402 Overwegingen met betrekking tot controles van entiteiten die gebruikmaken van een serviceorganisatie

Bij het bepalen of de controle-informatie in een type 1- of type 2-rapport voldoende en geschikt is, dient de accountant van de gebruikersorganisatie ervan overtuigd te zijn dat:

1. de accountant van de serviceorganisatie vakbekwaam is en onafhankelijk van de serviceorganisatie; en

2. de standaarden op basis waarvan het type 1- of type 2-rapport is uitgebracht, adequaat zijn. (Zie Par. A21)

Wanneer de accountant van de gebruiker van plan is om een type 1- of type 2-rapport te gebruiken als controle-informatie teneinde het inzicht van de accountant in de opzet en het bestaan van interne beheersingsmaatregelen van de serviceorganisatie te ondersteunen, dient hij:

1. te evalueren of de beschrijving en de opzet van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden;

2. te evalueren of de informatie in het rapport voldoende en geschikt is om inzicht te verwerven in interne beheersingsmaatregelen bij de serviceorganisatie; en

3. te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven wat betreft vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd. (Zie Par. A22, A23)

Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden:

1. het verkrijgen van een type 2-rapport, indien beschikbaar;

2. het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of

3. het gebruikmaken van een andere accountant om namens hem toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten. (Zie Par. A29 en A30)

Indien de accountant van de gebruikersorganisatie overeenkomstig paragraaf 16(a) van plan is een type 2-rapport te gebruiken als controle-informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie, dient hij na te gaan of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door:

1. te evalueren of de beschrijving, de opzet en de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden;

2. te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven in de vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de effectieve werking ervan te toetsen;

3. te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en

4. te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen. (Zie Par. A31, A32, A33, A34, A35, A36, A37, A38 en A39)

(Zie Par. 9)

Informatie over de aard van de door een serviceorganisatie verleende diensten kan uit een breed scala aan bronnen worden verkregen, zoals:

• gebruikershandleidingen;

• systeemoverzichten;

• technische handleidingen;

• het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de serviceorganisatie;

• rapporten van serviceorganisaties, de interne auditfunctie of regelgevende of toezichthoudende instanties over interne beheersingsmaatregelen bij de serviceorganisatie;

• rapporten van de accountant van de serviceorganisatie, met inbegrip van managementletters, indien beschikbaar.

Kennis verkregen uit de ervaring die de accountant van de gebruikersorganisatie met de serviceorganisatie heeft, bijvoorbeeld via andere controleopdrachten, kan ook nuttig zijn om inzicht te verwerven in de aard van de door de serviceorganisatie verleende diensten. Dit kan met name nuttig zijn als de diensten en de desbetreffende interne beheersingsmaatregelen bij de serviceorganisatie in hoge mate gestandaardiseerd zijn.

(Zie Par. 9(a))

Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie zoals een organisatie die transacties verwerkt en de daarmee verband houdende verantwoordingsplicht handhaaft of die transacties vastlegt en daaraan gerelateerde gegevens verwerkt. Onder serviceorganisaties die dergelijke diensten verlenen, vallen bijvoorbeeld trustafdelingen van banken die activa voor beloningsregelingen voor het personeel of voor anderen beleggen en beheren, hypotheekbankiers die hypotheken voor anderen beheren, en application service providers die softwarepakketten en een technische infrastructuur ter beschikking stellen zodat cliënten financiële en operationele transacties kunnen verwerken.

Voorbeelden van voor de controle relevante diensten van een serviceorganisatie zijn:

• het bijhouden van de administratieve vastleggingen van de gebruikersorganisatie;

• het beheren van activa;

• het als tussenpersoon voor de gebruikersorganisatie tot stand brengen, vastleggen of verwerken van transacties.

Kleinere entiteiten kunnen gebruikmaken van externe boekhoudkundige diensten variërend van het verwerken van bepaalde transacties (bijvoorbeeld de betaling van loonbelasting) en het bijhouden van de administratieve vastleggingen tot het opstellen van financiële overzichten. Wanneer een kleinere entiteit gebruikmaakt van een dergelijke serviceorganisatie om haar financiële overzichten op te stellen, ontheft dit haar management en, in voorkomend geval, de met governance belaste personen niet van hun verantwoordelijkheden voor de financiële overzichten.Standaard 200, Algehele doelstellingen van de onafhankelijke accountant, alsmede het uitvoeren van een controle overeenkomstig de Standaarden, paragraaf 4, A2 en A3.

(Zie Par. 9(b))

Een serviceorganisatie kan beleidslijnen en procedures vaststellen die van invloed zijn op de interne beheersing van de gebruikersorganisatie. Deze beleidslijnen en procedures staan ten minste gedeeltelijk fysiek en operationeel apart van de gebruikersorganisatie. De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt af van de aard van de door de serviceorganisatie verleende diensten, met inbegrip van de aard en de materialiteit van de transacties die zij voor de gebruikersorganisatie verwerkt. In bepaalde situaties kunnen de door de serviceorganisatie verwerkte transacties en de daardoor beïnvloede rekeningen niet van materieel belang lijken te zijn voor de financiële overzichten van de gebruikersorganisatie, maar de aard van de verwerkte transacties kan significant zijn en de accountant van de gebruikersorganisatie kan bepalen dat inzicht in die interne beheersingsmaatregelen in de omstandigheden noodzakelijk is.

(Zie Par. 9(c))

De significantie van de interne beheersingsmaatregelen van de serviceorganisatie voor die van de gebruikersorganisatie hangt ook af van de mate van interactie tussen de activiteiten van beide organisaties. De mate van interactie verwijst naar in hoeverre de gebruikersorganisatie effectieve interne beheersingsmaatregelen voor de door de serviceorganisatie uitgevoerde verwerking kan toepassen en daadwerkelijk implementeert. Zo bestaat er een hoge mate van interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie wanneer de gebruikersorganisatie transacties autoriseert en de serviceorganisatie die transacties verwerkt en de administratieve verwerking ervan verzorgt. In deze omstandigheden kan het voor de gebruikersorganisatie praktisch uitvoerbaar zijn om effectieve interne beheersingsmaatregelen te implementeren voor die transacties. Wanneer de serviceorganisatie daarentegen transacties voor de gebruikersorganisatie tot stand brengt, of die transacties aanvankelijk vastlegt, verwerkt en de administratieve verwerking ervan verzorgt, is er een kleinere mate van interactie tussen de twee organisaties. In deze omstandigheden kan de gebruikersorganisatie niet in staat zijn om binnen de eigen organisatie effectieve interne beheersingsmaatregelen toe te passen voor deze transacties, of kan zij ervoor kiezen dit niet te doen, en kan zij steunen op interne beheersingsmaatregelen bij de serviceorganisatie.

(Zie Par. 9(d))

Het contract of de servicelevel-agreement tussen de gebruikersorganisatie en de serviceorganisatie kan aangelegenheden regelen zoals:

• de aan de gebruikersorganisatie te verstrekken informatie en de verantwoordelijkheden voor het tot stand brengen van transacties die betrekking hebben op de door de serviceorganisatie uitgevoerde activiteiten;

• het toepassen van vereisten van regelgevende of toezichthoudende instanties die betrekking hebben op de vorm van of de toegang tot te bewaren vastleggingen;

• de eventuele schadeloosstelling die aan de gebruikersorganisatie moet worden betaald in het geval van een tekortschietende uitvoering;

• of de serviceorganisatie een rapport zal uitbrengen over haar interne beheersingsmaatregelen en, zo ja, of een dergelijk rapport een type 1- of een type 2-rapport zal zijn;

• of de accountant van de gebruikersorganisatie het recht heeft op toegang tot de administratieve vastleggingen van de gebruikersorganisatie die door de serviceorganisatie wordt bijgehouden, alsmede tot andere informatie die noodzakelijk is voor het uitvoeren van de controle; en

• of de overeenkomst directe communicatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie toestaat.

Er bestaat een directe relatie tussen de serviceorganisatie en de gebruikersorganisatie en tussen de serviceorganisatie en de accountant van de serviceorganisatie. Deze relaties creëren niet noodzakelijk een directe relatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie. Wanneer er geen directe relatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie bestaat, verloopt de communicatie tussen de accountant van de gebruikersorganisatie en de accountant van de serviceorganisatie gewoonlijk via de gebruikersorganisatie en de serviceorganisatie. Er kan ook een directe relatie worden gecreëerd tussen een accountant van een gebruikersorganisatie en een accountant van een serviceorganisatie, met inachtneming van de toepasselijke ethische en geheimhoudingsoverwegingen. Een accountant van een gebruikersorganisatie kan bijvoorbeeld gebruikmaken van een accountant van een serviceorganisatie om namens hem werkzaamheden uit te voeren zoals:

1. toetsingen van interne beheersingsmaatregelen van de serviceorganisatie; of

2. gegevensgerichte controles met betrekking tot de door een serviceorganisatie bijgehouden transacties en saldi in de financiële overzichten van de gebruikersorganisatie.

Accountants in de publieke sector hebben over het algemeen ruime toegangsrechten die bij wet zijn vastgesteld. Er kunnen zich echter situaties voordoen waarin van dergelijke toegangsrechten geen gebruik kan worden gemaakt, bijvoorbeeld wanneer de serviceorganisatie in een ander rechtsgebied is gevestigd. In dergelijke gevallen kan een accountant in de publieke sector het noodzakelijk vinden om inzicht te verwerven in de wetgeving die van toepassing is in het andere rechtsgebied om na te gaan of passende toegangsrechten kunnen worden verkregen. Een accountant in de publieke sector kan ook toegangsrechten verkrijgen krachtens, of aan de gebruikersorganisatie vragen om deze op te nemen in, een contractuele overeenkomst tussen de gebruikersorganisatie en de serviceorganisatie.

Accountants in de publieke sector kunnen ook gebruikmaken van een andere accountant om toetsingen van interne beheersingsmaatregelen of gegevensgerichte controles te laten uitvoeren die betrekking hebben op de naleving van wet– en regelgeving of andere van kracht zijnde voorschriften.

(Zie Par. 10)

De gebruikersorganisatie kan interne beheersingsmaatregelen voor diensten van de serviceorganisatie vaststellen die door de accountant van de gebruikersorganisatie kunnen worden getoetst, zodat deze kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor sommige of alle daarmee verband houdende beweringen, ongeacht de bij de serviceorganisatie bestaande interne beheersingsmaatregelen. Wanneer een gebruikersorganisatie bijvoorbeeld gebruikmaakt van een serviceorganisatie om haar loontransacties te verwerken, kan zij interne beheersingsmaatregelen met betrekking tot de verzending en ontvangst van looninformatie vaststellen die afwijkingen van materieel belang kunnen voorkomen of detecteren. Onder deze interne beheersingsmaatregelen vallen:

• het vergelijken van de aan de serviceorganisatie verzonden gegevens met informatierapporten van de serviceorganisatie nadat de gegevens zijn verwerkt;

• het herberekenen van een steekproef van de loonbedragen om deze op hun administratieve juistheid te toetsen, en het beoordelen van het totaalbedrag van de loonkosten om dit op redelijkheid te toetsen.

In deze situatie kan de accountant van de gebruikersorganisatie toetsingen van de interne beheersingsmaatregelen van de gebruikersorganisatie met betrekking tot de loonadministratie verrichten zodat hij kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor de beweringen die betrekking hebben op de loontransacties.

Zoals uiteengezet in Standaard 315 Standaard 315, paragraaf 30., kan de accountant van de gebruikersorganisatie bij sommige risico’s van oordeel zijn dat het niet mogelijk of praktisch uitvoerbaar is om voldoende en geschikte controle-informatie te verkrijgen door middel van gegevensgerichte controles alleen. Dergelijke risico’s kunnen verband houden met de onnauwkeurige en onvolledige vastlegging van routinematige en significante transactiestromen of rekeningsaldi, waarvan de kenmerken vaak een hoge mate van geautomatiseerde gegevensverwerking met weinig of geen handmatige interventie mogelijk maken. Er kan met name sprake zijn van dergelijke geautomatiseerde verwerking wanneer de gebruikersorganisatie gebruikmaakt van serviceorganisaties. In dergelijke gevallen zijn de interne beheersingsmaatregelen van de gebruikersorganisatie die op dergelijke risico's betrekking hebben, relevant voor de controle en wordt van de accountant van de gebruikersorganisatie vereist dat hij inzicht verwerft in en een beoordeling verricht van dergelijke interne beheersingsmaatregelen overeenkomstig de paragrafen 9 en 10 van deze Standaard.

(Zie Par. 12)

De beslissing van de accountant van de gebruikersorganisatie over het controlemiddel dat hij, afzonderlijk of in combinatie, in het geval van paragraaf 12 zal inzetten om de noodzakelijke informatie te verkrijgen op basis waarvan hij de risico’s op een afwijking van materieel belang kan identificeren en inschatten die betrekking heeft op het feit dat de gebruikersorganisatie gebruikmaakt van een serviceorganisatie, kan worden beïnvloed door aangelegenheden zoals:

• de omvang van zowel de gebruikersorganisatie als de serviceorganisatie;

• de complexiteit van de transacties bij de gebruikersorganisatie en de complexiteit van de door de serviceorganisatie verleende diensten;

• de locatie van de serviceorganisatie (de accountant van de gebruikersorganisatie kan bijvoorbeeld besluiten om gebruik te maken van een andere accountant om namens hem werkzaamheden uit te voeren bij de serviceorganisatie wanneer deze zich op een verafgelegen locatie bevindt);

• de vraag of er van de werkzaamheden wordt verwacht dat zij de accountant van de gebruikersorganisatie daadwerkelijk voldoende en geschikte controle-informatie verschaffen; en

• de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie.

Een serviceorganisatie kan een accountant de opdracht geven een rapport op te stellen over de beschrijving en de opzet van haar interne beheersingsmaatregelen (type 1-rapport) of over de beschrijving en de opzet alsook de effectieve werking van haar interne beheersingsmaatregelen (type 2-rapport). Type 1- of type 2-rapporten kunnen worden uitgebracht overeenkomstig Standaard 3402 Standaard 3402, Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie. dan wel overeenkomstig standaarden die zijn vastgesteld door een daartoe bevoegde of erkende organisatie (die een andere naam kan gebruiken, zoals type A- of type B-rapporten).

Of er een type 1-of type 2-rapport beschikbaar is, zal over het algemeen afhangen van de vraag of het contract tussen een serviceorganisatie en een gebruikersorganisatie voorziet in de opstelling van een dergelijk rapport door de serviceorganisatie. Een serviceorganisatie kan er, om praktische redenen, ook voor kiezen een type 1- of type-2 rapport beschikbaar te stellen aan haar gebruikersorganisaties. Het is echter mogelijk dat in sommige gevallen geen type 1- of type 2-rapport beschikbaar is voor gebruikersorganisaties.

In sommige omstandigheden kan een gebruikersorganisatie een of meer significante bedrijfsonderdelen of bedrijfsfuncties, zoals haar volledige fiscale planning- en compliancefuncties, haar financiële beheer en administratie of de controllerfunctie, aan een of meer serviceorganisaties uitbesteden. Omdat er in deze omstandigheden mogelijk geen rapport over de interne beheersingsmaatregelen bij de serviceorganisatie beschikbaar is, kan de meest effectieve methode voor de accountant van de gebruikersorganisatie om inzicht te verwerven in de interne beheersingsmaatregelen bij de serviceorganisatie, erin bestaan de serviceorganisatie te bezoeken, omdat het aannemelijk is dat er een directe interactie bestaat tussen het management van de gebruikersorganisatie en dat van de serviceorganisatie.

Er kan van een andere accountant gebruik worden gemaakt om werkzaamheden te laten verrichten die de noodzakelijke informatie over de relevante interne beheersingsmaatregelen bij de serviceorganisatie verschaffen die betrekking hebben op de diensten geleverd aan de gebruikersorganisatie. Wanneer een type 1-of type 2-rapport is uitgebracht, kan de accountant van de gebruikersorganisatie gebruikmaken van de accountant van de serviceorganisatie om deze werkzaamheden uit te voeren omdat de accountant van de serviceorganisatie een bestaande relatie heeft met de serviceorganisatie. Indien de accountant van de gebruikersorganisatie zich op de werkzaamheden van een andere accountant baseert, kunnen de leidraden in Standaard 220 Standaard 220, Kwaliteitsmanagement voor een controle van financiële overzichten nuttig zijn, aangezien deze verband houden met het vaststellen van de competentie en capaciteiten van de andere accountant (met inbegrip van de onafhankelijkheid van die accountant) en de aansturing van en het toezicht op de andere accountant, , aard, omvang en timing van de werkzaamheden toegewezen aan de andere accountant en het evalueren van het voldoende en geschikt zijn van de verkregen controle-informatie.

Een gebruikersorganisatie kan gebruikmaken van een serviceorganisatie, die op haar beurt gebruikmaakt van een subserviceorganisatie voor het verlenen van sommige aan de gebruikersorganisatie verleende diensten die deel uitmaken van het voor de financiële verslaggeving relevante informatiesysteem. De subserviceorganisatie kan een entiteit zijn die losstaat van dan wel verbonden is met de serviceorganisatie. Een accountant van de gebruikersorganisatie kan het noodzakelijk vinden de interne beheersingsmaatregelen van de subserviceorganisatie te beschouwen. In omstandigheden waarbij er van een of meer subserviceorganisaties gebruik wordt gemaakt, wordt de interactie tussen de activiteiten van de gebruikersorganisatie en die van de serviceorganisatie uitgebreid tot de interactie tussen de gebruikersorganisatie, de serviceorganisatie en de subserviceorganisaties. De mate van interactie alsmede de aard en materialiteit van de door de serviceorganisatie en de subserviceorganisaties verwerkte transacties zijn de belangrijkste factoren die de accountant van de gebruikersorganisatie moet overwegen om de significantie van de interne beheersingsmaatregelen van de serviceorganisatie en de subserviceorganisatie voor de interne beheersingsmaatregelen van de gebruikersorganisatie te bepalen.

(Zie Par. 13 en 14)

De accountant van de gebruikersorganisatie kan verzoeken om inlichtingen over de accountant van de serviceorganisatie bij diens beroepsorganisatie of bij andere beroepsbeoefenaren en verzoeken om inlichtingen over de vraag of de accountant van de serviceorganisatie aan toezicht onderworpen is. De accountant van de serviceorganisatie kan werkzaam zijn in een rechtsgebied waar andere standaarden worden gevolgd met betrekking tot rapportages over interne beheersingsmaatregelen bij een serviceorganisatie, en de accountant van de gebruikersorganisatie kan informatie over de door de accountant van de serviceorganisatie gebruikte standaarden verkrijgen bij de organisatie die deze standaarden vaststelt.

Een type 1- of type 2-rapport kan, samen met informatie over de gebruikersorganisatie, de accountant van de gebruikersorganisatie inzicht helpen verwerven in:

1. de aspecten van interne beheersingsmaatregelen bij de serviceorganisatie die van invloed kunnen zijn op de verwerking van de transacties van de gebruikersorganisatie, met inbegrip van het gebruikmaken van subserviceorganisaties;

2. de stroom van significante transacties door de serviceorganisatie om de punten in de transactiestromen te bepalen waar zich afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie zouden kunnen voordoen;

3. de interne beheersingsdoelstellingen bij de serviceorganisatie die relevant zijn voor de in de financiële overzichten van de gebruikersorganisatie opgenomen beweringen; en

4. de vraag of de interne beheersingsmaatregelen bij de serviceorganisatie toereikend zijn opgezet en geïmplementeerd om verwerkingsfouten die kunnen leiden tot afwijkingen van materieel belang in de financiële overzichten van de gebruikersorganisatie, te voorkomen of te detecteren.

Een type 1- of type 2-rapport kan de accountant van de gebruikersorganisatie helpen voldoende inzicht te verwerven om de risico’s op een afwijking van materieel belang te identificeren en in te schatten. Een type 1-rapport verstrekt echter geen controle-informatie over de effectieve werking van de interne beheersingsmaatregelen.

Een type 1- of type 2-rapport dat van een datum is dan wel voor een periode geldt die buiten de verslagperiode van een gebruikersorganisatie valt, kan de accountant van de gebruikersorganisatie een voorlopig inzicht helpen verwerven in de interne beheersingsmaatregelen die geïmplementeerd zijn bij de serviceorganisatie, indien het rapport aangevuld is met aanvullende actuele informatie uit andere bronnen. Indien de beschrijving van interne beheersingsmaatregelen van de serviceorganisatie van een datum is dan wel voor een periode geldt die voorafgaat aan het begin van de verslagperiode waarop de controle betrekking heeft, kan de accountant van de gebruikersorganisatie werkzaamheden uitvoeren om de informatie in een type 1- of type 2-rapport te actualiseren, zoals:

• het bespreken van de wijzigingen bij de serviceorganisatie met medewerkers van de gebruikersorganisatie die gezien hun positie van dergelijke wijzigingen op de hoogte zouden zijn;

• het beoordelen van actuele documentatie en correspondentie die uitgaat van de serviceorganisatie; of

• het bespreken van de wijzigingen met medewerkers van de serviceorganisatie.

(Zie Par. 16)

Krachtens Standaard 330 Standaard 330, paragraaf 8. wordt van de accountant van de gebruikersorganisatie vereist om in bepaalde omstandigheden toetsingen van de interne beheersingsmaatregelen op te zetten en uit te voeren om voldoende en geschikte controle-informatie te verkrijgen over de effectieve werking van interne beheersingsmaatregelen. In de context van een serviceorganisatie is dit vereiste van toepassing wanneer:

1. de inschatting van de risico’s op een afwijking van materieel belang door de accountant van de gebruikersorganisatie de verwachting bevat dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken (dat wil zeggen dat hij voornemens is te steunen op de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie bij het bepalen van de aard, timing en omvang van gegevensgerichte controles); of

2. gegevensgerichte controles alleen, of in combinatie met toetsingen van de effectieve werking van de interne beheersingsmaatregelen bij de gebruikersorganisatie, geen voldoende en geschikte controle-informatie kunnen verschaffen op het niveau van beweringen.

Indien er geen type 2-rapport beschikbaar is, kan een accountant van een gebruikersorganisatie via die organisatie contact opnemen met de serviceorganisatie met het verzoek dat de serviceorganisatie een accountant de opdracht geeft om een type 2-rapport af te geven dat toetsingen van de effectieve werking van de interne beheersingsmaatregelen omvat, of kan de accountant van de gebruikersorganisatie gebruikmaken van een andere accountant om werkzaamheden bij de serviceorganisatie te laten uitvoeren die de effectieve werking van die interne beheersingsmaatregelen toetsen. Een accountant van een gebruikersorganisatie kan de serviceorganisatie ook bezoeken en toetsingen van interne beheersingsmaatregelen verrichten indien de serviceorganisatie daarmee instemt. De accountant van de gebruikersorganisatie baseert zijn risico-inschattingen op de combinatie van de controle-informatie die wordt verkregen uit de werkzaamheden van een andere accountant en uit zijn eigen werkzaamheden.

(Zie Par. 17)

Een type 2-rapport kan bedoeld zijn om aan de behoeften van accountants van verschillende gebruikersorganisaties te voldoen; daarom is het mogelijk dat toetsingen van interne beheersingsmaatregelen en resultaten die beschreven zijn in het rapport van de accountant van de serviceorganisatie, niet relevant zijn voor beweringen die significant zijn in de financiële overzichten van de gebruikersorganisatie. De relevante toetsingen van interne beheersingsmaatregelen en resultaten worden geëvalueerd om te bepalen of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om de risico-inschatting van de accountant van de gebruikersorganisatie te ondersteunen. Daarbij kan de accountant van de gebruikersorganisatie de volgende factoren in overweging nemen:

1. de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben, en de tijd die is verstreken sinds het verrichten van die toetsingen;

2. de reikwijdte van de werkzaamheden van de accountant van de serviceorganisatie en de diensten en processen waarop die werkzaamheden betrekking hebben, de getoetste interne beheersingsmaatregelen en de toetsingen die werden verricht, en het verband tussen de getoetste interne beheersingsmaatregelen en de interne beheersingsmaatregelen van de gebruikersorganisatie; en

3. de resultaten van die toetsingen van interne beheersingsmaatregelen en het oordeel van de accountant van de serviceorganisatie over de effectieve werking van de interne beheersingsmaatregelen.

Voor bepaalde beweringen geldt dat des te korter de periode waarop een specifieke toetsing betrekking heeft en des te langer de tijd die is verstreken sinds het verrichten van de toetsing, des te minder controle-informatie de toetsing zal verstrekken. Door de periode waarop het type 2-rapport betrekking heeft, te vergelijken met de financiële verslaggevingsperiode van de gebruikersorganisatie, kan de accountant van de gebruikersorganisatie concluderen dat het type 2-rapport minder controle-informatie biedt indien er weinig overlap bestaat tussen de periode waarop het type 2-rapport betrekking heeft, en de periode waarvoor de accountant voornemens is op het rapport te steunen. Wanneer dit het geval is, kan een type 2-rapport dat op een eerdere of een latere periode betrekking heeft, aanvullende controle-informatie verstrekken. In andere gevallen kan de accountant van de gebruikersorganisatie bepalen dat het noodzakelijk is om toetsingen van interne beheersingsmaatregelen bij de serviceorganisatie te verrichten, dan wel door een andere accountant te laten verrichten, om voldoende en geschikte controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen.

Het kan ook noodzakelijk zijn dat de accountant van de gebruikersorganisatie aanvullende controle-informatie verkrijgt over significante wijzigingen van de interne beheersingsmaatregelen bij de serviceorganisatie buiten de periode waarop het type 2-rapport betrekking heeft, of dat hij uit te voeren aanvullende controlewerkzaamheden bepaalt. Relevante factoren bij het bepalen welke aanvullende controle-informatie moet worden verkregen over de interne beheersingsmaatregelen bij de serviceorganisatie die werden toegepast buiten de periode waarop het rapport van de accountant van de serviceorganisatie betrekking heeft, zijn onder meer:

• de significantie van de ingeschatte risico’s op een afwijking van materieel belang in de beweringen;

• de specifieke interne beheersingsmaatregelen die getoetst werden tijdens de tussentijdse periode en significante wijzigingen van die maatregelen sinds zij werden getoetst, met inbegrip van wijzigingen in het informatiesysteem, de processen en het personeel;

• de mate waarin er controle-informatie over de effectieve werking van die interne beheersingsmaatregelen is verkregen;

• de duur van de resterende periode;

• de mate waarin de accountant van de gebruikersorganisatie voornemens is verdere gegevensgerichte controles te beperken omdat wordt gesteund op interne beheersingsmaatregelen; en

• de effectiviteit van de interne beheersingsomgeving en het proces van de gebruikersorganisatie om het systeem van interne beheersing te monitoren.

Aanvullende controle-informatie kan bijvoorbeeld worden verkregen door de toetsingen van de interne beheersingsmaatregelen uit te breiden tot de resterende periode of door het proces van de gebruikersorganisatie om het systeem van interne beheersing te monitoren, te toetsen.

Indien de toetsingsperiode van de accountant van de serviceorganisatie volledig buiten de financiële verslaggevingsperiode van de gebruikersorganisatie valt, zal de accountant van de gebruikersorganisatie niet op dergelijke toetsingen kunnen steunen om te concluderen dat de interne beheersingsmaatregelen bij de gebruikersorganisatie effectief werken omdat zij voor de lopende controleperiode geen actuele controle-informatie voor de effectiviteit van de interne beheersingsmaatregelen verstrekken, tenzij er andere werkzaamheden worden uitgevoerd.

In bepaalde omstandigheden kan een door de serviceorganisatie verleende dienst zijn opgezet in de veronderstelling dat bepaalde interne beheersingsmaatregelen door de gebruikersorganisatie zullen worden geïmplementeerd. De dienst kan bijvoorbeeld zijn opgezet in de veronderstelling dat de gebruikersorganisatie interne beheersingsmaatregelen zal hebben voor het autoriseren van transacties voordat zij voor verwerking naar de serviceorganisatie worden gestuurd. In een dergelijke situatie kan de beschrijving van de interne beheersingsmaatregelen bij de serviceorganisatie een beschrijving van die aanvullende interne beheersingsmaatregelen bij de gebruikersorganisatie omvatten. De accountant van de gebruikersorganisatie overweegt of de aanvullende interne beheersingsmaatregelen bij de gebruikersorganisatie relevant zijn voor de aan de gebruikersorganisatie verleende dienst.

Indien de accountant van de gebruikersorganisatie van mening is dat het rapport van de accountant van de serviceorganisatie geen voldoende en geschikte controle-informatie verstrekt, bijvoorbeeld indien een rapport van de accountant van de serviceorganisatie geen beschrijving van de door hem verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan bevat, dan kan de accountant van de gebruikersorganisatie het inzicht in de werkzaamheden en de conclusies van de accountant van de serviceorganisatie aanvullen door via de gebruikersorganisatie contact op te nemen met de serviceorganisatie met het verzoek om een gesprek met de accountant van de serviceorganisatie over de reikwijdte en de resultaten van diens werkzaamheden. De accountant van de gebruikersorganisatie kan ook, indien hij van mening is dat dit noodzakelijk is, via de gebruikersorganisatie contact opnemen met de serviceorganisatie met het verzoek dat de accountant van de serviceorganisatie werkzaamheden uitvoert bij de serviceorganisatie. Een andere mogelijkheid bestaat erin dat de accountant van de gebruikersorganisatie deze werkzaamheden zelf uitvoert, of door een andere accountant namens hem laat uitvoeren.

Het type 2-rapport van de accountant van de serviceorganisatie bevat de resultaten van de toetsingen, met inbegrip van uitzonderingen en andere informatie die invloed zou kunnen hebben op de conclusies van de accountant van de gebruikersorganisatie. Wanneer de de accountant van de serviceorganisatie in zijn type-2 rapport melding heeft gemaakt van uitzonderingen of een aangepast oordeel heeft opgenomen, betekent dit niet automatisch dat dit type 2-rapport niet nuttig is voor de controle van de financiële overzichten van de gebruikersorganisatie wanneer de risico’s op een afwijking van materieel belang worden ingeschat. De accountant van de gebruikersorganisatie neemt de uitzonderingen en de aangelegenheden die tot een aangepast oordeel in het type 2-rapport van de accountant van de serviceorganisatie hebben geleid, in overweging wanneer hij de toetsingen van de interne beheersingsmaatregelen door de accountant van de serviceorganisatie inschat. Wanneer hij de uitzonderingen en aangelegenheden die tot een aangepast oordeel hebben geleid, in overweging neemt, kan de accountant van de gebruikersorganisatie die aangelegenheden met de accountant van de serviceorganisatie bespreken. Dergelijke communicatie kan slechts plaatsvinden indien de gebruikersorganisatie contact opneemt met de serviceorganisatie en de serviceorganisatie toestemming voor de communicatie verleent.

Van de accountant van de gebruikersorganisatie wordt vereist dat hij significante tekortkomingen die hij tijdens de controle heeft vastgesteld, tijdig schriftelijk aan het management en de met governance belaste personen meedeelt. Standaard 265, Meedelen van tekortkomingen in de interne beheersing aan de met governance belaste personen en het management, paragraaf 9 en 10. Van de accountant van de gebruikersorganisatie wordt ook vereist dat hij andere tekortkomingen in de interne beheersing, die hij tijdens de controle heeft vastgesteld en die op grond van zijn professionele oordeelsvorming voldoende belangrijk zijn om de aandacht van het management te verdienen, tijdig aan het management op het passende niveau meedeelt. Standaard 265, paragraaf 10. Aangelegenheden die de accountant van de gebruikersorganisatie tijdens de controle kan vaststellen en aan het management en de met governance belaste personen kan meedelen, kunnen onder meer betrekking hebben op:

• de eventuele interne beheersingsmaatregelen binnen het proces van de entiteit om het systeem van interne beheersing te monitoren dat door de gebruikersorganisatie zou kunnen worden geïmplementeerd, inclusief de maatregelen die de accountant heeft geïdentificeerd via een type 1- of type 2-rapport;

• gevallen waarin aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie in het type 1- of type 2-rapport worden vermeld maar niet door de gebruikersorganisatie zijn geïmplementeerd; en

• interne beheersingsmaatregelen die noodzakelijk kunnen zijn bij de serviceorganisatie, maar blijkbaar niet geïmplementeerd zijn of niet specifiek in een type 2-rapport zijn behandeld.

(Zie Par. 21 en 22)

In sommige gevallen kan van de accountant van de gebruikersorganisatie uit hoofde van wet- of regelgeving een verwijzing naar de werkzaamheden van een accountant van een serviceorganisatie vereist worden in zijn controleverklaring op te nemen, bijvoorbeeld omwille van de transparantie in de publieke sector. In dergelijke omstandigheden kan hij voor die verwijzing de voorafgaande toestemming van de accountant van de serviceorganisatie nodig hebben.

Wanneer een gebruikersorganisatie gebruikmaakt van een serviceorganisatie, doet dit niets af aan de verantwoordelijkheid die de accountant van de gebruikersorganisatie uit hoofde van de Standaarden heeft om voldoende en geschikte controle-informatie te verkrijgen zodat hij over een redelijke basis beschikt om zijn oordeel te ondersteunen. Om die reden verwijst de accountant van de gebruikersorganisatie niet naar de rapportage van de accountant van de serviceorganisatie als basis, al dan niet gedeeltelijk, voor zijn oordeel over de financiële overzichten van de gebruikersorganisatie. Wanneer de accountant van de gebruikersorganisatie echter een aangepast oordeel tot uitdrukking brengt op grond van een aangepast oordeel in een rapport van de accountant van de serviceorganisatie, vormt dit geen beletsel voor hem om te verwijzen naar het rapport van de accountant van de serviceorganisatie wanneer die verwijzing zijn aangepaste oordeel mede motiveert. In dergelijke omstandigheden kan hij voor die verwijzing de voorafgaande toestemming van de accountant van de serviceorganisatie nodig hebben.