Inleiding

Toepassingsgebied van deze Standaard

1

Deze Standaard behandelt de verantwoordelijkheid van de accountant van de gebruiker voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een gebruikende entiteit gebruik maakt van de diensten van één of meer serviceorganisaties. Het weidt in het bijzonder uit over hoe de accountant van de gebruiker Standaard 315Standaard 315, Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving. en Standaard 330Standaard 330, Inspelen door de accountant op ingeschatte risico’s. toepast bij het verwerven van een inzicht in de gebruikende entiteit, met inbegrip van de interne beheersing die relevant is voor de controle, dat voldoende is voor het onderkennen en inschatten van de risico’s van een afwijking van materieel belang en voor het opzetten en uitvoeren van verdere controlewerkzaamheden die op die risico’s inspelen, op te zetten en uit te voeren.

2

Veel entiteiten besteden aspecten van hun bedrijfsvoering uit aan organisaties die diensten verlenen variërend van de uitvoering van een specifieke taak onder de leiding van de entiteit tot de vervanging van volledige bedrijfsonderdelen of bedrijfsfuncties van de entiteit, zoals de fiscale compliance functie. Veel van de diensten die door dergelijke organisaties worden verleend, vormen een integrerend onderdeel van de bedrijfsactiviteiten van de entiteit; niet al deze diensten zijn echter relevant voor de controle.

3

Diensten die door een serviceorganisatie worden verleend, zijn relevant voor de controle van de financiële overzichten van een gebruikersorganisatie wanneer die diensten, en de desbetreffende interne beheersingsmaatregelen, deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van de gebruikersorganisatie, met inbegrip van daarmee verband houdende bedrijfsprocessen. Hoewel de meeste interne beheersingsmaatregelen bij de serviceorganisatie waarschijnlijk betrekking hebben op financiële verslaggeving, kunnen er andere interne beheersingsmaatregelen voorhanden zijn die ook relevant zijn voor de controle, zoals de interne beheersing met betrekking tot de bescherming van activa. De diensten van een serviceorganisatie maken deel uit van het voor de financiële verslaggeving relevante informatiesysteem van een gebruikersorganisatie, met inbegrip van daarmee verband houdende bedrijfsprocessen, indien zij invloed hebben op een of meer van de volgende aspecten:

  1. de transactiestromen in de activiteiten van de gebruikersorganisatie die significant zijn voor de financiële overzichten van de gebruikersorganisatie;

  2. de procedures, zowel in IT-systemen als in de handmatige systemen, waardoor de transacties van de gebruikersorganisatie tot stand worden gebracht, vastgelegd, verwerkt, naargelang nodig gecorrigeerd, overgenomen in het grootboek en in de financiële overzichten gerapporteerd;

  3. de daarmee verband houdende administratieve vastleggingen, in elektronische dan wel in handmatige vorm, onderbouwende informatie en specifieke in de financiële overzichten van de gebruikersorganisatie opgenomen rekeningen die voor het tot stand brengen, vastleggen, verwerken en rapporteren van transacties van de gebruikersorganisatie worden gebruikt; dit omvat de correctie van onjuiste informatie en de wijze waarop informatie in het grootboek wordt verwerkt;

  4. de wijze waarop in het informatiesysteem van de gebruikersorganisatie gebeurtenissen en omstandigheden, uitgezonderd transacties, die significant zijn voor de financiële overzichten, worden vastgelegd;

  5. het proces van financiële verslaggeving dat wordt gebruikt om de financiële overzichten van de gebruikersorganisatie op te stellen, met inbegrip van significante schattingen en toelichtingen; en

  6. interne beheersingsmaatregelen met betrekking tot journaalboekingen, met inbegrip van journaalboekingen die geen standaardjournaalboekingen zijn en worden gebruikt om eenmalige, ongebruikelijke transacties of correcties vast te leggen.

4

De aard en de omvang van de werkzaamheden die de accountant van de gebruikersorganisatie moet uitvoeren met betrekking tot de door een serviceorganisatie verleende diensten, zijn afhankelijk van de aard en de significantie van die diensten voor de gebruikersorganisatie en van de relevantie van die diensten voor de controle.

5

Deze Standaard is niet van toepassing op diensten van financiële instellingen die beperkt blijven tot het verwerken, op een bij die financiële instelling door de entiteit aangehouden rekening, van transacties die specifiek door de entiteit worden geautoriseerd, zoals het verwerken van transacties op de lopende rekening door een bank of het verwerken van effectentransacties door een effectenmakelaar. Deze Standaard is ook niet van toepassing op de controle van transacties die voortvloeien uit eigendomsbelangen in andere entiteiten zoals maatschappen, vennootschappen en joint ventures, wanneer de eigendomsbelangen administratief zijn verwerkt en aan de belanghebbenden zijn gemeld.

Ingangsdatum

6

Voor de ingangsdatum wordt verwezen naar de slotbepalingen.

Doelstellingen

7

De doelstellingen van de accountant van de gebruikersorganisatie, wanneer die gebruikersorganisatie gebruikmaakt van de diensten van een serviceorganisatie zijn:

  1. het verwerven van een inzicht in de aard en de significantie van de door de serviceorganisatie verleende diensten en in het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt om de risico’s op een afwijking van materieel belang te identificeren en in te schatten; en

  2. het opzetten en uitvoeren van controlewerkzaamheden die op die risico’s inspelen.

Definities

8

Voor de toepassing van de Standaarden hebben onderstaande termen de volgende betekenis:

  1. aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie - Interne beheersingsmaatregelen waarvan de serviceorganisatie, bij het opzetten van de dienst, aanneemt dat zij door de gebruikersorganisatie zullen worden geïmplementeerd en die zij in de beschrijving van haar systeem vermeldt indien ze noodzakelijk zijn om interne beheersingsdoelstellingen te bereiken;

  2. rapport over de beschrijving en de opzet van interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 402 ‘type 1 rapport’ genoemd) - Een rapport dat bestaat uit:

  3. een door het management van de serviceorganisatie opgestelde beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen die op een gegeven datum opgezet en geïmplementeerd zijn; en

  4. een rapport van de accountant van de serviceorganisatie dat ertoe strekt een redelijke mate van zekerheid te verschaffen en waarin hij zijn oordeel geeft over de beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen en over de geschiktheid van de opzet van de interne beheersingsmaatregelen voor het bereiken van de gespecificeerde interne beheersingsdoelstellingen.

  5. rapport over de beschrijving, opzet en werking van interne beheersingsmaatregelen bij een serviceorganisatie (in deze Standaard 402 ‘type 2rapport’ genoemd) - Een rapport dat bestaat uit:

  6. een door het management van de serviceorganisatie opgestelde beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen, de opzet en de implementatie ervan op een gegeven datum of gedurende een gegeven periode, en in bepaalde gevallen de effectieve werking ervan gedurende een gegeven periode; en

  7. een rapport van de accountant van de serviceorganisatie dat ertoe strekt een redelijke mate van zekerheid te verschaffen en waarin hij:

    1. zijn oordeel geeft over de beschrijving van het systeem van de serviceorganisatie, van de interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen, over de geschiktheid van de opzet van de interne beheersingsmaatregelen voor het bereiken van de gespecificeerde interne beheersingsdoelstellingen alsmede over de effectieve werking van de interne beheersingsmaatregelen; en

    2. een beschrijving geeft van de toetsingen van de interne beheersingsmaatregelen die hij heeft verricht en de resultaten daarvan.

  8. accountant van de serviceorganisatie - Een accountant die, op verzoek van de serviceorganisatie, een assurancerapport uitbrengt over de interne beheersingsmaatregelen van die organisatie;

  9. serviceorganisatie - Een derde organisatie (of onderdeel van een derde organisatie) die diensten verleent aan gebruikersorganisaties, welke diensten deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van die gebruikersorganisaties;

  10. systeem van een serviceorganisatie - De beleidslijnen en procedures die door de serviceorganisatie zijn opgezet, geïmplementeerd en onderhouden om gebruikersorganisaties de diensten te verlenen die door het assurance-rapport van de accountant van de serviceorganisatie worden omvat;

  11. subserviceorganisatie - Een serviceorganisatie die door een andere serviceorganisatie wordt gebruikt sommige diensten uit te voeren die aan gebruikersorganisaties worden verleend , welke diensten deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem van die gebruikersorganisaties;

  12. accountant van de gebruikersorganisatie - Een accountant die de financiële overzichten van een gebruikersorganisatie controleert en daarover verslag uitbrengt;

  13. gebruikersorganisatie - Een entiteit die gebruikmaakt van een serviceorganisatie en waarvan de financiële overzichten worden gecontroleerd.

Vereisten

Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie met inbegrip van de interne beheersing

9

Bij het verwerven van inzicht in de gebruikersorganisatie overeenkomstig Standaard 315 Standaard 315, paragraaf 11. dient de accountant van de gebruikersorganisatie inzicht te verwerven in de wijze waarop die organisatie bij haar activiteiten gebruikmaakt van de diensten van een serviceorganisatie, waaronder: (Zie Par. A1, A2)

  1. de aard van de diensten die door de serviceorganisatie worden verleend en de significantie van die diensten voor de gebruikersorganisatie, met inbegrip van het effect ervan op de interne beheersing van de gebruikersorganisatie; (Zie Par. A3, A4 en A5)

  2. de aard en de materialiteit van de verwerkte transacties, rekeningen of financiële verslaggevingsprocessen waarop de serviceorganisatie invloed heeft; (Zie Par. A6)

  3. de mate waarin er interactie bestaat tussen de activiteiten van de serviceorganisatie en die van de gebruikersorganisatie; en (Zie Par. A7)

  4. de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie, met inbegrip van de relevante contractuele voorwaarden betreffende de door de serviceorganisatie uitgevoerde werkzaamheden. (Zie Par. A8, A9, A10 en A11)

10

Bij het verwerven van inzicht in de voor de controle relevante interne beheersing overeenkomstig Standaard 315 Standaard 315, paragraaf 12. dient de accountant van de gebruikersorganisatie een evaluatie te verrichten van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten, met inbegrip van de maatregelen die worden toegepast op de door de serviceorganisatie verwerkte transacties. (Zie Par. A12, A13 en A14)

11

De accountant van de gebruikersorganisatie dient te bepalen of hij een toereikend inzicht heeft verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt de risico’s op een afwijking van materieel belang te identificeren en in te schatten.

12

Wanneer de accountant van de gebruikersorganisatie geen toereikend inzicht kan verwerven via de gebruikersorganisatie, dient hij dit inzicht te verwerven via een of meer van de volgende werkzaamheden:

  1. het verkrijgen van een type 1- of type 2-rapport, indien beschikbaar;

  2. het opnemen van contact met de serviceorganisatie, via de gebruikersorganisatie, om specifieke informatie te verkrijgen;

  3. het bezoeken van de serviceorganisatie en het uitvoeren van werkzaamheden die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie; of

  4. het gebruikmaken van een andere accountant om werkzaamheden te laten uitvoeren die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie. (Zie Par. A15, A16, A17, A18, A19 en A20)

Gebruik van een type 1- of type 2-rapport door de accountant van de gebruikersorganisatie om zijn inzicht in de serviceorganisatie te ondersteunen

13

Bij het bepalen of de controle-informatie in een type 1- of type 2-rapport voldoende en geschikt is, dient de accountant van de gebruikersorganisatie ervan overtuigd te zijn dat:

  1. de accountant van de serviceorganisatie vakbekwaam is en onafhankelijk van de serviceorganisatie; en

  2. de standaarden op basis waarvan het type 1- of type 2-rapport is uitgebracht, adequaat zijn. (Zie Par. A21)

14

Wanneer de accountant van de gebruiker van plan is om een type 1- of type 2-rapport te gebruiken als controle-informatie teneinde het inzicht van de accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen, dient hij:

  1. te evalueren of de beschrijving en de opzet van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden;

  2. te evalueren of de informatie in het rapport voldoende en geschikt is om inzicht te verwerven in de voor de controle relevante interne beheersing van de gebruikersorganisatie; en

  3. te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven wat betreft vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd. (Zie Par. A22, A23)

Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang

15

Bij het inspelen op ingeschatte risico’s overeenkomstig Standaard 330 dient de accountant van de gebruikersorganisatie:

  1. te bepalen of er voldoende en geschikte controle-informatie over de relevante in de financiële overzichten opgenomen beweringen beschikbaar is op basis van vastleggingen bij de gebruikersorganisatie; en, zo niet,

  2. verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controle-informatie te verkrijgen dan wel gebruik te maken van een andere accountant om die werkzaamheden namens hem bij de serviceorganisatie te laten uitvoeren. (Zie Par. A24, A25, A26, A27 en A28A28)

Toetsingen van interne beheersingsmaatregelen

16

Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden:

  1. het verkrijgen van een type 2-rapport, indien beschikbaar;

  2. het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of

  3. het gebruikmaken van een andere accountant om namens hem toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten. (Zie Par. A29 en A30)

Gebruik van een type 2-rapport als controle-informatie voor de effectieve werking van interne beheersingsmaatregelen bij de serviceorganisatie

17

Indien de accountant van de gebruikersorganisatie overeenkomstig paragraaf 16(a) van plan is een type 2-rapport te gebruiken als controle-informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie, dient hij na te gaan of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door:

  1. te evalueren of de beschrijving, de opzet en de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden;

  2. te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven in de vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de effectieve werking ervan te toetsen;

  3. te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en

  4. te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen. (Zie Par. A31, A32, A33, A34, A35, A36, A37, A38 en A39)

Type 1- en type 2-rapporten waarin de diensten van een subserviceorganisatie worden uitgesloten

18

Indien de accountant van de gebruikersorganisatie van plan is gebruik te maken van een type 1- of type 2-rapport waarin de diensten van een subserviceorganisatie worden uitgesloten en die diensten zijn relevant voor de controle van de financiële overzichten van de gebruikersorganisatie, dient hij de vereisten van deze Standaard toe te passen met betrekking tot de door de subserviceorganisatie verleende diensten. (Zie Par. A40)

Fraude, niet-naleving van wet- en regelgeving en niet-gecorrigeerde afwijkingen met betrekking tot activiteiten bij de serviceorganisatie

19

De accountant van de gebruikersorganisatie dient bij het management van deze organisatie inlichtingen in te winnen over de vraag of de serviceorganisatie haar melding heeft gedaan, dan wel of zij anderszins kennis heeft, van fraude, niet-naleving van wet- en regelgeving of niet-gecorrigeerde afwijkingen die op de financiële overzichten van de gebruikersorganisatie van invloed zijn. De accountant van de gebruikersorganisatie dient te evalueren op welke wijze dergelijke aangelegenheden invloed hebben op de aard, timing en omvang van zijn verdere controlewerkzaamheden, met inbegrip van het effect op zijn conclusies en op zijn controleverklaring. (Zie Par. A41)

Rapportage door de accountant van de gebruikersorganisatie

20

De accountant van de gebruikersorganisatie dient het oordeel in zijn controleverklaring overeenkomstig Standaard 705 Standaard 705, Aanpassingen van het oordeel in de controleverklaring van de onafhankelijke accountant, paragraaf 6. aan te passen indien hij niet in staat is om voldoende en geschikte controle-informatie te verkrijgen over de diensten die door de serviceorganisatie worden verleend en die relevant zijn voor de controle van de financiële overzichten van de gebruikersorganisatie. (Zie Par. A42)

21

De accountant van de gebruikersorganisatie dient in zijn controleverklaring waarin een goedkeurend oordeel is opgenomen, niet naar de door een accountant van een serviceorganisatie uitgevoerde werkzaamheden te verwijzen, tenzij dit wordt vereist door wet- of regelgeving. Wanneer een dergelijke verwijzing door wet- en regelgeving wordt vereist, dient de accountant van de gebruikersorganisatie in zijn controleverklaring te vermelden dat die verwijzing niets afdoet aan zijn verantwoordelijkheid voor zijn controleoordeel. (Zie Par. A43)

22

Wanneer een verwijzing naar de door een accountant van een serviceorganisatie uitgevoerde werkzaamheden relevant is voor een inzicht in een aanpassing van het oordeel van de accountant van de gebruikersorganisatie, dient de accountant van de gebruikersorganisatie in zijn controleverklaring te vermelden dat die verwijzing niets afdoet aan zijn verantwoordelijkheid voor dat oordeel. (Zie Par. A44)

Toepassingsgerichte en overige verklarende teksten

Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie, met inbegrip van de interne beheersing

Bronnen van informatie

(Zie Par. 9)

A1

Informatie over de aard van de door een serviceorganisatie verleende diensten kan uit een breed scala aan bronnen worden verkregen, zoals:

  • gebruikershandleidingen;

  • systeemoverzichten;

  • technische handleidingen;

  • het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de serviceorganisatie;

  • rapporten van serviceorganisaties, de interne auditfunctie of regelgevende of toezichthoudende instanties over interne beheersingsmaatregelen bij de serviceorganisatie;

  • rapporten van de accountant van de serviceorganisatie, met inbegrip van managementletters, indien beschikbaar.

A2

Kennis verkregen uit de ervaring die de accountant van de gebruikersorganisatie met de serviceorganisatie heeft, bijvoorbeeld via andere controleopdrachten, kan ook nuttig zijn om inzicht te verwerven in de aard van de door de serviceorganisatie verleende diensten. Dit kan met name nuttig zijn als de diensten en de desbetreffende interne beheersingsmaatregelen bij de serviceorganisatie in hoge mate gestandaardiseerd zijn.

Aard van de door de serviceorganisatie verleende diensten

(Zie Par. 9(a))

A3

Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie zoals een organisatie die transacties verwerkt en de daarmee verband houdende verantwoordingsplicht handhaaft of die transacties vastlegt en daaraan gerelateerde gegevens verwerkt. Onder serviceorganisaties die dergelijke diensten verlenen, vallen bijvoorbeeld trustafdelingen van banken die activa voor beloningsregelingen voor het personeel of voor anderen beleggen en beheren, hypotheekbankiers die hypotheken voor anderen beheren, en application service providers die softwarepakketten en een technische infrastructuur ter beschikking stellen zodat cliënten financiële en operationele transacties kunnen verwerken.

A4

Voorbeelden van voor de controle relevante diensten van een serviceorganisatie zijn:

  • het bijhouden van de administratieve vastleggingen van de gebruikersorganisatie;

  • het beheren van activa;

  • het als tussenpersoon voor de gebruikersorganisatie tot stand brengen, vastleggen of verwerken van transacties.

Specifiek voor kleinere entiteiten geldende overwegingen

A5

Kleinere entiteiten kunnen gebruikmaken van externe boekhoudkundige diensten variërend van het verwerken van bepaalde transacties (bijvoorbeeld de betaling van loonbelasting) en het bijhouden van de administratieve vastleggingen tot het opstellen van financiële overzichten. Wanneer een kleinere entiteit gebruikmaakt van een dergelijke serviceorganisatie om haar financiële overzichten op te stellen, ontheft dit haar management en, in voorkomend geval, de met governance belaste personen niet van hun verantwoordelijkheden voor de financiële overzichten.Standaard 200, Algehele doelstellingen van de onafhankelijke accountant, alsmede het uitvoeren van een controle overeenkomstig de Standaarden, paragraaf 4, A2 en A3.

Aard en materialiteit van door de serviceorganisatie verwerkte transacties

(Zie Par. 9 (b))

A6

Een serviceorganisatie kan beleidslijnen en procedures vaststellen die van invloed zijn op de interne beheersing van de gebruikersorganisatie. Deze beleidslijnen en procedures staan ten minste gedeeltelijk fysiek en operationeel apart van de gebruikersorganisatie. De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt af van de aard van de door de serviceorganisatie verleende diensten, met inbegrip van de aard en de materialiteit van de transacties die zij voor de gebruikersorganisatie verwerkt. In bepaalde situaties kunnen de door de serviceorganisatie verwerkte transacties en de daardoor beïnvloede rekeningen niet van materieel belang lijken te zijn voor de financiële overzichten van de gebruikersorganisatie, maar de aard van de verwerkte transacties kan significant zijn en de accountant van de gebruikersorganisatie kan bepalen dat inzicht in die interne beheersingsmaatregelen in de omstandigheden noodzakelijk is.

Mate van interactie tussen de activiteiten van de serviceorganisatie en de gebruikersorganisatie

(Zie Par. 9(c))

A7

De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt ook af van de mate van interactie tussen de activiteiten van beide organisaties. De mate van interactie verwijst naar in hoeverre de gebruikersorganisatie effectieve interne beheersingsmaatregelen voor de door de serviceorganisatie uitgevoerde verwerking kan toepassen en daadwerkelijk implementeert. Zo bestaat er een hoge mate van interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie wanneer de gebruikersorganisatie transacties autoriseert en de serviceorganisatie die transacties verwerkt en de administratieve verwerking ervan verzorgt. In deze omstandigheden kan het voor de gebruikersorganisatie praktisch uitvoerbaar zijn om effectieve interne beheersingsmaatregelen te implementeren voor die transacties. Wanneer de serviceorganisatie daarentegen transacties voor de gebruikersorganisatie tot stand brengt, of die transacties aanvankelijk vastlegt, verwerkt en de administratieve verwerking ervan verzorgt, is er een kleinere mate van interactie tussen de twee organisaties. In deze omstandigheden kan de gebruikersorganisatie niet in staat zijn om binnen de eigen organisatie effectieve interne beheersingsmaatregelen toe te passen voor deze transacties, of kan zij ervoor kiezen dit niet te doen, en kan zij steunen op interne beheersingsmaatregelen bij de serviceorganisatie.

Aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie

(Zie Par. 9(d))

A8

Het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de serviceorganisatie kan aangelegenheden regelen zoals:

  • de aan de gebruikersorganisatie te verstrekken informatie en de verantwoordelijkheden voor het tot stand brengen van transacties die betrekking hebben op de door de serviceorganisatie uitgevoerde activiteiten;

  • het toepassen van vereisten van regelgevende of toezichthoudende instanties die betrekking hebben op de vorm van of de toegang tot te bewaren vastleggingen;

  • de eventuele schadeloosstelling die aan de gebruikersorganisatie moet worden betaald in het geval van een tekortschietende uitvoering;

  • of de serviceorganisatie een rapport zal uitbrengen over haar interne beheersingsmaatregelen en, zo ja, of een dergelijk rapport een type 1- of een type 2-rapport zal zijn;

  • of de accountant van de gebruikersorganisatie het recht heeft op toegang tot de administratieve vastleggingen van de gebruikersorganisatie die door de serviceorganisatie wordt bijgehouden, alsmede tot andere informatie die noodzakelijk is voor het uitvoeren van de controle; en

  • of de overeenkomst directe communicatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie toestaat.

A9

Er bestaat een directe relatie tussen de serviceorganisatie en de gebruikersorganisatie en tussen de serviceorganisatie en de accountant van de serviceorganisatie. Deze relaties creëren niet noodzakelijk een directe relatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie. Wanneer er geen directe relatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie bestaat, verloopt de communicatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie gewoonlijk via de gebruikersorganisatie en de serviceorganisatie. Er kan ook een directe relatie worden gecreëerd tussen een accountant van een gebruikersorganisatie en een accountant van een serviceorganisatie, met inachtneming van de toepasselijke ethische en geheimhoudingsoverwegingen. Een accountant van een gebruikersorganisatie kan bijvoorbeeld gebruikmaken van een accountant van een serviceorganisatie om namens hem werkzaamheden uit te voeren zoals:

  1. toetsingen van interne beheersingsmaatregelen van de serviceorganisatie; of

  2. gegevensgerichte controles met betrekking tot de door een serviceorganisatie bijgehouden transacties en saldi in de financiële overzichten van de gebruikersorganisatie.

Overwegingen die specifiek voor entiteiten in de publieke sector gelden

A10

Accountants in de publieke sector hebben over het algemeen ruime toegangsrechten die bij wet zijn vastgesteld. Er kunnen zich echter situaties voordoen waarin van dergelijke toegangsrechten geen gebruik kan worden gemaakt, bijvoorbeeld wanneer de serviceorganisatie in een ander rechtsgebied is gevestigd. In dergelijke gevallen kan een accountant in de publieke sector het noodzakelijk vinden om inzicht te verwerven in de wetgeving die van toepassing is in het andere rechtsgebied om na te gaan of passende toegangsrechten kunnen worden verkregen. Een accountant in de publieke sector kan ook toegangsrechten verkrijgen krachtens, of aan de gebruikersorganisatie vragen om deze op te nemen in, een contractuele overeenkomst tussen de gebruikersorganisatie en de serviceorganisatie.

A11

Accountants in de publieke sector kunnen ook gebruikmaken van een andere accountant om toetsingen van interne beheersingsmaatregelen of gegevensgerichte controles te laten uitvoeren die betrekking hebben op de naleving van wet– en regelgeving of andere van kracht zijnde voorschriften.

Inzicht in de interne beheersingsmaatregelen die betrekking hebben op door de serviceorganisatie verleende diensten

(Zie Par. 10)

A12

De gebruikersorganisatie kan interne beheersingsmaatregelen voor diensten van de serviceorganisatie vaststellen die door de accountant van de gebruikersorganisatie kunnen worden getoetst, zodat deze kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor sommige of alle daarmee verband houdende beweringen, ongeacht de bij de serviceorganisatie bestaande interne beheersingsmaatregelen. Wanneer een gebruikersorganisatie bijvoorbeeld gebruikmaakt van een serviceorganisatie om haar loontransacties te verwerken, kan zij interne beheersingsmaatregelen met betrekking tot de verzending en ontvangst van looninformatie vaststellen die afwijkingen van materieel belang kunnen voorkomen of detecteren. Onder deze interne beheersingsmaatregelen vallen:

  • het vergelijken van de aan de serviceorganisatie verzonden gegevens met informatierapporten van de serviceorganisatie nadat de gegevens zijn verwerkt;

  • het herberekenen van een steekproef van de loonbedragen om deze op hun administratieve juistheid te toetsen, en het beoordelen van het totaalbedrag van de loonkosten om dit op redelijkheid te toetsen.

A13

In deze situatie kan de accountant van de gebruikersorganisatie toetsingen van de interne beheersingsmaatregelen van de gebruikersorganisatie met betrekking tot de loonadministratie verrichten zodat hij kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor de beweringen die betrekking hebben op de loontransacties.

A14

Zoals uiteengezet in Standaard 315 Standaard 315, paragraaf 30., kan de accountant van de gebruikersorganisatie bij sommige risico’s van oordeel zijn dat het niet mogelijk of praktisch uitvoerbaar is om voldoende en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen. Dergelijke risico’s kunnen verband houden met de onnauwkeurige en onvolledige vastlegging van routinematige en significante transactiestromen of rekeningsaldi, waarvan de kenmerken vaak een hoge mate van geautomatiseerde gegevensverwerking met weinig of geen handmatige interventie mogelijk maken. Er kan met name sprake zijn van dergelijke geautomatiseerde verwerking wanneer de gebruikersorganisatie gebruikmaakt van serviceorganisaties. In dergelijke gevallen zijn de interne beheersingsmaatregelen van de gebruikersorganisatie die op dergelijke risico's betrekking hebben, relevant voor de controle en wordt van de accountant van de gebruikersorganisatie vereist dat hij inzicht verwerft in en een beoordeling verricht van dergelijke interne beheersingsmaatregelen overeenkomstig de paragrafen 9 en 10 van deze Standaard.

Verdere werkzaamheden wanneer er niet voldoende inzicht in de gebruikersorganisatie kan worden verkregen

(Zie Par. 12)

A15

De beslissing van de accountant van de gebruikersorganisatie over het controlemiddel dat hij, afzonderlijk of in combinatie, in het geval van paragraaf 12 zal inzetten om de noodzakelijke informatie te verkrijgen op basis waarvan hij de risico’s op een afwijking van materieel belang kan identificeren en inschatten die betrekking heeft op het feit dat de gebruikersorganisatie gebruikmaakt van een serviceorganisatie, kan worden beïnvloed door aangelegenheden zoals:

  • de omvang van zowel de gebruikersorganisatie als de serviceorganisatie;

  • de complexiteit van de transacties bij de gebruikersorganisatie en de complexiteit van de door de serviceorganisatie verleende diensten;

  • de locatie van de serviceorganisatie (de accountant van de gebruikersorganisatie kan bijvoorbeeld besluiten om gebruik te maken van een andere accountant om namens hem werkzaamheden uit te voeren bij de serviceorganisatie wanneer deze zich op een verafgelegen locatie bevindt);

  • de vraag of er van de werkzaamheden wordt verwacht dat zij de accountant van de gebruikersorganisatie daadwerkelijk voldoende en geschikte controle-informatie verschaffen; en

  • de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie.

A16

Een serviceorganisatie kan een accountant de opdracht geven een rapport op te stellen over de beschrijving en de opzet van haar interne beheersingsmaatregelen (type 1-rapport) of over de beschrijving en de opzet alsook de effectieve werking van haar interne beheersingsmaatregelen (type 2-rapport). Type 1- of type 2-rapporten kunnen worden uitgebracht overeenkomstig Standaard 3402 Standaard 3402, Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie. dan wel overeenkomstig standaarden die zijn vastgesteld door een daartoe bevoegde of erkende organisatie (die een andere naam kan gebruiken, zoals type A- of type B-rapporten).

A17

Of er een type 1-of type 2-rapport beschikbaar is, zal over het algemeen afhangen van de vraag of het contract tussen een serviceorganisatie en een gebruikersorganisatie voorziet in de opstelling van een dergelijk rapport door de serviceorganisatie. Een serviceorganisatie kan er, om praktische redenen, ook voor kiezen een type 1- of type-2 rapport beschikbaar te stellen aan haar gebruikersorganisaties. Het is echter mogelijk dat in sommige gevallen geen type 1- of type 2-rapport beschikbaar is voor gebruikersorganisaties.

A18

In sommige omstandigheden kan een gebruikersorganisatie een of meer significante bedrijfsonderdelen of bedrijfsfuncties, zoals haar volledige fiscale planning- en compliancefuncties, haar financiële beheer en administratie of de controllerfunctie, aan een of meer serviceorganisaties uitbesteden. Omdat er in deze omstandigheden mogelijk geen rapport over de interne beheersingsmaatregelen bij de serviceorganisatie beschikbaar is, kan de meest effectieve methode voor de accountant van de gebruikersorganisatie om inzicht te verwerven in de interne beheersingsmaatregelen bij de serviceorganisatie, erin bestaan de serviceorganisatie te bezoeken, omdat het aannemelijk is dat er een directe interactie bestaat tussen het management van de gebruikersorganisatie en dat van de serviceorganisatie.

A19

Er kan van een andere accountant gebruik worden gemaakt om werkzaamheden te laten verrichten die de noodzakelijke informatie over de relevante interne beheersingsmaatregelen bij de serviceorganisatie verschaffen. Wanneer een type 1-of type 2-rapport is uitgebracht, kan de accountant van de gebruikersorganisatie gebruikmaken van de accountant van de serviceorganisatie om deze werkzaamheden uit te voeren omdat de accountant van de serviceorganisatie een bestaande relatie heeft met de serviceorganisatie. Wanneer de accountant van de gebruikersorganisatie zich op de werkzaamheden van een andere accountant baseert, kunnen de leidraden in Standaard 600 In Standaard 600, Bijzondere overwegingen – Controles van financiële overzichten van de groep (inclusief de werkzaamheden van accountants van groepsonderdelen), paragraaf 2, is bepaald: ‘Een accountant kan deze Standaard, naargelang nodig aan de omstandigheden aangepast, nuttig achten wanneer hij andere accountants betrekt bij de controle van financiële overzichten die niet tot de financiële overzichten van de groep behoren (…)’. Zie ook paragraaf 19 van Standaard 600. nuttig zijn, aangezien deze verband houden met het verwerven van inzicht in een andere accountant (met inbegrip van diens onafhankelijkheid en vakbekwaamheid) en met de betrokkenheid bij de werkzaamheden van een andere accountant bij het plannen van de aard, omvang en timing van dergelijke werkzaamheden en bij het evalueren van het voldoende en geschikt zijn van de verkregen controle-informatie.

A20

Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie, die op haar beurt gebruikmaakt van een subserviceorganisatie voor het verlenen van sommige aan de gebruikersorganisatie verleende diensten die deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem. De subserviceorganisatie kan een entiteit zijn die losstaat van dan wel verbonden is met de serviceorganisatie. Een accountant van de gebruikersorganisatie kan het noodzakelijk vinden de interne beheersingsmaatregelen van de subserviceorganisatie te beschouwen. In omstandigheden waarbij er van een of meer subserviceorganisaties gebruik wordt gemaakt, wordt de interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie uitgebreid tot de interactie tussen de gebruikersorganisatie, de serviceorganisatie en de subserviceorganisaties. De mate van interactie alsmede de aard en materialiteit van de door de serviceorganisatie en de subserviceorganisaties verwerkte transacties zijn de belangrijkste factoren die de accountant van de gebruikersorganisatie moet overwegen om de significantie van de interne beheersingsmaatregelen van de serviceorganisatie en de subserviceorganisatie voor de interne beheersingsmaatregelen van de gebruikersorganisatie te bepalen.

Gebruik van een type 1- of type 2-rapport door de accountant van de gebruikersorganisatie ter ondersteuning van zijn inzicht in de serviceorganisatie

(Zie Par. 13-14)

A21

De accountant van de gebruikersorganisatie kan verzoeken om inlichtingen over de accountant van de serviceorganisatie bij diens beroepsorganisatie of bij andere beroepsbeoefenaren en verzoeken om inlichtingen over de vraag of de accountant van de serviceorganisatie aan toezicht onderworpen is. De accountant van de serviceorganisatie kan werkzaam zijn in een rechtsgebied waar andere standaarden worden gevolgd met betrekking tot rapportages over interne beheersingsmaatregelen bij een serviceorganisatie, en de accountant van de gebruikersorganisatie kan informatie over de door de accountant van de serviceorganisatie gebruikte standaarden verkrijgen bij de organisatie die deze standaarden vaststelt.

A22

Een type 1- of type 2-rapport kan, samen met informatie over de gebruikersorganisatie, de accountant van de gebruikersorganisatie inzicht helpen verwerven in:

  1. de aspecten van interne beheersingsmaatregelen bij de serviceorganisatie die van invloed kunnen zijn op de verwerking van de transacties van de gebruikersorganisatie, met inbegrip van het gebruikmaken van subserviceorganisaties;

  2. de stroom van significante transacties door de serviceorganisatie om de punten in de transactiestromen te bepalen waar zich afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie zouden kunnen voordoen;

  3. de interne beheersingsdoelstellingen bij de serviceorganisatie die relevant zijn voor de in de financiële overzichten van de gebruikersorganisatie opgenomen beweringen; en

  4. de vraag of de interne beheersingsmaatregelen bij de serviceorganisatie toereikend zijn opgezet en geïmplementeerd om verwerkingsfouten die kunnen leiden tot afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie, te voorkomen of te detecteren.

Een type 1- of type 2-rapport kan de accountant van de gebruikersorganisatie helpen voldoende inzicht te verwerven om de risico’s op een afwijking van materieel belang te identificeren en in te schatten. Een type 1-rapport verstrekt echter geen controle-informatie over de effectieve werking van de relevante interne beheersingsmaatregelen.

A23

Een type 1- of type 2-rapport dat van een datum is dan wel voor een periode geldt die buiten de verslagperiode van een gebruikersorganisatie valt, kan de accountant van de gebruikersorganisatie een voorlopig inzicht helpen verwerven in de interne beheersingsmaatregelen die geïmplementeerd zijn bij de serviceorganisatie, indien het rapport aangevuld is met aanvullende actuele informatie uit andere bronnen. Indien de beschrijving van interne beheersingsmaatregelen van de serviceorganisatie van een datum is dan wel voor een periode geldt die voorafgaat aan het begin van de verslagperiode waarop de controle betrekking heeft, kan de accountant van de gebruikersorganisatie werkzaamheden uitvoeren om de informatie in een type 1- of type 2-rapport te actualiseren, zoals:

  • het bespreken van de wijzigingen bij de serviceorganisatie met medewerkers van de gebruikersorganisatie die gezien hun positie van dergelijke wijzigingen op de hoogte zouden zijn;

  • het beoordelen van actuele documentatie en correspondentie die uitgaat van de serviceorganisatie; of

  • het bespreken van de wijzigingen met medewerkers van de serviceorganisatie.

Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang

(Zie Par. 15)

A24

Of het gebruikmaken van een serviceorganisatie het risico op afwijkingen van materieel belang bij een gebruikersorganisatie vergroot, is afhankelijk van de aard van de verleende diensten en de interne beheersingsmaatregelen voor deze diensten; in sommige gevallen kan het gebruikmaken van een serviceorganisatie het risico op een afwijking van materieel belang bij een gebruikersorganisatie verkleinen, met name wanneer de gebruikersorganisatie zelf niet de noodzakelijke deskundigheid bezit om bepaalde activiteiten te verrichten, zoals het tot stand brengen, verwerken en vastleggen van transacties, of niet over de adequate middelen beschikt (bijvoorbeeld een IT-systeem).

A25

Wanneer de serviceorganisatie van materieel belang zijnde elementen van de administratieve vastleggingen van de gebruikersorganisatie beheert, is het mogelijk dat de accountant van de gebruikersorganisatie directe toegang tot die vastleggingen moet hebben om voldoende en geschikte controle-informatie te kunnen verkrijgen met betrekking tot de werking van de interne beheersingsmaatregelen voor de vastleggingen of om de daarin vastgelegde transacties en saldi te kunnen onderbouwen, of beide. Een dergelijke toegang kan mede inhouden dat een fysieke inspectie van de vastleggingen wordt verricht in de kantoren van de serviceorganisatie of dat de elektronisch beheerde vastleggingen worden onderzocht vanuit de gebruikersorganisatie of vanuit een andere locatie, of beide. Wanneer de directe toegang langs elektronische weg is verkregen, kan de accountant van de gebruikersorganisatie controle-informatie verkrijgen over de geschiktheid van de door de serviceorganisatie toegepaste interne beheersingsmaatregelen met betrekking tot de volledigheid en de integriteit van de gegevens van de gebruikersorganisatie waarvoor de serviceorganisatie verantwoordelijk is.

A26

Bij het bepalen van de aard en de omvang van de controle-informatie die moet worden verkregen met betrekking tot de saldi die activa of transacties vertegenwoordigen die door een serviceorganisatie namens de gebruikersorganisatie worden gehouden respectievelijk zijn uitgevoerd, kan de accountant van de gebruikersorganisatie overwegen de volgende werkzaamheden uit te voeren:

  1. het inspecteren van vastleggingen en documentatie die de gebruikersorganisatie in bezit heeft: de betrouwbaarheid van deze bron van controle-informatie wordt bepaald door de aard en omvang van de administratieve vastleggingen en ondersteunende documentatie die door de gebruikersorganisatie wordt bijgehouden. In sommige gevallen is het mogelijk dat de gebruikersorganisatie geen onafhankelijke gedetailleerde vastleggingen of documentatie van specifieke transacties die namens haar zijn uitgevoerd, bijhoudt;

  2. het inspecteren van vastleggingen en documentatie die de serviceorganisatie in bezit heeft: de toegang van de accountant van de gebruikersorganisatie tot de vastleggingen van de serviceorganisatie kan worden vastgelegd als onderdeel van de contractuele overeenkomst tussen de gebruikersorganisatie en de serviceorganisatie. De accountant van de gebruikersorganisatie kan ook gebruikmaken van een andere accountant om namens hem toegang te verkrijgen tot de vastleggingen van de gebruikersorganisatie die door de serviceorganisatie worden beheerd;

  3. het verkrijgen van bevestigingen van de serviceorganisatie met betrekking tot saldi en transacties: waar de gebruikersorganisatie saldi en transacties onafhankelijk vastlegt, kan een bevestiging van de serviceorganisatie ter staving van de vastleggingen van de gebruikersorganisatie betrouwbare controle-informatie vormen wat betreft het bestaan van de desbetreffende transacties en activa. Wanneer er bijvoorbeeld gebruik wordt gemaakt van meerdere serviceorganisaties, zoals een vermogensbeheerder en een bewaarnemer, en deze serviceorganisaties hun vastleggingen onafhankelijk bijhouden, kan de accountant van de gebruikersorganisatie saldi bij deze organisaties laten bevestigen om deze informatie te vergelijken met de onafhankelijke vastleggingen van de gebruikersorganisatie.Indien de gebruikersorganisatie geen onafhankelijke vastleggingen bijhoudt, staat informatie uit een bevestiging van een serviceorganisatie slechts gelijk met een vermelding van wat in door de serviceorganisatie bijgehouden vastleggingen is opgenomen. Dergelijke bevestigingen vormen derhalve op zichzelf geen betrouwbare controle-informatie. In deze omstandigheden kan de accountant van de gebruikersorganisatie overwegen of een alternatieve bron van onafhankelijke controle-informatie kan worden gevonden;

  4. het uitvoeren van cijferanalyses op de door de gebruikersorganisatie bijgehouden vastleggingen of de van de serviceorganisatie ontvangen rapporten: de effectiviteit van cijferanalyses zal waarschijnlijk verschillen naargelang van de bewering en worden beïnvloed door de omvang en de mate van detail van de beschikbare informatie.

A27

Een andere accountant kan werkzaamheden die gegevensgericht van aard zijn, uitvoeren ten behoeve van een accountant van een gebruikersorganisatie. Een dergelijke opdracht kan inhouden dat die andere accountant werkzaamheden uitvoert die door de gebruikersorganisatie en haar accountant en door de serviceorganisatie en haar accountant zijn overeengekomen. De bevindingen van de door de andere accountant uitgevoerde werkzaamheden worden door de accountant van de gebruikersorganisatie beoordeeld om te bepalen of zij voldoende en geschikte controle-informatie vormen. Voorts kunnen er door de overheid of door contractuele overeenkomsten vereisten worden opgelegd waarbij een accountant van de serviceorganisatie aangewezen werkzaamheden uitvoert die gegevensgericht van aard zijn. De resultaten van deze vereiste werkzaamheden met betrekking tot saldi en transacties die door de serviceorganisatie zijn verwerkt, kunnen door accountants van gebruikersorganisaties worden gebruikt als deel van de noodzakelijke informatie ter onderbouwing van hun controleoordeel. In deze omstandigheden kan het zinvol zijn dat de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie, vóór het uitvoeren van de werkzaamheden, afspraken maken over de controledocumentatie of de toegang tot de controledocumentatie die aan de accountant van de gebruikersorganisatie zal worden verstrekt.

A28

In bepaalde omstandigheden, met name wanneer een gebruikersorganisatie haar financiële functie gedeeltelijk of volledig aan een serviceorganisatie uitbesteedt, kan de accountant van de gebruikersorganisatie geconfronteerd worden met een situatie waarbij een significant gedeelte van de controle-informatie bij de serviceorganisatie aanwezig is. Het is mogelijk dat de accountant van de gebruikersorganisatie of een andere accountant namens hem gegevensgerichte controles bij de serviceorganisatie moet uitvoeren. Een accountant van de serviceorganisatie kan een type 1- of type 2-rapport uitbrengen en daarnaast ook gegevensgerichte controles uitvoeren namens de accountant van de gebruikersorganisatie. De betrokkenheid van een andere accountant doet niets af aan de verantwoordelijkheid van de accountant van de gebruikersorganisatie om voldoende en geschikte controle-informatie te verkrijgen dat hem een redelijke basis verschaft om zijn oordeel te ondersteunen. Wanneer de accountant van de gebruikersorganisatie overweegt of er voldoende en geschikte controle-informatie is verkregen en of hij verdere gegevensgerichte controles dient uit te voeren, houdt hij derhalve rekening met zijn eigen betrokkenheid bij, of controle-informatie voor, de aansturing van, het toezicht op en de uitvoering van door een andere accountant uitgevoerde gegevensgerichte controles.

Toetsingen van interne beheersingsmaatregelen

(Zie Par. 16)

A29

Krachtens Standaard 330 Standaard 330, paragraaf 8. wordt van de accountant van de gebruikersorganisatie vereist dat hij in bepaalde omstandigheden toetsingen van de interne beheersingsmaatregelen opzet en uitvoert om voldoende en geschikte controle-informatie te verkrijgen over de effectieve werking van relevante interne beheersingsmaatregelen. In de context van een serviceorganisatie is dit vereiste van toepassing wanneer:

  1. de inschatting van de risico’s op een afwijking van materieel belang door de accountant van de gebruikersorganisatie de verwachting bevat dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken (dat wil zeggen dat hij voornemens is te steunen op de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie bij het bepalen van de aard, timing en omvang van gegevensgerichte controles); of

  2. gegevensgerichte controles alleen, of in combinatie met toetsingen van de effectieve werking van de interne beheersingsmaatregelen bij de gebruikersorganisatie, geen voldoende en geschikte controle-informatie kunnen verschaffen op het niveau van beweringen.

A30

Indien er geen type 2-rapport beschikbaar is, kan een accountant van een gebruikersorganisatie via die organisatie contact opnemen met de serviceorganisatie met het verzoek dat de serviceorganisatie een accountant de opdracht geeft om een type 2-rapport af te geven dat toetsingen van de effectieve werking van de relevante interne beheersingsmaatregelen omvat, of kan de accountant van de gebruikersorganisatie gebruikmaken van een andere accountant om werkzaamheden bij de serviceorganisatie te laten uitvoeren die de effectieve werking van die interne beheersingsmaatregelen toetsen. Een accountant van een gebruikersorganisatie kan de serviceorganisatie ook bezoeken en toetsingen van relevante interne beheersingsmaatregelen verrichten indien de serviceorganisatie daarmee instemt. De accountant van de gebruikersorganisatie baseert zijn risico-inschattingen op de combinatie van de controle-informatie die wordt verkregen uit de werkzaamheden van een andere accountant en uit zijn eigen werkzaamheden.

Gebruik van een type 2-rapport als controle-informatie dat interne beheersingsmaatregelen bij de serviceorganisatie effectief werken

(Zie Par. 17)

A31

Een type 2-rapport kan bedoeld zijn om aan de behoeften van accountants van verschillende gebruikersorganisaties te voldoen; daarom is het mogelijk dat toetsingen van interne beheersingsmaatregelen en resultaten die beschreven zijn in het rapport van de accountant van de serviceorganisatie, niet relevant zijn voor beweringen die significant zijn in de financiële overzichten van de gebruikersorganisatie. De relevante toetsingen van interne beheersingsmaatregelen en resultaten worden geëvalueerd om te bepalen of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om de risico-inschatting van de accountant van de gebruikersorganisatie te ondersteunen. Daarbij kan de accountant van de gebruikersorganisatie de volgende factoren in overweging nemen:

  1. de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben, en de tijd die is verstreken sinds het verrichten van die toetsingen;

  2. de reikwijdte van de werkzaamheden van de accountant van de serviceorganisatie en de diensten en processen waarop die werkzaamheden betrekking hebben, de getoetste interne beheersingsmaatregelen en de toetsingen die werden verricht, en het verband tussen de getoetste interne beheersingsmaatregelen en de interne beheersingsmaatregelen van de gebruikersorganisatie; en

  3. de resultaten van die toetsingen van interne beheersingsmaatregelen en het oordeel van de accountant van de serviceorganisatie over de effectieve werking van de interne beheersingsmaatregelen.

A32

Voor bepaalde beweringen geldt dat des te korter de periode waarop een specifieke toetsing betrekking heeft en des te langer de tijd die is verstreken sinds het verrichten van de toetsing, des te minder controle-informatie de toetsing zal verstrekken. Door de periode waarop het type 2-rapport betrekking heeft, te vergelijken met de financiële verslaggevingsperiode van de gebruikersorganisatie, kan de accountant van de gebruikersorganisatie concluderen dat het type 2-rapport minder controle-informatie biedt indien er weinig overlap bestaat tussen de periode waarop het type 2-rapport betrekking heeft, en de periode waarvoor de accountant voornemens is op het rapport te steunen. Wanneer dit het geval is, kan een type 2-rapport dat op een eerdere of een latere periode betrekking heeft, aanvullende controle-informatie verstrekken. In andere gevallen kan de accountant van de gebruikersorganisatie bepalen dat het noodzakelijk is om toetsingen van interne beheersingsmaatregelen bij de serviceorganisatie te verrichten, dan wel door een andere accountant te laten verrichten, om voldoende en geschikte controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen.

A33

Het kan ook noodzakelijk zijn dat de accountant van de gebruikersorganisatie aanvullende controle-informatie verkrijgt over significante wijzigingen van de relevante interne beheersingsmaatregelen bij de serviceorganisatie buiten de periode waarop het type 2-rapport betrekking heeft, of dat hij uit te voeren aanvullende controlewerkzaamheden bepaalt. Relevante factoren bij het bepalen welke aanvullende controle-informatie moet worden verkregen over de interne beheersingsmaatregelen bij de serviceorganisatie die werden toegepast buiten de periode waarop het rapport van de accountant van de serviceorganisatie betrekking heeft, zijn onder meer:

  • de significantie van de ingeschatte risico’s op een afwijking van materieel belang in de beweringen;

  • de specifieke interne beheersingsmaatregelen die getoetst werden tijdens de tussentijdse periode en significante wijzigingen van die maatregelen sinds zij werden getoetst, met inbegrip van wijzigingen in het informatiesysteem, de processen en het personeel;

  • de mate waarin er controle-informatie over de effectieve werking van die interne beheersingsmaatregelen is verkregen;

  • de duur van de resterende periode;

  • de mate waarin de accountant van de gebruikersorganisatie voornemens is verdere gegevensgerichte controles te beperken omdat wordt gesteund op interne beheersingsmaatregelen; en

  • de effectiviteit van de interne beheersingsomgeving en de monitoring van de interne beheersingsmaatregelen bij de gebruikersorganisatie.

A34

Aanvullende controle-informatie kan bijvoorbeeld worden verkregen door de toetsingen van de interne beheersingsmaatregelen uit te breiden tot de resterende periode of door de monitoring van de interne beheersingsmaatregelen door de gebruikersorganisatie te toetsen.

A35

Indien de toetsingsperiode van de accountant van de serviceorganisatie volledig buiten de financiële verslaggevingsperiode van de gebruikersorganisatie valt, zal de accountant van de gebruikersorganisatie niet op dergelijke toetsingen kunnen steunen om te concluderen dat de interne beheersingsmaatregelen bij de gebruikersorganisatie effectief werken omdat zij voor de lopende controleperiode geen actuele controle-informatie voor de effectiviteit van de interne beheersingsmaatregelen verstrekken, tenzij er andere werkzaamheden worden uitgevoerd.

A36

In bepaalde omstandigheden kan een door de serviceorganisatie verleende dienst zijn opgezet in de veronderstelling dat bepaalde interne beheersingsmaatregelen door de gebruikersorganisatie zullen worden geïmplementeerd. De dienst kan bijvoorbeeld zijn opgezet in de veronderstelling dat de gebruikersorganisatie interne beheersingsmaatregelen zal hebben voor het autoriseren van transacties voordat zij voor verwerking naar de serviceorganisatie worden gestuurd. In een dergelijke situatie kan de beschrijving van de interne beheersingsmaatregelen bij de serviceorganisatie een beschrijving van die aanvullende interne beheersingsmaatregelen bij de gebruikersorganisatie omvatten. De accountant van de gebruikersorganisatie overweegt of de aanvullende interne beheersingsmaatregelen bij de gebruikersorganisatie relevant zijn voor de aan de gebruikersorganisatie verleende dienst.

A37

Indien de accountant van de gebruikersorganisatie van mening is dat het rapport van de accountant van de serviceorganisatie geen voldoende en geschikte controle-informatie verstrekt, bijvoorbeeld indien een rapport van de accountant van de serviceorganisatie geen beschrijving van de door hem verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan bevat, dan kan de accountant van de gebruikersorganisatie het inzicht in de werkzaamheden en de conclusies van de accountant van de serviceorganisatie aanvullen door via de gebruikersorganisatie contact op te nemen met de serviceorganisatie met het verzoek om een gesprek met de accountant van de serviceorganisatie over de reikwijdte en de resultaten van diens werkzaamheden. De accountant van de gebruikersorganisatie kan ook, indien hij van mening is dat dit noodzakelijk is, via de gebruikersorganisatie contact opnemen met de serviceorganisatie met het verzoek dat de accountant van de serviceorganisatie werkzaamheden uitvoert bij de serviceorganisatie. Een andere mogelijkheid bestaat erin dat de accountant van de gebruikersorganisatie deze werkzaamheden zelf uitvoert, of door een andere accountant namens hem laat uitvoeren.

A38

Het type 2-rapport van de accountant van de serviceorganisatie bevat de resultaten van de toetsingen, met inbegrip van uitzonderingen en andere informatie die invloed zou kunnen hebben op de conclusies van de accountant van de gebruikersorganisatie. Wanneer de de accountant van de serviceorganisatie in zijn type-2 rapport melding heeft gemaakt van uitzonderingen of een aangepast oordeel heeft opgenomen, betekent dit niet automatisch dat dit type 2-rapport niet nuttig is voor de controle van de financiële overzichten van de gebruikersorganisatie wanneer de risico’s op een afwijking van materieel belang worden ingeschat. De accountant van de gebruikersorganisatie neemt de uitzonderingen en de aangelegenheden die tot een aangepast oordeel in het type 2-rapport van de accountant van de serviceorganisatie hebben geleid, in overweging wanneer hij de toetsingen van de interne beheersingsmaatregelen door de accountant van de serviceorganisatie inschat. Wanneer hij de uitzonderingen en aangelegenheden die tot een aangepast oordeel hebben geleid, in overweging neemt, kan de accountant van de gebruikersorganisatie die aangelegenheden met de accountant van de serviceorganisatie bespreken. Dergelijke communicatie kan slechts plaatsvinden indien de gebruikersorganisatie contact opneemt met de serviceorganisatie en de serviceorganisatie toestemming voor de communicatie verleent.

Meedelen van tijdens de controle geïdentificeerde tekortkomingen in de interne beheersing

A39

Van de accountant van de gebruikersorganisatie wordt vereist dat hij significante tekortkomingen die hij tijdens de controle heeft vastgesteld, tijdig schriftelijk aan het management en de met governance belaste personen meedeelt. Standaard 265, Meedelen van tekortkomingen in de interne beheersing aan de met governance belaste personen en het management, paragraaf 9 en 10. Van de accountant van de gebruikersorganisatie wordt ook vereist dat hij andere tekortkomingen in de interne beheersing, die hij tijdens de controle heeft vastgesteld en die op grond van zijn professionele oordeelsvorming voldoende belangrijk zijn om de aandacht van het management te verdienen, tijdig aan het management op het passende niveau meedeelt. Standaard 265, paragraaf 10. Aangelegenheden die de accountant van de gebruikersorganisatie tijdens de controle kan vaststellen en aan het management en de met governance belaste personen kan meedelen, kunnen onder meer betrekking hebben op:

  • de eventuele monitoring van de interne beheersingsmaatregelen die door de gebruikersorganisatie zouden kunnen worden geïmplementeerd, inclusief de maatregelen die de accountant heeft geïdentificeerd via een type 1- of type 2-rapport;

  • gevallen waarin aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie in het type 1- of type 2-rapport worden vermeld maar niet door de gebruikersorganisatie zijn geïmplementeerd; en

  • interne beheersingsmaatregelen die noodzakelijk kunnen zijn bij de serviceorganisatie, maar blijkbaar niet geïmplementeerd zijn of niet specifiek in een type 2-rapport zijn behandeld.

Type 1- en type 2-rapporten waarin de diensten van een subserviceorganisatie worden uitgesloten

(Zie Par. 18)

A40

Indien een serviceorganisatie gebruikmaakt van een subserviceorganisatie, kan de accountant van de serviceorganisatie in zijn rapport de relevante interne beheersingsdoelstellingen van de subserviceorganisatie en de daarmee verband houdende interne beheersingsmaatregelen opnemen in de beschrijving van het systeem van de serviceorganisatie en in de reikwijdte van zijn opdracht dan wel deze uitsluiten. Deze twee rapportagemethoden staan bekend als de inclusive methode en de carve-out methode. Indien het type 1- of type 2-rapport de interne beheersingsmaatregelen bij een subserviceorganisatie uitsluit en de door de subserviceorganisatie verleende diensten relevant zijn voor de controle van de financiële overzichten van de gebruikersorganisatie, wordt van de accountant van de gebruikersorganisatie vereist dat hij de vereisten van deze Standaard op de subserviceorganisatie toepast. De aard en de omvang van de door de accountant van de gebruikersorganisatie uit te voeren werkzaamheden met betrekking tot de door een subserviceorganisatie verleende diensten zijn afhankelijk van de aard en de significantie van die diensten voor de gebruikersorganisatie en de relevantie van die diensten voor de controle. De toepassing van het vereiste van paragraaf 9 kan de accountant van de gebruikersorganisatie het effect van de subserviceorganisatie en van de aard en de omvang van de uit te voeren werkzaamheden helpen bepalen.

Fraude, niet-naleving van wet- en regelgeving en niet-gecorrigeerde afwijkingen met betrekking tot activiteiten bij de serviceorganisatie

(Zie Par. 19)

A41

Op grond van de contractuele voorwaarden met haar gebruikersorganisaties kan een serviceorganisatie ertoe gehouden zijn om de betrokken gebruikersorganisaties in kennis te stellen van alle gevallen van fraude, niet-naleving van wet- en regelgeving of ongecorrigeerde afwijkingen die aan haar management of werknemers zijn toe te schrijven. Overeenkomstig paragraaf 19 moet de accountant van de gebruikersorganisatie bij het management van die organisatie navragen of de serviceorganisatie dergelijke aangelegenheden heeft gerapporteerd en evalueert hij of eventuele door de serviceorganisatie gerapporteerde aangelegenheden de aard, timing en omvang van zijn verdere controlewerkzaamheden beïnvloeden. In bepaalde omstandigheden kan de accountant van de gebruikersorganisatie aanvullende informatie nodig hebben om deze evaluatie te verrichten en hij kan de gebruikersorganisatie vragen contact op te nemen met de serviceorganisatie om de noodzakelijke informatie te verkrijgen.

Rapportage door de accountant van de gebruikersorganisatie

(Zie Par. 20)

A42

Wanneer een accountant van een gebruikersorganisatie niet in staat is voldoende en geschikte controle-informatie te verkrijgen over de door de serviceorganisatie verleende diensten die relevant zijn voor de controle van de financiële overzichten van de gebruikersorganisatie, vormt dit een beperking voor de reikwijdte van de controle. Dit kan het geval zijn wanneer:

  • de accountant van de gebruikersorganisatie niet in staat is voldoende inzicht te verwerven in de door de serviceorganisatie verleende diensten en geen basis heeft om risico’s op een afwijking van materieel belang te identificeren en in te schatten;

  • de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, maar hij niet in staat is om voldoende en geschikte controle-informatie te verkrijgen over de effectieve werking van deze interne beheersingsmaatregelen; of

  • voldoende en geschikte controle-informatie alleen beschikbaar is vanuit vastleggingen die in het bezit zijn van de serviceorganisatie, en de accountant van de gebruikersorganisatie niet in staat is om directe toegang tot deze vastleggingen te krijgen.

Of de accountant van de gebruikersorganisatie een oordeel met beperking tot uitdrukking brengt dan wel een oordeelonthouding formuleert, is afhankelijk van zijn conclusie of de mogelijke effecten op de financiële overzichten van materieel belang of van diepgaande invloed zijn.

Verwijzing naar de door een accountant van een serviceorganisatie uitgevoerde werkzaamheden

(Zie Par. 21 en 22)

A43

In sommige gevallen kan van de accountant van de gebruikersorganisatie uit hoofde van wet- of regelgeving een verwijzing naar de werkzaamheden van een accountant van een serviceorganisatie vereist worden in zijn controleverklaring op te nemen, bijvoorbeeld omwille van de transparantie in de publieke sector. In dergelijke omstandigheden kan hij voor die verwijzing de voorafgaande toestemming van de accountant van de serviceorganisatie nodig hebben.

A44

Wanneer een gebruikersorganisatie gebruikmaakt van een serviceorganisatie, doet dit niets af aan de verantwoordelijkheid die de accountant van de gebruikersorganisatie uit hoofde van de Standaarden heeft om voldoende en geschikte controle-informatie te verkrijgen zodat hij over een redelijke basis beschikt om zijn oordeel te ondersteunen. Om die reden verwijst de accountant van de gebruikersorganisatie niet naar de rapportage van de accountant van de serviceorganisatie als basis, al dan niet gedeeltelijk, voor zijn oordeel over de financiële overzichten van de gebruikersorganisatie. Wanneer de accountant van de gebruikersorganisatie echter een aangepast oordeel tot uitdrukking brengt op grond van een aangepast oordeel in een rapport van de accountant van de serviceorganisatie, vormt dit geen beletsel voor hem om te verwijzen naar het rapport van de accountant van de serviceorganisatie wanneer die verwijzing zijn aangepaste oordeel mede motiveert. In dergelijke omstandigheden kan hij voor die verwijzing de voorafgaande toestemming van de accountant van de serviceorganisatie nodig hebben.