid van de informatie in de rapportages (bijvoorbeeld, de algemene interne beheersingsmaatregelen met betrekking tot IT (general IT controls) worden beschreven als 'indirecte' interne beheersingsmaatregelen.

A34Vanwege de inherente consistentie van geautomatiseerde gegevensverwerking, kan assurance-informatie over het implementeren van een geautomatiseerde interne beheersingsmaatregel op het niveau van de applicatie (application control), in combinatie met assurance-informatie over de werking van de algemene interne beheersingsmaatregelen van de serviceorganisatie (in het bijzonder, interne beheersingsmaatregelen betreffende wijzigingen) ook substantiële assurance-informatie over die werking verschaffen.

Manieren om elementen voor het toetsen te selecteren

(Zie Par. 25(c) en 27)

A35De manieren om elementen voor het toetsen te selecteren die beschikbaar zijn voor de accountant van de serviceorganisatie:

  1. het selecteren van alle elementen (100% onderzoek). Dit kan geschikt zijn bij het toetsen van interne beheersingsmaatregelen die niet frequent worden toegepast, ieder kwartaal bijvoorbeeld, of wanneer assurance-informatie met betrekking tot het toepassen van de interne beheersingsmaatregel het onderzoek 100% effectief maakt;
  2. het selecteren van specifieke elementen. Dit kan van toepassing zijn waar 100% onderzoek niet efficiënt zou zijn en een steekproef niet effectief zou zijn, zoals bij het toetsen van interne beheersingsmaatregelen die niet afdoende frequent zijn toegepast om een grote populatie voor een steekproef op te leveren, zoals interne beheersingsmaatregelen die maandelijks of wekelijks worden toegepast; en
  3. het gebruiken van steekproeven. Dit kan van toepassing zijn bij het toetsen van interne beheersingsmaatregelen die frequent op een uniforme manier worden toegepast en die via documenten onderbouwde informatie van hun toepassing achterlaten.

A36Terwijl selectief onderzoek van specifieke elementen vaak een effectieve manier zal zijn om assurance-informatie te verkrijgen, vertegenwoordigt het niet het gebruiken van steekproeven. De resultaten van werkzaamheden die worden toegepast op elementen die op deze manier zijn geselecteerd, kunnen niet op de gehele populatie worden geprojecteerd; dienovereenkomstig verschaft selectief onderzoek van specifieke elementen geen assurance-informatie met betrekking tot het restant van de populatie. Het gebruiken van steekproeven, aan de andere kant, is opgezet om het mogelijk te maken dat er conclusies worden getrokken over een gehele populatie op basis van het toetsen van een steekproef die daaruit genomen is.

De werkzaamheden van een interne auditfunctie

Het verwerven van inzicht in de interne auditfunctie

(Zie Par. 30)

A37Een interne auditfunctie kan verantwoordelijk zijn voor het verschaffen van analyses, evaluatie, zekerheid, aanbevelingen en overige informatie voor het management en de met governance belaste personen. Een interne auditfunctie bij een serviceorganisatie kan activiteiten uitvoeren die verband houden met het interne beheersingssysteem van de serviceorganisatie zelf of activiteiten die verband houden met de diensten en systemen, met inbegrip van interne beheersingsmaatregelen, die de serviceorganisatie aan gebruikersorganisaties verschaft.

Bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt

(Zie Par. 33)

A38Bij het bepalen van de geplande invloed van de werkzaamheden van de interne auditors op de aard, timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie, kunnen de volgende factoren wijzen op de behoefte aan andere of minder uitgebreide werkzaamheden dan anders het geval zou zijn geweest:

  • de aard en de reikwijdte van de door de interne auditors uitgevoerde, of nog uit te voeren, specifieke werkzaamheden, is nogal beperkt;
  • de werkzaamheden van de interne auditors die verband houden met interne beheersingsmaatregelen die voor de conclusies van de accountant van de serviceorganisatie minder significant zijn;
  • op grond van de werkzaamheden die door de interne auditors zijn uitgevoerd, of nog uitgevoerd moeten worden, worden geen subjectieve of complexe oordelen vereist.

Gebruik maken van de werkzaamheden van de interne auditfunctie

(Zie Par. 34)

A39De aard, timing en omvang van de werkzaamheden van de accountant van de serviceorganisatie betreffende specifieke werkzaamheden van de interne auditors zal afhankelijk zijn van de inschatting van de significantie van die werkzaamheden op de conclusies van de accountant van de serviceorganisatie (bijvoorbeeld de significantie van de risico's waar de getoetste interne beheersingsmaatregelen ernaar streven deze te mitigeren), de evaluatie van de interne auditfunctie en de evaluatie van de specifieke werkzaamheden van de interne auditors. Dergelijke werkzaamheden kunnen omvatten:

  • het onderzoeken van elementen die reeds door de interne auditors zijn onderzocht;
  • het onderzoeken van andere soortgelijke elementen; en
  • het observeren van werkzaamheden die door de interne auditors zijn uitgevoerd.

Het effect op het assurance-rapport van de accountant van de serviceorganisatie

Het effect op het assurance-rapport van de accountant van de serviceorganisatie (Zie Par. 36 en 37)

A40Ongeacht de mate van autonomie en objectiviteit van de interne auditfunctie is een dergelijke functie niet onafhankelijk van de serviceorganisatie zoals van de accountant van de serviceorganisatie bij het uitvoeren van de opdracht wel wordt verwacht. De accountant van de serviceorganisatie heeft de ongedeelde verantwoordelijkheid voor het oordeel dat in het assurance-rapport van de accountant van de serviceorganisatie tot uitdrukking wordt gebracht en die verantwoordelijkheid wordt niet verminderd doordat de accountant van de serviceorganisatie gebruik maakt van de werkzaamheden van de interne auditors.

A41De beschrijving van de accountant van de serviceorganisatie van de werkzaamheden die door de interne auditfunctie worden uitgevoerd kan op meerdere manier worden weergegeven, zoals:

  • door introductiemateriaal op te nemen in de beschrijving van de toetsing van interne beheersingsmaatregelen die erop wijst dat er van bepaalde werkzaamheden van de interne auditfunctie gebruik werd gemaakt bij het uitvoeren van toetsingen van interne beheersingsmaatregelen;
  • de toeschrijving van individuele toetsingen aan de interne auditafdeling.

Schriftelijke bevestigingen

(Zie Par. 38 en 40)

A42De schriftelijke bevestigingen die op grond van paragraaf 38 worden vereist staan los van, en zijn een aanvulling op, de vermelding van de serviceorganisatie zoals die in Par. 9(o) staat beschreven.

A43Indien de serviceorganisatie de schriftelijke bevestigingen die overeenkomstig paragraaf 38 (c) van deze Standaard worden vereist niet verschaft, kan het voor het oordeel van de accountant van de serviceorganisatie van toepassing zijn om overeenkomstig paragraaf 55(d) van deze Standaard te worden aangepast.

Andere informatie

(Zie Par. 42)

A44Op grond van de Verordening gedrags- en beroepsregels accountants wordt er van de accountant van de serviceorganisatie vereist dat hij niet met informatie mag worden geassocieerd waarvan de accountant van de serviceorganisatie aanneemt dat de informatie:

  1. een materieel onjuiste of misleidende vermelding bevat;
  2. onzorgvuldig verschafte vermeldingen of informatie bevat; of
  3. informatie weglaat of verbergt waarvan is vereist dat die informatie is toegevoegd waar een dergelijke weglating of verberging misleidend zou kunnen zijn. Verordening gedrags- en beroepsregels accountants, artikel 9.

Indien overige informatie die bij een document is ingesloten dat de beschrijving van de serviceorganisatie van haar systeem bevat en het assurance-rapport van de accountant van de serviceorganisatie toekomstgerichte informatie bevat zoals herstel en uitwijk, rampen (bestrijdings) -plannen of plannen voor aanpassingen aan het systeem die zullen inspelen op deviaties die in het assurance-rapport van de accountant van de serviceorganisatie zijn geïdentificeerd of claims van een promotionele aard die niet op een aanvaardbare manier kunnen worden gestaafd, kan de accountant van de serviceorganisatie erom verzoeken dat die informatie wordt verwijderd of wordt aangepast.

A45Indien de serviceorganisatie weigert om de overige informatie te verwijderen of aan te passen, kunnen aanvullende activiteiten die van toepassing zijn het volgende omvatten:

  • de serviceorganisatie verzoeken om met haar juridische adviseurs overleg te plegen met betrekking tot de handelswijzen;
  • het beschrijven van de van materieel belang zijnde inconsistentie of afwijking van materieel belang van feiten in het assurance-rapport;
  • het niet verstrekken van het assurance-rapport totdat de aangelegenheid is opgelost;
  • de opdracht teruggeven.

Documentatie

(Zie Par. 51)

A46In de wet- en regelgeving op het gebied van kwaliteitsbeheersing wordt er vereist dat er beleidslijnen en procedures worden vastgesteld voor het tijdig afronden van het samenstellen van opdrachtdossiers.Een geschikt tijdsbestek waarbinnen de samenstelling van het definitieve opdrachtdossier moet worden afgerond, is gewoonlijk niet meer dan 2 maanden na de datum van het assurance-rapport (gelijk aan de periode die geldt voor controledossiers (Zie Standaard 230, paragraaf A21)).

Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie

Inhoud van het assurance-rapport van de accountant van de serviceorganisatie

(Zie Par. 53)

A47Voorbeelden ter illustratie van assurance-rapporten van accountant van de serviceorganisatie en daarmee verband houdende beweringen van serviceorganisaties staan in bijlagen 1 en 2.

Beoogde gebruikers en doeleinden van het assurnance-rapport van de accountant van de serviceorganisatie

(Zie Par. 53(e))

A48De criteria waarvan gebruik wordt gemaakt voor opdrachten om te rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie zijn alleen relevant voor de doeleinden van het verschaffen van informatie over het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen, aan degenen die inzicht hebben op welke wijze er van het systeem gebruik is gemaakt bij de financiële verslaggeving door gebruikersorganisaties. Dienovereenkomstig staat dit in het assurance-rapport van de accountant van de serviceorganisatie vermeld. De accountant van de serviceorganisatie kan het passend achten om bewoordingen op te nemen die de specifieke verspreiding van het assurance-rapport onder anderen dan de beoogde gebruikers, of het gebruik ervan voor andere doeleinden, beperkt.

Beschrijving van de toetsingen van interne beheersingsmaatregelen

(Zie Par. 54)

A49Bij het beschrijven van de aard van de toetsingen van interne beheersingsmaatregelen voor een type 2 rapport, worden de lezers van het assurance-rapport van de accountant van de serviceorganisatie ondersteund als de accountant van de serviceorganisatie het volgende opneemt:

  • de resultaten van alle toetsingen waar deviaties zijn geïdentificeerd, zelfs als er overige interne beheersingsmaatregelen zijn geïdentificeerd die de accountant van de serviceorganisatie in staat stellen te concluderen dat de relevante interne beheersingsdoelstelling is bereikt of de getoetste interne beheersingsmaatregel nadien van de beschrijving van de serviceorganisatie van haar systeem is verwijderd;
  • informatie over de veroorzakende factoren van geïdentificeerde deviaties, tot de mate waarin de accountant van de serviceorganisatie die factoren heeft geïdentificeerd.

Aangepaste oordelen

(Zie Par. 55)

A50Voorbeelden ter illustratie van elementen van aangepaste assurance-rapporten van de accountant van de serviceorganisatie staan in bijlage 3.

A51Zelfs als de accountant van de serviceorganisatie een afkeurend oordeel tot uitdrukking heeft gebracht of een oordeelonthouding heeft geformuleerd, kan het gepast zijn in de paragraaf voor de onderbouwing van het aangepaste oordeel de redenen voor overige aangelegenheden te beschrijven waarvan de accountant van de serviceorganisatie weet dat op grond daarvan een aanpassing van het oordeel zou zijn vereist, alsmede de effecten daarvan.

A52Wanneer een oordeelonthouding wordt geformuleerd vanwege een beperking in de reikwijdte, is het doorgaans niet passend om de uitgevoerde werkzaamheden te vermelden noch om vermeldingen die de kenmerken van de opdracht van een accountant van de serviceorganisatie beschrijven op te nemen; door dit wel te doen zou de oordeelonthouding kunnen worden overschaduwd.

Overige communicatieverantwoordelijkheden

A53Geschikte activiteiten om in te spelen op de omstandigheden die paragraaf 56 zijn geïdentificeerd, tenzij dit op grond van wet- of regelgeving verboden is, kunnen omvatten:

  • het verkrijgen van juridisch advies over de consequenties van verschillende handelswijzen;
  • communicatie met de met governance belaste personen van de serviceorganisatie;
  • bepalen of communicatie met derden nodig is (bijv. wet- en regelgeving of relevante ethische voorschriften kunnen van de accountant van de serviceorganisatie vereisen om te rapporteren aan een bevoegde instantie buiten de entiteit of aan de accountant van de jaarrekening van de serviceorganisatie Zie NV NOCLAR., of verantwoordelijkheden vaststellen waaronder een dergelijke rapportage als dit passend is in de omstandigheden);
  • het aanpassen van het oordeel van de accountant van de serviceorganisatie of het toevoegen van een paragraaf inzake overige aangelegenheden;
  • het teruggeven van de opdracht.

Bijlage 1: Voorbeeld van de vermeldingen van de serviceorganisatie

(Zie Par. A47)

De volgende voorbeelden van de vermeldingen van een serviceorganisatie zijn bestemd als leidraden en dienen niet op uitputtende wijze te worden gebruikt en zijn niet op alle situaties van toepassing.

Voorbeeld 1: 'Type 2' vermelding van een serviceorganisatie

Vermelding door een serviceorganisatie

De bijgaande beschrijving is voor cliënten opgesteld die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd, te beschouwen wanneer zij de risico's van afwijkingen van materieel belang van de financiële overzichten van de cliënten inschatten. [Naam van de entiteit] bevestigt dat:

  1. de bijgaande beschrijving op de pagina's [bb-cc] het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode van [datum] tot [datum] getrouw weergeeft. De criteria waarvan gebruik wordt gemaakt bij het maken van deze vermelding hielden in dat de bijgaande beschrijving:

    1. weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:

      1. de soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval de verwerkte transactiestromen;
      2. de procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld;
      3. de verbonden administratie, de ondersteunende informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initiëren, te verwerken en vast te leggen; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld;
      4. op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld;
      5. het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten;
      6. relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken;
      7. interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikersorganisaties zouden worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden bereikt, zijn onderkend;
      8. overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen in het kader van het monitoren die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten.

    2. relevante details bevat van wijzigingen in het systeem van de serviceorganisatie gedurende de verslagperiode van [datum] tot [datum];
    3. geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt in diens eigen bijzonder omgeving belangrijk kan achten.

  2. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet en gedurende de verslagperiode van [datum] tot [datum] effectief werkten. De criteria waarvan bij het maken van deze vermelding gebruik werd gemaakt hielden in dat:

    1. de risico's die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld in gevaar brengen, werden onderkend;
    2. de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen; en
    3. de interne beheersingsmaatregelen gedurende de verslagperiode van [datum] tot [datum] consistent zijn toegepast zoals opgezet, met inbegrip ervan dat handmatige interne beheersingsmaatregelen zijn toegepast door personen die de geschikte competentie en bevoegdheid hebben.

Voorbeeld 2: 'Type 1' vermelding van een serviceorganisatie

De bijgaande beschrijving is opgesteld voor cliënten die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving te beschouwen, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden beheerd, wanneer zij inzicht verwerven in de informatiesystemen van cliënten die relevant zijn voor financiële verslaggeving. [Naam van de entiteit] bevestigt dat:

  1. de bijgaande beschrijving op de pagina's [bb-cc] geeft het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode op [datum] getrouw weer. De criteria waarvan gebruik wordt gemaakt bij het maken van deze vermelding hielden in dat de bijgaande beschrijving:

    1. weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:

      1. de soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval, de verwerkte transactiestromen;
      2. de procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld;
      3. de verbonden administratie, die de informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initiëren, verwerken, vast te leggen en rapporteren; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld;
      4. op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld;
      5. het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten;
      6. relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken;
      7. interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikersorganisaties zouden worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden bereikt zijn onderkend;
      8. overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen betreffende monitoring die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten.

    2. geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten;

  2. de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet, op [datum]. De criteria waarvan bij het maken van deze vermelding gebruik werd gemaakt hielden in dat:

    1. de risico's die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld in gevaar brengen, werden onderkend; en
    2. de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen.

Bijlage 2: Voorbeelden van de assurance-rapporten van de accountant van de serviceorganisatie

(Zie Par. A47)

Voor voorbeeldteksten van assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie wordt verwezen naar HRA deel 3.

Bijlage 3: Voorbeelden van aangepaste assurance-rapporten van de accountant van de serviceorganisatie

(Zie Par. A50)

Voor voorbeeldteksten van assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie wordt verwezen naar HRA deel 3.