NV COS 3402
3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie
Inleiding
Toepassingsgebied van deze Standaard
- om uitsluitend te rapporteren over de vraag of interne beheersingsmaatregelen van een serviceorganisatie zo werken als staat beschreven; of
- om te rapporteren over interne beheersingsmaatregelen van een serviceorganisatie anders dan die beheersmaatregelen die verband houden met een dienst die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot de financiële verslaggeving (bijvoorbeeld, interne beheersingsmaatregelen die de productie of kwaliteitsbeheersing van de gebruikersorganisaties beïnvloeden).
Desalniettemin worden in deze Standaard enige leidraden verschaft voor dergelijke opdrachten die onder Standaard 3000 worden uitgevoerd. (Zie Par. A2)
- een rapportage betreffende de transacties of saldi van een gebruikersorganisatie die door een serviceorganisatie worden onderhouden; of
- een rapport van feitelijke bevindingen betreffende de interne beheersingsmaatregelen van een serviceorganisatie.
Relatie met Standaard 3000, overige professionele uitingen en overige vereisten
Ingangsdatum
Doelstellingen
- het verkrijgen van een redelijke mate van zekerheid over de vraag of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria:
- een beschrijving van de serviceorganisatie van haar systeem, het systeem getrouw weergeeft zoals dit gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd (of in het geval van een type 1 rapport, op een gespecificeerde datum);
- interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die staan vermeld in de beschrijving van de serviceorganisatie van haar systeem gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet (of in het geval van een type 1 rapport, op een gespecificeerde datum);
- waar inbegrepen in de reikwijdte van de opdracht, de interne beheersingsmaatregelen, effectief werkten om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van het systeem van de serviceorganisatie staan vermeld, gedurende de gespecificeerde verslagperiode zijn bereikt.
- te rapporteren over de aangelegenheden die hierboven bij (a) staan vermeld in overeenstemming met de bevindingen van de accountant van de serviceorganisatie.
Definities
- uitsluitingsmethode (Carve-out methode) - een methode van omgaan met de diensten die worden verleend door een subserviceorganisatie. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door een subservice-organissatie worden verleend. De relevante interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de subserviceorganisatie zijn echter uitgesloten van de beschrijving van de serviceorganisatie van haar systeem alsmede van de reikwijdte van de opdracht van de accountant van de serviceorganisatie. De beschrijving van de serviceorganisatie van haar systeem en de reikwijdte van de opdracht van de accountant van de serviceorganisatie bevatten interne beheersingsmaatregelen van de serviceorganisatie die de effectiviteit van de interne beheersingsmaatregelen van een subserviceorganisatie monitort, wat in kan houden dat de serviceorganisatie een assurance-rapport betreffende de interne beheersingsmaatregelen van de subserviceorganisatie beoordeelt;
- aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie - Interne beheersingsmaatregelen waarvan de serviceorganisatie, bij het opzetten van de dienst, aanneemt dat zij door de gebruikersorganisaties zullen worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen te bereiken, in de beschrijving van de serviceorganisatie van haar systeem staan vermeld;
- interne beheersingsdoelstelling - Het doel of doeleinde van een bepaald aspect van interne beheersingsmaatregelen. Interne beheersingsdoelstellingen houden verband met risico's waar de interne beheersingsmaatregelen naar streven deze te mitigeren;
- interne beheersingsmaatregelen bij de serviceorganisatie - Interne beheersingsmaatregelen over het bereiken van een interne beheersingsdoelstelling die door het assurance-rapport van de accountant wordt omvat; (Zie Par. A3)
- interne beheersingsmaatregelen van een subserviceorganisatie - Interne beheersingsmaatregelen van een subserviceorganisatie die een redelijke mate van zekerheid verschaffen over het bereiken van een interne beheersingsdoelstelling;
- criteria - Benchmarks die gebruikt worden om het een object van onderzoek te evalueren of te meten. De 'van toepassing zijnde criteria' zijn de criteria die bij de specifieke opdracht worden gebruikt;
- opname methode (Inclusive methode) - Methode hoe er wordt omgegaan met de diensten die door een subserviceorganisatie worden verleend. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door de subserviceorganisatie worden verleend. De relevante interne beheersingsdoelstellingen van die subserviceorganisatie en daarmee verband houdende interne beheersingsmaatregelen zijn opgenomen in de beschrijving van de serviceorganisatie van haar systeem en in de reikwijdte van de opdracht van de accountant van de serviceorganisatie; (Zie Par. A4)
- interne auditfunctie - Een functie van een entiteit die assurance- en adviesactiviteiten uitvoert die zijn opgezet om de effectiviteit van de governance, risicobeheersings- en interne beheersingsprocessen van de entiteit te evalueren en te verbeteren;
- interne auditors - Die individuen die de activiteiten van de interne auditfunctie uitvoeren. Interne auditors kunnen tot een interne auditafdeling of vergelijkbare functie behoren;
- rapport over de beschrijving en de opzet van interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 3402 wordt daarnaar verwezen als een 'type 1 rapport') - Een rapport dat bestaat uit:
- de beschrijving van de serviceorganisatie van haar systeem;
- een schriftelijke vermelding van de serviceorganisatie dat, in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria:
- de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit is opgezet en geïmplementeerd op de gespecificeerde datum;
- de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem op de gespecificeerde datum staan vermeld, op afdoende wijze zijn opgezet; en
- een assurance-rapport van de accountant van de serviceorganisatie dat een conclusie met een redelijke mate van zekerheid over de aangelegenheden in (ii)a.-b. hierboven uitdrukt.
- rapport over de beschrijving, opzet en werking van de interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 3402 wordt daarnaar verwezen als een 'type 2 rapport') - Een rapport dat bestaat uit:
- de beschrijving van de serviceorganisatie van haar systeem;
- een schriftelijke vermelding van de serviceorganisatie dat in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria:
- de beschrijving het systeem van de serviceorganisatie getrouw weergeeft zoals dit gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd;
- de interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en
- de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen zoals die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode effectief werkten; en
- een assurance-rapport van de accountant van de serviceorganisatie dat:
- een conclusie met een redelijke mate van zekerheid over de aangelegenheden in (ii)a.-c. hierboven uitdrukt; en
- een beschrijving van de toetsingen van interne beheersingsmaatregelen en de resultaten daarvan omvat.
- accountant van de serviceorganisatie - Een accountant die, op verzoek van de serviceorganisatie, een assurance-rapport verstrekt betreffende de interne beheersingsmaatregelen van een serviceorganisatie;
- serviceorganisatie - Een derde organisatie (of onderdeel van een derde organisatie) die diensten verleent aan gebruikersorganisaties die waarschijnlijk relevant zijn voor de interne beheersing in relatie tot de financiële verslaggeving;
- systeem van een serviceorganisatie (of het systeem) - De beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruikersorganisaties de diensten te verlenen die door het assurance-rapport van de accountant van de serviceorganisatie worden omvat. De beschrijving van de serviceorganisatie van haar systeem bestaat onder meer uit een identificatie van: de diensten die worden verleend; de verslagperiode, of in het geval van een type 1 rapport de datum waarop de beschrijving betrekking heeft; interne beheersingsdoelstellingen; en daarmee verband houdende interne beheersingsmaatregelen;
- vermelding van een serviceorganisatie - De schriftelijke vermelding over de aangelegenheden waarnaar in paragraaf 9(k)(ii) (of in het geval van een type 1 rapport in paragraaf 9 (j)(ii)) wordt verwezen;
- subserviceorganisatie - Een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt om sommige diensten uit te voeren die aan gebruikersorganisaties worden verleend die waarschijnlijk relevant zijn voor de interne beheersing van gebruikersorganisaties in relatie tot de financiële verslaggeving;
- toetsing van interne beheersingsmaatregelen - Een controlemaatregel die is opgezet om de werking van interne beheersingsmaatregelen voor het bereiken van de interne beheersingsdoelstellingen, zoals vermeld in de beschrijving van het systeem van de serviceorganisatie, te evalueren;
- accountant van de gebruiker - Een accountant die de financiële overzichten van een gebruikersorganisaties controleert en daarover verslag uitbrengt;
- gebruikersorganisatie - Een entiteit die gebruik maakt van een serviceorganisatie.
Vereisten
Standaard 3000
Ethische voorschriften
Management en de met governance belaste personen
Aanvaarding en continuering
- te bepalen of:
- de accountant van de serviceorganisatie de capaciteiten en de competentie bezit om de opdracht uit te voeren; (Zie Par. A7)
- de toe te passen criteria bij de serviceorganisatie waarvan de accountant veronderstelt dat deze om de beschrijving van haar systeem op te stellen, voor de gebruikersorganisatie en hun accountants geschikt zijn en beschikbaar zullen zijn; en
- de reikwijdte van de opdracht en de beschrijving van de serviceorganisatie van haar systeem niet zo beperkt zullen zijn dat het onwaarschijnlijk is dat zij voor de gebruikersorganisaties en hun accountants nuttig zijn.
- de instemming van de serviceorganisatie te verkrijgen dat zij haar verantwoordelijkheid erkent en begrijpt:
- voor het opstellen van de beschrijving van haar systeem en de bijgaande vermelding van de serviceorganisatie, inclusief de volledigheid, nauwkeurigheid en de methode van presentatie van die beschrijving en vermelding; (Zie Par. A8)
- om een redelijke basis te hebben voor de vermelding van de serviceorganisatie die met de beschrijving van haar systeem samengaat: (Zie Par. A9)
- voor het in de vermelding van de serviceorganisatie aangeven van de criteria die zij hanteerde bij het beschrijven van haar systeem;
- voor het in de beschrijving van haar systeem aangeven van:
- de interne beheersingsdoelstellingen; en
- de partij die deze doelstellingen specificeerde wanneer deze gespecificeerd zijn door wet- of regelgeving, of een andere partij (bijvoorbeeld een gebruikersgroep of een beroepsorganisatie);
- voor het identificeren van risico's die het bereiken van interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen, en het opzetten en implementeren van interne beheersingsmaatregelen om een redelijke mate van zekerheid te verschaffen dat die risico's het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan aangegeven niet zullen verhinderen, en daarmee dat de aangegeven interne beheersingsdoelstellingen zullen worden bereikt; en (Zie Par. A10)
- om de accountant van de serviceorganisatie:
- toegang te verschaffen tot alle informatie zoals vastleggingen, documentatie en andere aangelegenheden, met inbegrip van service level agreements waarvan de serviceorganisatie op de hoogte is dat deze relevant is voor de beschrijving van het systeem van de serviceorganisatie en de bijgaande vermelding van de serviceorganisatie;
- aanvullende informatie te verschaffen die de accountant kan verzoeken aan de serviceorganisatie voor de doeleinden van de assurance-opdracht; en
- onbeperkte toegang te verschaffen tot de personen binnen de serviceorganisatie van wie accountant van de serviceorganisatie bepaalt dat het noodzakelijk is assurance-informatie te verkrijgen.
De aanvaarding van een wijziging in de voorwaarden van de opdracht
De geschiktheid van de criteria bepalen
- of de beschrijving weergeeft op welke wijze het systeem van de serviceorganisatie is opgezet en geïmplementeerd, met inbegrip van, in voorkomend geval:
- de soorten diensten die worden verleend, met inbegrip van, in voorkomend geval de verwerkte transactiestromen;
- de procedures, binnen zowel de informatie technologie als handmatige systemen, waardoor diensten worden verleend, met inbegrip van, in voorkomend geval, procedures waardoor transacties worden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages en overige informatie die voor gebruikersorganisaties is opgesteld;
- de daarmee verband houdende vastleggingen en ondersteunende informatie, met inbegrip van, in voorkomend geval, administratie, ondersteunende informatie en specifieke rekeningen die worden gebruikt om transacties te initiëren, vast te leggen, te verwerken en erover te rapporteren; dit omvat tevens het corrigeren van onjuiste informatie en op welke wijze informatie naar de rapporten wordt overgebracht en op welke wijze overige informatie voor gebruikersorganisaties is opgesteld;
- op welke wijze het systeem van de serviceorganisatie significante gebeurtenissen en omstandigheden, anders dan de transacties, behandelt;
- het proces dat wordt gehanteerd om rapportages en overige informatie voor gebruikersorganisaties op te stellen;
- de gespecificeerde interne beheersingsdoelstellingen en interne beheersingsmaatregelen om die doelstellingen te bereiken;
- aanvullende interne beheersingsmaatregelen van de gebruikersorganisaties beschouwd bij de opzet van de interne beheersingsmaatregelen; en
- andere aspecten van de beheersingsomgeving van de entiteit, het risico-inschattingsproces, het informatiesysteem (inclusief daarmee verband houdende processen) en communicatie, de beheersingsactiviteiten en de monitoringsbeheersingsmaatregelen die relevant zijn voor de diensten die worden verleend.
- in het geval van een type 2 rapport, over de vraag of de beschrijving relevante details bevat over wijzigingen aan het systeem van de serviceorganisatie gedurende de verslagperiode die door de beschrijving wordt omvat.
- of de beschrijving informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem van de serviceorganisatie dat wordt omschreven, terwijl erkend wordt dat de beschrijving is opgesteld om aan de algemene behoeftes van een brede groep gebruikers en hun accountants te voldoen en dat de beschrijving daarom niet ieder aspect van het systeem van de serviceorganisatie kan bevatten dat iedere individuele gebruikersorganisatie en haar accountant in diens bijzondere omgeving belangrijk kan achten.
- de serviceorganisatie de risico's heeft geïdentificeerd die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving van haar systeem staan vermeld in gevaar brengen; en
- de interne beheersingsmaatregelen die in die beschrijving zijn geïdentificeerd, indien zij werken zoals beschreven, een redelijke mate van zekerheid verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet verhinderen.
Materialiteit
Het verwerven van inzicht in het systeem van de serviceorganisatie
Het verkrijgen van assurance-informatie met betrekking tot de beschrijving
- de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld in de gegeven omstandigheden redelijk zijn; (Zie Par. A23)
- interne beheersingsmaatregelen geïdentificeerd in die beschrijving zijn geïmplementeerd;
- aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie, indien aanwezig, adequaat zijn beschreven; en
- diensten die door een subservice-organisatie, indien aanwezig, zijn uitgevoerd adequaat zijn beschreven, met inbegrip van of de opname methode (inclusive methode) of de uitsluitingsmethode (carve-out methode) is gehanteerd met betrekking tot die diensten.
Het verkrijgen van assurance-informatie met betrekking tot de opzet van interne beheersingsmaatregelen
- het identificeren van de risico's die het bereiken van de interne beheersingsdoelstellingen die de beschrijving van de serviceorganisatie van haar systeem staan vermeld in gevaar brengen; en
- het evalueren van de koppeling van interne beheersingsmaatregelen geïdentificeerd in de beschrijving van de serviceorganisatie van haar systeem aan deze risico's.
Het verkrijgen van assurance-informatie met betrekking tot de werking van de interne beheersingsmaatregelen
- overige werkzaamheden uit te voeren in combinatie met verzoeken om inlichtingen om assurance-informatie te verkrijgen over:
- de wijze waarop de interne beheersingsmaatregel was toegepast;
- de consistentie waarmee de interne beheersingsmaatregel was toegepast; en
- de vraag door wie of met welke middelen de interne beheersingsmaatregel is toegepast;
- vast te stellen of de te toetsen interne beheersingsmaatregelen afhankelijk zijn van andere interne beheersingsmaatregelen (indirecte interne beheersingsmaatregelen) en, zo ja, of het noodzakelijk is om assurance-informatie te verkrijgen die de werking van die indirecte interne beheersingsmaatregelen onderbouwt; en (Zie Par. A33 en A34)
- methodes te bepalen voor het selecteren van elementen ter toetsing die effectief zijn in het bereiken van de doelstellingen van de controlemaatregel. (Zie Par. A35 en A36)
Het gebruiken van steekproeven
- het doel van de controlemaatregel en de kenmerken van de populatie van waaruit de steekproef zal worden genomen bij het opzetten van de steekproef te overwegen;
- een afdoende grootte van de steekproef te bepalen die het steekproefrisico tot een aanvaardbaar laag niveau verlaagt;
- eenheden voor de steekproef te selecteren op een dergelijke manier dat iedere steekproefeenheid in de populatie een kans heeft om geselecteerd te worden;
- indien een opgezette controlemaatregel niet van toepassing is op het geselecteerde item, de controlemaatregel op een vervangend item uit te voeren; en
- indien hij niet in staat is om de opgezette werkzaamheden, of geschikte andere werkzaamheden, op een geselecteerd item toe te passen, dat item als een deviatie te behandelen.
Aard en oorzaak van deviaties
- geïdentificeerde deviaties binnen de verwachte mate van deviatie en aanvaardbaar zijn; daarom verschaft de reeds uitgevoerde toetsing een geschikte basis om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode effectief werkt;
- aanvullende toetsing van de interne beheersingsmaatregel of overige interne beheersingsmaatregelen noodzakelijk zijn om tot een conclusie te komen dat de interne beheersingsmaatregelen met betrekking tot een bepaalde interne beheersingsdoelstelling gedurende de gespecificeerde verslagperiode effectief werken; of (Zie Par. A25)
- de uitgevoerde toetsing een geschikte basis verschaft om te concluderen dat de interne beheersingsmaatregel gedurende de gespecificeerde verslagperiode niet effectief werkte.
De werkzaamheden van een interne auditfunctie
Het verwerven van inzicht in de interne auditfunctie
Bepalen of en in welke mate van de werkzaamheden van de interne auditors gebruik kan worden gemaakt
- of het waarschijnlijk is dat de werkzaamheden van de interne auditors adequaat zijn voor de doeleinden van de opdracht; en
- zo ja, wat de geplande invloed is van de werkzaamheden van de interne auditors op de aard, de timing of omvang van de werkzaamheden van de accountant van de serviceorganisatie.
- de objectiviteit van de interne auditfunctie;
- de technische competentie van de interne auditors;
- of de werkzaamheden van de interne auditors waarschijnlijk met voldoende professionele zorgvuldigheid worden uitgevoerd; en
- of het waarschijnlijk is dat er effectieve communicatie zal plaatsvinden tussen de interne auditors en de accountant van de serviceorganisaties.
- de aard en de reikwijdte van de gespecificeerde werkzaamheden die door de interne auditors zijn uitgevoerd of uitgevoerd moeten worden;
- de significantie van die werkzaamheden voor de conclusies van de accountant van de serviceorganisatie; en
- de mate van subjectiviteit die is gehanteerd bij de evaluatie van de assurance-informatie die ter ondersteuning van die conclusies is verzameld.
Gebruik maken van de werkzaamheden van de interne auditfunctie
- de werkzaamheden zijn uitgevoerd door interne auditors die beschikken over adequate vaktechnische training en vaardigheid;
- op de werkzaamheden naar behoren toezicht is uitgeoefend en of ze naar behoren werden beoordeeld en gedocumenteerd;
- adequate assurance-informatie is verkregen om de interne auditors in staat te stellen redelijke conclusies te trekken;
- de bereikte conclusies onder de gegeven omstandigheden passend zijn en of alle rapportages opgesteld door de interne auditors consistent zijn met de uitkomsten van de uitgevoerde werkzaamheden; en
- uitzonderingen die voor de opdracht of ongebruikelijke aangelegenheden die door de interne auditors naar voren zijn gebracht naar behoren worden opgelost.
Effect op het assurance-rapport van de accountant van de serviceorganisatie
Schriftelijke bevestigingen
- de vermelding opnieuw bevestigen die samengaat met de beschrijving van het systeem;
- vermelden dat de serviceorganisatie alle relevante informatie en overeengekomen toegang aan de accountant van de serviceorganisatie heeft verschaft; en
- vermelden dat de serviceorganisatie de accountant van de serviceorganisatie heeft ingelicht over de volgende zaken waarvan de serviceorganisatie op de hoogte is:
- het niet-naleven van wet- en regelgeving, fraude, ongecorrigeerde deviaties die toe te schrijven zijn aan de serviceorganisatie die één of meer gebruikersorganisaties kunnen beïnvloeden;
- tekortkomingen in de opzet van interne beheersingsmaatregelen;
- gevallen waarin interne beheersingsmaatregelen niet hebben gewerkt zoals stond beschreven; en
- alle gebeurtenissen na de einddatum van de verslagperiode, die de beschrijving van de serviceorganisatie van haar systeem omvat tot aan de datum van het assurance-rapport van de accountant van de serviceorganisatie, die een significantie invloed zouden kunnen hebben op het assurance-rapport van de accountant van de serviceorganisatie.
Andere informatie
Gebeurtenissen na de einddatum van de verslagperiode
Documentatie
- de aard, timing en omvang van de werkzaamheden die zijn uitgevoerd overeenkomstig deze Standaard en in overeenstemming met de van toepassing zijnde door wet- en regelgeving gestelde eisen;
- de uitkomsten van de uitgevoerde werkzaamheden en de verkregen assurance-informatie; en
- significante aangelegenheden voortgekomen uit de opdracht, de daaruit getrokken conclusies en significante professionele oordelen die zijn gevormd om tot die conclusies te komen.
- de onderscheidende kenmerken van de specifieke elementen of aangelegenheden die worden getoetst;
- wie de werkzaamheden heeft uitgevoerd en de datum waarop dergelijke werkzaamheden zijn voltooid; en
- wie de werkzaamheden heeft beoordeeld en de datum en omvang van een dergelijke beoordeling.
- de specifieke redenen voor het aanbrengen daarvan; en
- wanneer en door wie ze werden aangebracht en beoordeeld.
Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie
De inhoud van het assurance-rapport van de accountant van de serviceorganisatie
- een titel die duidelijk aangeeft dat de rapportage een assurance-rapport is van een onafhankelijke accountant;
- een geadresseerde;
- het aanduiden van:
- de beschrijving van de serviceorganisatie van haar systeem en de vermelding van de serviceorganisatie die de aangelegenheden bevatten die beschreven zijn in paragraaf 9(k)(ii) voor een type 2 rapport, of paragraaf 9(j)(ii) voor een type 1 rapport;
- de eventuele onderdelen van de beschrijving van de serviceorganisatie van haar systeem die niet door het oordeel van de accountant van de serviceorganisatie worden omvat;
- indien de beschrijving naar de behoefte aan aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie verwijst, een vermelding dat de accountant van de serviceorganisatie de geschiktheid van de opzet of de werking van aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie niet heeft geëvalueerd, en dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld alleen maar kunnen worden bereikt, indien de aanvullende interne beheersingsmaatregelen van een gebruikersorganisatie samen met de interne beheersingsmaatregelen van de serviceorganisatie op afdoende wijze zijn opgezet of werken;
- Indien diensten door een subserviceorganisatie worden uitgevoerd, de aard van de activiteiten die door de subserviceorganisatie worden uitgevoerd zoals die staan beschreven in de beschrijving van de serviceorganisatie van haar systeem en of er van de opname methode (inclusive methode) of de uitsluitingsmethode (carve-out methode) met betrekking tot die diensten gebruik is gemaakt. Waar er van de uitsluitingsmethode (carve-out methode) gebruik is gemaakt, een vermelding dat de beschrijving van de serviceorganisatie van haar systeem de interne beheersingsdoelstellingen en daarmee verband houdende interne beheersingsmaatregelen van relevante subserviceorganisaties uitsluit en dat werkzaamheden van de accountant van de serviceorganisatie zich niet uitstrekken tot de interne beheersingsmaatregelen van de subserviceorganisatie. Waar er gebruik is gemaakt van de opname methode (inclusive methode), een vermelding dat de beschrijving van de subserviceorganisatie van haar systeem de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de serviceorganisatie omvat, en dat de werkzaamheden van de accountant van de serviceorganisatie zich uitstrekten tot de interne beheersingsmaatregelen van de subserviceorganisatie.
- aanduiding van de van toepassing zijnde criteria en de partij die de interne beheersingsdoelstellingen specificeert;
- een vermelding dat de rapportage en, in het geval van een type 2 rapport, de beschrijving van toetsingen van interne beheersingsmaatregelen alleen voor gebruikersorganisaties en hun accountants, die afdoende inzicht hebben om deze te beschouwen zijn bedoeld, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door gebruikersorganisaties zelf worden uitgevoerd, wanneer zij de risico's op afwijkingen van materieel belang in de financiële overzichten van gebruikersorganisaties inschatten; (Zie Par. A48)
- een vermelding dat de serviceorganisatie verantwoordelijk is voor:
- het opstellen van de beschrijving van haar systeem en de bijgaande vermelding, met inbegrip van de volledigheid, nauwkeurigheid en de methode van presentatie van die beschrijving en die vermelding;
- het verlenen van de diensten die door de beschrijving van de serviceorganisatie van haar systeem wordt omvat;
- het vermelden van de interne beheersingsdoelstellingen (waar zij niet zijn geïdentificeerd door wet- of regelgeving, of een andere partij bijvoorbeeld een gebruikersgroep of een beroepsorganisatie); en
- het opzetten en implementeren van interne beheersingsmaatregelen om de interne beheersingsdoelstellingen te bereiken die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld.
- een vermelding dat de verantwoordelijkheid van de accountant van de serviceorganisatie ligt bij het tot uitdrukking brengen van een oordeel over de beschrijving van de serviceorganisatie, over de opzet van interne beheersingsmaatregelen die verband houden met interne beheersingsdoelstellingen die in die beschrijving staan vermeld, en, in het geval van een type 2 rapport, over de werking van die interne beheersingsmaatregelen op basis van de werkzaamheden van de accountant van de serviceorganisatie;
- een vermelding dat de accountantseenheid waarbij de accountant werkzaam is of aan verbonden is, de NVKS toepast. Indien de eindverantwoordelijk professional geen accountant is, dient de vermelding de vergelijkbare professionele vereisten te identificeren, die zijn toegepast;
- een vermelding dat de accountant de vereisten van de VGBA en de ViO heeft nageleefd. Als de eindverantwoordelijk professional geen accountant is, dient de vermelding de professionele vereisten die tenminste gelijkwaardig zijn te identificeren die zijn toegepast;
- een vermelding dat de opdracht overeenkomstig Standaard 3402 Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie is uitgevoerd, op grond waarvan van de accountant wordt vereist dat hij werkzaamheden uitvoert om een redelijke mate van zekerheid te verkrijgen of, in alle van materieel belang zijnde opzichten, de beschrijving van de serviceorganisatie van haar systeem een getrouwe weergave is en de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en, in het geval van een 'type 2 rapport', effectief werken;
- het oordeel van de accountant van de serviceorganisatie, dat in de positieve vorm tot uitdrukking is gebracht, of, in alle van materieel belang zijnde opzichten, op basis van geschikte criteria:
- in het geval van een 'type 2 rapport':
- de beschrijving van het systeem van de serviceorganisatie, dat gedurende de gespecificeerde verslagperiode is opgezet en geïmplementeerd, getrouw weergeeft;
- de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, gedurende de gespecificeerde verslagperiode op afdoende wijze zijn opgezet; en
- de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving staan vermeld zijn bereikt gedurende de gespecificeerde verslagperiode, effectief werkten.
- in het geval van een 'type 1 rapport':
- de beschrijving van het systeem van de serviceorganisatie, dat op de gespecificeerde datum is opgezet en geïmplementeerd, getrouw weergeeft;
- de interne beheersingsmaatregelen die betrekking hebben op de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem vermeld staat, op de gespecificeerde datum op afdoende wijze zijn opgezet.
- de datum van het assurance-rapport van de accountant van de serviceorganisatie, die niet eerder zal zijn dan de datum waarop de accountant van de serviceorganisatie de assurance-informatie heeft verkregen waarop zijn oordeel is gebaseerd;
- de naam van de accountant van de serviceorganisatie en de locatie in het rechtsgebied waarin de accountant van de serviceorganisatie werkzaam is.
Aangepaste oordelen
- de beschrijving van de serviceorganisatie het systeem, zoals dit is opgezet en geïmplementeerd, in alle van materieel belang zijnde aspecten, niet getrouw weergeeft;
- de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de beschrijving staan vermeld, niet op afdoende wijze zijn opgezet, in alle van materieel belang zijnde opzichten;
- in het geval van een type 2 rapport de getoetste interne beheersingsmaatregelen, die noodzakelijk waren om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie staan vermeld, zijn bereikt, in alle van materieel belang zijnde opzichten, niet effectief werkten; of
- de accountant van de serviceorganisatie niet in staat is om voldoende en geschikte assurance-informatie te verkrijgen, dient het oordeel van de accountant van de serviceorganisatie te worden aangepast en dient het assurance-rapport van de accountant van de serviceorganisatie een sectie te omvatten met een duidelijke beschrijving van alle redenen voor die aanpassing.
Overige communicatieverantwoordelijkheden
Toepassingsgerichte en overige verklarende teksten
Toepassingsgebied van deze Standaard
(Zie Par. 1 en 3)
Op vergelijkbare wijze worden de interne beheersingsmaatregelen betreffende de aanvaardbaarheid van investeringstransacties vanuit een regelgevend perspectief mogelijk gezien als relevant voor de presentatie en toelichting van de transacties en rekeningsaldi van een gebruikersorganisaties in haar financiële overzichten. De bepaling of de interne beheersingsmaatregelen bij een serviceorganisatie die verband houden met activiteiten en naleving waarschijnlijk relevant zijn voor de interne beheersing van gebruikersorganisaties in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming, waarbij de interne beheersingsdoelstellingen die door de serviceorganisatie zijn opgezet en de geschiktheid van de criteria in acht moeten worden genomen.
Definities
(Zie Par. 9(d) en 9(g))
Ethische voorschriften
(Zie Par. 11)
Management en de met governance belaste personen
(Zie Par. 12)
Aanvaarding en continuering
Capaciteiten en competentie om de opdracht uit te kunnen voeren
(Zie Par. 13(a)(i))
- kennis van de betreffende sector;
- inzicht in informatietechnologie en systemen;
- ervaring met het evalueren van risico's aangezien deze verband houden met de geschikte opzet van interne beheersingsmaatregelen; en
- ervaring met het opzetten en het uitvoeren van toetsingen van interne beheersingsmaatregelen en met het evalueren van de resultaten.
De vermelding van een serviceorganisatie
Een redelijke basis voor de vermelding van de serviceorganisatie
(Zie Par. 13(b)(ii))
Interne auditors of personeelsleden die vergelijkbare functies bekleden kunnen een bijdrage leveren aan het monitoren van de activiteiten van de serviceorganisatie. Monitoringactiviteiten kunnen ook het gebruik maken van informatie die door externe partijen wordt gecommuniceerd, inhouden, zoals klachten van cliënten en commentaar van regelgevers of toezichthouders die mogelijk op problemen wijzen of de nadruk leggen op gebieden die behoefte hebben aan verbetering. Het feit dat de accountant van de serviceorganisatie over de werking van interne beheersingsmaatregelen zal rapporteren, is geen vervanging voor de processen van de serviceorganisatie zelf om een redelijke basis voor haar vermelding te verschaffen.
Het identificeren van risico's
(Zie Par. 13(b)(iv))
Aanvaarding van een wijziging in de voorwaarden van de opdracht
(Zie Par. 14)
Het beoordelen van de geschiktheid van de criteria
(Zie Par. 15, 16, 17 en 18)
Object van onderzoek | Criteria | Commentaar | |
Oordeel over getrouwe weergave beschrijving systeem serviceorganisatie (type 1 en type 2- rapporten | Het systeem van de serviceorganisatie dat waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisatie in relatie tot de financiële verslaggeving en door het assurance-rapport van de accountant van de serviceorganisatie wordt omvat. | De beschrijving is een getrouwe weergave indien zij:
|
Het kan nodig zijn de bewoording van de criteria op maat te maken om consistent te zijn met criteria van bijvoorbeeld wet- of regelgeving, gebruikersgroepen of de beroepsorganisatie. Voorbeelden hiervan staan in Bijlage 1. Par. A21-A24 verschaffen verdere leidraden bij het bepalen of aan deze criteria wordt voldaan. (Volgens de vereisten van Standaard 3000, betreft de informatie* over het object van onderzoek voor dit oordeel: de beschrijving v/h systeem van de serviceorganisatie en de bewering van de serviceorganisatie dat de beschrijving getrouw is weergegeven). |
* De informatie over het object van onderzoek is de uitkomst van de evaluatie of meting van het object van onderzoek dat het resultaat is van het toepassen van de criteria op het object van onderzoek.) | |||
Oordeel over geschiktheid opzet en werking ('type 2 rapporten' | De geschiktheid van de opzet en werking van de interne beheersingsmaatregelen die noodzakelijk zijn om de beheersingsdoel- stellingen te bereiken die in beschrijving van de serviceorganisatie staan vermeld. | De interne beheersingsmaatregelen zijn afdoende opgezet en werken effectief indien:
|
Wanneer aan de criteria voor dit oordeel is voldaan, dan hebben de interne beheersings-maatregelen een redelijke mate van zekerheid verschaft dat de interne beheersings-doelstellingen* gedurende de verslagperiode zijn bereikt. Volgens de vereisten van Standaard 3000, betreft de informatie over het object van onderzoek voor dit oordeel: de bewering van de serviceorganisatie dat de interne beheersingsmaat-regelen op afdoende wijze zijn opgezet en effectief werken. |
* De beheersingsdoelstellingen, die in de beschrijving van het systeem van de serviceorganisatie staan vermeld, zijn onderdeel van de criteria voor de oordelen. De vermelde beheersingsdoelstellingen verschillen per opdracht. Indien, bij het vormen van het oordeel over de beschrijving, de accountant van de serviceorganisatie concludeert dat de beheersingsdoelstellingen niet getrouw zijn weergegeven, zijn deze niet geschikt als criterium voor het vormen van een oordeel over de opzet of de doeltreffende werking van interne beheersingsmaatregelen. | |||
Oordeel over geschiktheid van opzet ('type 1 rapporten') | De geschiktheid van de opzet van de interne beheersings-maatregelen noodzakelijk voor het bereiken van de beheersingsdoelstellingen die in de beschrijving van het systeem van de serviceorganisatie zijn vermeld. | De interne beheersings-maatregelen zijn op afdoende wijze opgezet indien:
|
Het voldoen aan criteria verschaft op zich zelf geen zekerheid over het bereiken van beheersingsmaatregelen omdat geen enkele zekerheid over de werking van interne beheersingsmaatregelen is verkregen. Volgens de vereisten van Standaard 3000, betreft de informatie over het object van onderzoek voor dit oordeel: de bewering van de serviceorganisatie dat interne beheersingsmaatregelen op afdoende wijze zijn opgezet. |
Materialiteit
(Zie Par. 19 en 54)
Het verwerven van inzicht in het systeem van de serviceorganisatie
(Zie Par. 20)
- het aanduiden van de grenzen van dat systeem en hoe het met andere systemen is gekoppeld;
- het vaststellen of de beschrijving van de serviceorganisatie het systeem dat is opgezet en geïmplementeerd, getrouw weergeeft;
- Het verwerven van inzicht in de interne beheersing over het opstellen van de vermelding van de serviceorganisatie.
- het bepalen welke interne beheersingsmaatregelen noodzakelijk zijn om de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld, te bereiken;
- het vaststellen of de interne beheersingsmaatregelen op afdoende wijze zijn opgezet;
- het, in het geval van een 'type 2 rapport', vaststellen of interne beheersingsmaatregelen effectief werkten.
- het verzoeken om inlichtingen bij personen binnen de serviceorganisatie die, naar het oordeel van de accountant van de serviceorganisatie, relevante informatie kunnen hebben;
- het observeren van activiteiten en het inspecteren van documenten, rapportages, uitgeprinte en elektronische vastleggingen van de verwerking van transacties;
- het inspecteren van een selectie van overeenkomsten tussen de serviceorganisatie en gebruikersorganisaties om hun gemeenschappelijke voorwaarden te identificeren;
- het herhalen van de uitvoering van de interne beheersingsmaatregelen.
Het verkrijgen van assurance informatie met betrekking tot de beschrijving
(Zie Par. 21 en 22)
- behandelt de beschrijving de belangrijkste aspecten van de verleende dienst (binnen de reikwijdte van de opdracht) waarvan redelijkerwijs zou kunnen worden verwacht dat zij relevant zijn voor de algemene behoeftes van een brede groep accountants van de gebruiker bij het plannen van hun controles van de financiële overzichten van gebruikersorganisaties?
- is de beschrijving op een gedetailleerd niveau opgesteld waarvan redelijkerwijs zou kunnen worden verwacht dat die aan een brede groep accountants van de gebruiker voldoende informatie verschaft om inzicht te verwerven in de interne beheersing overeenkomstig Standaard 315 ? De beschrijving hoeft niet op ieder aspect van de verwerking van de serviceorganisatie of de aan gebruikersorganisaties verleende diensten in te spelen en hoeft niet dermate gedetailleerd te zijn om het een lezer mogelijk te maken de veiligheid of overige interne beheersingsmaatregelen bij de serviceorganisatie in gevaar te brengen;
- is de beschrijving op een zodanige manier opgesteld dat die geen informatie weglaat of verkeerd voorstelt die de algemene behoeftes van besluiten van een brede groep van accountants van de gebruikers kan beïnvloeden? Bevat de beschrijving bijvoorbeeld significante weglatingen of onnauwkeurigheden bij het verwerken waarvan de accountant van de serviceorganisatie op de hoogte is?
- waar sommige vermelde interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem van de reikwijdte van de opdracht zijn uitgesloten, identificeert de beschrijving daar duidelijk die uitgesloten doelstellingen?
- zijn de interne beheersingsmaatregelen die in beschrijving worden geïdentificeerd geïmplementeerd?
- zijn aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie, indien aanwezig, adequaat beschreven? In de meeste gevallen is de beschrijving van interne beheersingsdoelstellingen dermate verwoord dat het mogelijk is dat de interne beheersingsdoelstellingen worden bereikt middels de werking van interne beheersingsmaatregelen die alleen door de serviceorganisatie zijn geïmplementeerd. Echter, in sommige gevallen kunnen de interne beheersingsdoelstellingen die in de beschrijving van de serviceorganisatie van haar systeem staan vermeld niet door de serviceorganisatie alleen worden bereikt, omdat het bereiken daarvan bepaalde interne beheersingsmaatregelen vereist die door gebruikersorganisaties moeten worden geïmplementeerd. Dit kan het geval zijn waar de interne beheersingsdoelstellingen bijvoorbeeld door een regelgevende of toezichthoudende instantie zijn gespecificeerd. Wanneer de beschrijving inderdaad aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie bevat, identificeert de beschrijving separaat die interne beheersingsmaatregelen samen met de specifieke interne beheersingsdoelstellingen die niet alleen door de serviceorganisatie bereikt kunnen worden;
- indien er van de opname methode (inclusive methode) gebruik is gemaakt, identificeert de beschrijving dan separaat interne beheersingsmaatregelen bij de serviceorganisatie en interne beheersingsmaatregelen bij de subserviceorganisatie? Indien er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, identificeert de beschrijving de functies die door de subserviceorganisatie zijn uitgevoerd? Wanneer er van de uitsluitingmethode (carve-out methode) gebruik is gemaakt, hoeft de beschrijving niet de gedetailleerde verwerking of interne beheersingsmaatregelen bij de subserviceorganisatie te beschrijven.
- het in overweging nemen van de aard van gebruikersorganisaties en op welke wijze de diensten die door de serviceorganisatie zijn verleend deze waarschijnlijk beïnvloeden, bijvoorbeeld of gebruikersorganisaties afkomstig zijn uit een bepaalde sector en of zij door instanties binnen de overheid worden gereguleerd;
- het lezen van standaardcontracten, of standaardvoorwaarden van contracten, (indien van toepassing) met gebruikersorganisaties om inzicht te krijgen in de contractuele verplichtingen van de serviceorganisatie;
- het waarnemen van procedures die door het personeel van de serviceorganisatie zijn uitgevoerd;
- het beoordelen van handleidingen met beleidslijnen en procedures en overige documentatie van de systemen zoals stroomschema's en beschrijvingen.
- zijn de vermelde interne beheersingsdoelstellingen aangegeven door de serviceorganisatie of door externe partijen zoals een regelgevende of toezichthoudende instantie, een gebruikersgroep of een beroepsorganisatie die een transparant zorgvuldig proces volgt?
- waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, houden zij daar verband met de soorten beweringen die doorgaans zijn vastgelegd in de financiële overzichten van een brede groep gebruikersorganisaties waarmee, naar redelijke verwachting, de interne beheersingsmaatregelen bij de serviceorganisatie verband houden? Alhoewel de accountant van de serviceorganisatie doorgaans niet in staat is te bepalen op welke wijze interne beheersingsmaatregelen bij een serviceorganisatie specifiek verband houden met de beweringen die in de financiële overzichten van individuele gebruikersorganisaties zijn vastgelegd, wordt gebruik gemaakt van het inzicht van de accountant van de serviceorganisatie in de aard van het systeem van de serviceorganisatie, met inbegrip van interne beheersingsmaatregelen, en in verleende diensten om de soorten beweringen te onderkennen waarmee de interne beheersingsmaatregelen waarschijnlijk verband houden;
- waar de vermelde interne beheersingsdoelstellingen door de serviceorganisatie zijn gespecificeerd, zijn zij daar volledig? Een complete set van interne beheersingsdoelstellingen kan aan een brede groep van accountants van de gebruiker een stelsel verschaffen om het effect van interne beheersingsmaatregelen bij de serviceorganisatie op de beweringen te beoordelen die doorgaans in de financiële overzichten van de gebruikersorganisaties zijn vastgelegd.
Het verkrijgen van assurance informatie met betrekking tot de opzet van interne beheersingsmaatregelen
(Zie Par. 23 en 28(b))
Het verkrijgen van assurance informatie met betrekking tot de werking van de interne beheersingsmaatregelen
Het vaststellen van de werking
(Zie Par. 24)
Het toetsen van indirecte beheersingsmaatregelen
(Zie Par. 25(b))
Manieren om elementen voor het toetsen te selecteren
(Zie Par. 25(c) en 27)
- het selecteren van alle elementen (100% onderzoek). Dit kan geschikt zijn bij het toetsen van interne beheersingsmaatregelen die niet frequent worden toegepast, ieder kwartaal bijvoorbeeld, of wanneer assurance-informatie met betrekking tot het toepassen van de interne beheersingsmaatregel het onderzoek 100% effectief maakt;
- het selecteren van specifieke elementen. Dit kan van toepassing zijn waar 100% onderzoek niet efficiënt zou zijn en een steekproef niet effectief zou zijn, zoals bij het toetsen van interne beheersingsmaatregelen die niet afdoende frequent zijn toegepast om een grote populatie voor een steekproef op te leveren, zoals interne beheersingsmaatregelen die maandelijks of wekelijks worden toegepast; en
- het gebruiken van steekproeven. Dit kan van toepassing zijn bij het toetsen van interne beheersingsmaatregelen die frequent op een uniforme manier worden toegepast en die via documenten onderbouwde informatie van hun toepassing achterlaten.
De werkzaamheden van een interne auditfunctie
Het verwerven van inzicht in de interne auditfunctie
(Zie Par. 30)
Bepalen of en in welke mate er van de werkzaamheden van de interne auditors gebruik kan worden gemaakt
(Zie Par. 33)
- de aard en de reikwijdte van de door de interne auditors uitgevoerde, of nog uit te voeren, specifieke werkzaamheden, is nogal beperkt;
- de werkzaamheden van de interne auditors die verband houden met interne beheersingsmaatregelen die voor de conclusies van de accountant van de serviceorganisatie minder significant zijn;
- op grond van de werkzaamheden die door de interne auditors zijn uitgevoerd, of nog uitgevoerd moeten worden, worden geen subjectieve of complexe oordelen vereist.
Gebruik maken van de werkzaamheden van de interne auditfunctie
(Zie Par. 34)
- het onderzoeken van elementen die reeds door de interne auditors zijn onderzocht;
- het onderzoeken van andere soortgelijke elementen; en
- het observeren van werkzaamheden die door de interne auditors zijn uitgevoerd.
Het effect op het assurance-rapport van de accountant van de serviceorganisatie
- door introductiemateriaal op te nemen in de beschrijving van de toetsing van interne beheersingsmaatregelen die erop wijst dat er van bepaalde werkzaamheden van de interne auditfunctie gebruik werd gemaakt bij het uitvoeren van toetsingen van interne beheersingsmaatregelen;
- de toeschrijving van individuele toetsingen aan de interne auditafdeling.
Schriftelijke bevestigingen
(Zie Par. 38 en 40)
Andere informatie
(Zie Par. 42)
- een materieel onjuiste of misleidende vermelding bevat;
- onzorgvuldig verschafte vermeldingen of informatie bevat; of
- informatie weglaat of verbergt waarvan is vereist dat die informatie is toegevoegd waar een dergelijke weglating of verberging misleidend zou kunnen zijn.
Indien overige informatie die bij een document is ingesloten dat de beschrijving van de serviceorganisatie van haar systeem bevat en het assurance-rapport van de accountant van de serviceorganisatie toekomstgerichte informatie bevat zoals herstel en uitwijk, rampen (bestrijdings) -plannen of plannen voor aanpassingen aan het systeem die zullen inspelen op deviaties die in het assurance-rapport van de accountant van de serviceorganisatie zijn geïdentificeerd of claims van een promotionele aard die niet op een aanvaardbare manier kunnen worden gestaafd, kan de accountant van de serviceorganisatie erom verzoeken dat die informatie wordt verwijderd of wordt aangepast.
- de serviceorganisatie verzoeken om met haar juridische adviseurs overleg te plegen met betrekking tot de handelswijzen;
- het beschrijven van de van materieel belang zijnde inconsistentie of afwijking van materieel belang van feiten in het assurance-rapport;
- het niet verstrekken van het assurance-rapport totdat de aangelegenheid is opgelost;
- de opdracht teruggeven.
Documentatie
(Zie Par. 51)
Het opstellen van het assurance-rapport van de accountant van de serviceorganisatie
Inhoud van het assurance-rapport van de accountant van de serviceorganisatie
(Zie Par. 53)
Beoogde gebruikers en doeleinden van het assurnance-rapport van de accountant van de serviceorganisatie
(Zie Par. 53(e))
Beschrijving van de toetsingen van interne beheersingsmaatregelen
(Zie Par. 54)
- de resultaten van alle toetsingen waar deviaties zijn geïdentificeerd, zelfs als er overige interne beheersingsmaatregelen zijn geïdentificeerd die de accountant van de serviceorganisatie in staat stellen te concluderen dat de relevante interne beheersingsdoelstelling is bereikt of de getoetste interne beheersingsmaatregel nadien van de beschrijving van de serviceorganisatie van haar systeem is verwijderd;
- informatie over de veroorzakende factoren van geïdentificeerde deviaties, tot de mate waarin de accountant van de serviceorganisatie die factoren heeft geïdentificeerd.
Aangepaste oordelen
(Zie Par. 55)
Overige communicatieverantwoordelijkheden
- het verkrijgen van juridisch advies over de consequenties van verschillende handelswijzen;
- communicatie met de met governance belaste personen van de serviceorganisatie;
- bepalen of communicatie met derden nodig is (bijv. wet- en regelgeving of relevante ethische voorschriften kunnen van de accountant van de serviceorganisatie vereisen om te rapporteren aan een bevoegde instantie buiten de entiteit of aan de accountant van de jaarrekening van de serviceorganisatie , of verantwoordelijkheden vaststellen waaronder een dergelijke rapportage als dit passend is in de omstandigheden);
- het aanpassen van het oordeel van de accountant van de serviceorganisatie of het toevoegen van een paragraaf inzake overige aangelegenheden;
- het teruggeven van de opdracht.
Bijlage 1: Voorbeeld van de vermeldingen van de serviceorganisatie
(Zie Par. A47)
De volgende voorbeelden van de vermeldingen van een serviceorganisatie zijn bestemd als leidraden en dienen niet op uitputtende wijze te worden gebruikt en zijn niet op alle situaties van toepassing.
Voorbeeld 1: 'Type 2' vermelding van een serviceorganisatie
Vermelding door een serviceorganisatie
De bijgaande beschrijving is voor cliënten opgesteld die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden uitgevoerd, te beschouwen wanneer zij de risico's van afwijkingen van materieel belang van de financiële overzichten van de cliënten inschatten. [Naam van de entiteit] bevestigt dat:
- de bijgaande beschrijving op de pagina's [bb-cc] het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode van [datum] tot [datum] getrouw weergeeft. De criteria waarvan gebruik wordt gemaakt bij het maken van deze vermelding hielden in dat de bijgaande beschrijving:
- weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:
- de soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval de verwerkte transactiestromen;
- de procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld;
- de verbonden administratie, de ondersteunende informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initiëren, te verwerken en vast te leggen; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld;
- op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld;
- het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten;
- relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken;
- interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikersorganisaties zouden worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden bereikt, zijn onderkend;
- overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen in het kader van het monitoren die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten.
- relevante details bevat van wijzigingen in het systeem van de serviceorganisatie gedurende de verslagperiode van [datum] tot [datum];
- geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt in diens eigen bijzonder omgeving belangrijk kan achten.
- weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:
- de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet en gedurende de verslagperiode van [datum] tot [datum] effectief werkten. De criteria waarvan bij het maken van deze vermelding gebruik werd gemaakt hielden in dat:
- de risico's die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld in gevaar brengen, werden onderkend;
- de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen; en
- de interne beheersingsmaatregelen gedurende de verslagperiode van [datum] tot [datum] consistent zijn toegepast zoals opgezet, met inbegrip ervan dat handmatige interne beheersingsmaatregelen zijn toegepast door personen die de geschikte competentie en bevoegdheid hebben.
Voorbeeld 2: 'Type 1' vermelding van een serviceorganisatie
De bijgaande beschrijving is opgesteld voor cliënten die gebruik hebben gemaakt van het [het soort of de naam van] systeem en voor hun accountants die voldoende inzicht hebben om de beschrijving te beschouwen, samen met overige informatie met inbegrip van informatie over interne beheersingsmaatregelen die door de cliënten zelf worden beheerd, wanneer zij inzicht verwerven in de informatiesystemen van cliënten die relevant zijn voor financiële verslaggeving. [Naam van de entiteit] bevestigt dat:
- de bijgaande beschrijving op de pagina's [bb-cc] geeft het [het soort of de naam van] systeem voor het verwerken van de transacties van de cliënten gedurende de verslagperiode op [datum] getrouw weer. De criteria waarvan gebruik wordt gemaakt bij het maken van deze vermelding hielden in dat de bijgaande beschrijving:
- weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:
- de soorten diensten die verleend zijn, met inbegrip van, in voorkomend geval, de verwerkte transactiestromen;
- de procedures, binnen zowel informatietechnologie als handmatige systemen, waardoor die transacties werden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd voor zover noodzakelijk en overgebracht naar de rapportages die voor de cliënten zijn opgesteld;
- de verbonden administratie, die de informatie en specifieke rekeningen waarvan gebruik is gemaakt om transacties te initiëren, verwerken, vast te leggen en rapporteren; dit houdt onder meer het corrigeren van incorrecte informatie in en op welke wijze informatie is overgedragen naar de rapportages die voor de cliënten zijn opgesteld;
- op welke wijze het systeem de significante gebeurtenissen en omstandigheden, buiten de transacties, heeft behandeld;
- het proces waarvan gebruik werd gemaakt bij het opstellen van rapportages voor cliënten;
- relevante interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgezet om die doelstellingen te bereiken;
- interne beheersingsmaatregelen waarvan wij, bij de opzet van het systeem, aannamen dat zij door gebruikersorganisaties zouden worden geïmplementeerd en die, indien noodzakelijk om de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld te bereiken, samen met de specifieke interne beheersingsdoelstellingen die niet alleen door onszelf kunnen worden bereikt zijn onderkend;
- overige aspecten van onze beheersingsomgeving, het risico-inschattingsproces, het informatiesysteem (met inbegrip van het verbonden bedrijfsproces) en communicatie, beheersingsactiviteiten en interne beheersingsmaatregelen betreffende monitoring die relevant zijn voor het verwerken en het rapporteren van de transacties van de cliënten.
- geen informatie weglaat of verkeerd voorstelt die relevant is voor de reikwijdte van het systeem dat is beschreven terwijl erkend wordt dat de beschrijving is opgesteld om te voldoen aan de algemene behoeftes van een brede groep gebruikers en hun accountants en daarom niet ieder aspect van het systeem kan bevatten dat iedere individuele cliënt in diens eigen bijzondere omgeving belangrijk kan achten;
- weergeeft op welke wijze het systeem is opgezet en geïmplementeerd, met inbegrip van:
- de interne beheersingsmaatregelen die verband houden met de interne beheersingsdoelstellingen die in de bijgaande beschrijving staan vermeld op afdoende wijze zijn opgezet, op [datum]. De criteria waarvan bij het maken van deze vermelding gebruik werd gemaakt hielden in dat:
- de risico's die het bereiken van de interne beheersingsdoelstellingen die in de beschrijving staan vermeld in gevaar brengen, werden onderkend; en
- de onderkende interne beheersingsmaatregelen, indien zij werkzaam zijn zoals beschreven, een redelijke mate van zekerheid zouden verschaffen dat die risico's het bereiken van de vermelde interne beheersingsdoelstellingen niet zouden verhinderen.
Bijlage 2: Voorbeelden van de assurance-rapporten van de accountant van de serviceorganisatie
(Zie Par. A47)
Voor voorbeeldteksten van assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie wordt verwezen naar HRA deel 3.
Bijlage 3: Voorbeelden van aangepaste assurance-rapporten van de accountant van de serviceorganisatie
(Zie Par. A50)
Voor voorbeeldteksten van assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie wordt verwezen naar HRA deel 3.