Nieuwe opzet 3402-rapport nader verklaard

17 december 2019 Ronald van Langen
PDF
In dit artikel:

De rapporttemplates voor 3402-rapporten zijn aangepast, net zoals eerder voor assurance-opdrachten onder Richtlijn 3000 is gebeurd. De meest kenmerkende wijziging is dat nu gestart wordt met het oordeel en geëindigd met de verantwoordelijkheden van de auditor. Hierdoor worden de 3402-rapporten consistent met de controleverklaringen bij financiële overzichten. Na een eerdere vergelijkbare aanpassing starten die namelijk ook met het oordeel. NOREA en de Nederlandse Beroepsvereniging van Accountants (NBA) hebben de nieuwe rapporttemplate voor 3402-rapporten in onderlinge samenspraak ontwikkeld en met diverse andere partijen afgestemd. Dit artikel schetst de wijzigingen en de achtergronden van de nieuwe templates.

De controleverklaring van accountants is het belangrijkste product om de uitkomsten van een controle te communiceren. Gebruikers van jaarrekeningen gaven de wens te kennen dat de controleverklaring informatiever zou moeten zijn. De verklaring zou vooral meer informatie afkomstig uit de controle moeten bevatten, die voor gebruikers relevant is. Daarom heeft de International Auditing and Assurance Standards Board (IAASB) van de International Federation of Accountants (IFAC) de nieuwe template voor controleverklaringen ontwikkeld en uitgerold. Doel is een verbeterde communicatie tussen gebruikers en de accountant, onder meer door eventueel kernpunten van de controle in het rapport te vermelden. NBA heeft vergelijkbare wijzigingen op haar beurt ook doorgevoerd voor alle andere verklaringen en assurancerapporten. Reden was de wens alle uitingen van haar leden qua vorm consistent maken, of dit nu controleverklaringen of assurancerapporten zijn.

Doel van de nieuwe templates met het oordeel in de eerste paragraaf is om duidelijker te communiceren over de uitkomsten van de assurancewerkzaamheden. In de Handreiking ENSIA voor IT auditors (RE’s) van 25 oktober 2018 is ook al een voorbeeld van een assurancerapport opgenomen waarbij de nieuwe opzet van de Richtlijn 3000 is gehanteerd. Ook in dit geval is dit ingegeven door feedback van de beoogde gebruikers.

Zijn de nieuwe templates verplicht?

De richtlijnen 3000 en 3402 geven aan welke elementen een assurancerapport moet bevatten, maar de invulling van deze elementen is niet voorgeschreven. Weliswaar geeft Richtlijn 3402 in de bijlagen voorbeelden van zo’n assurancerapport, maar hier mag de IT-auditor dus van afwijken. Dit leidt tot misschien wel het belangrijkste dilemma bij de keuze van een rapportage-template. Consistentie in de wijze waarop auditors hun oordeel kenbaar maken, zorgt immers voor herkenbaarheid van het product en draagt bij aan het begrip en zekerheid. De vraag is alleen: consistent met welk voorbeeld? De regionale context van het rapport kan hierbij richting geven. Vanuit een Nederlandse en/of accountants-context gezien, draagt de wijziging bij aan de beoogde consistentie. Maar is een 3402-rapportage bestemd voor een internationaal publiek die met name de voorbeelden uit ISAE 3402 (her)kennen, dan kun je overwegen om de huidige templates te blijven hanteren.

De onderdelen van een assurance-rapport

Een assurancerapport nieuwe stijl bestaat uit de volgende tien secties:

1 Titel
2 Aanhef
3 Ons Oordeel
4 De basis voor ons oordeel
5 Aangelegenheden met betrekking tot de reikwijdte van ons onderzoek
6 Beperkingen van een beschrijving en van interne beheersingsmaatregelen bij een serviceorganisatie
7 Beperkingen in gebruik en verspreidingskring
8 Verantwoordelijkheden van het bestuur van de serviceorganisatie
9 Verantwoordelijkheden van de IT-auditor
10 Ondertekening

Tabel 1: ‘Secties van assurancerapport nieuwe stijl’

De volgorde van de secties is onder meer gebaseerd op hun relatieve belang voor de gebruiker. Deze tien secties worden hierna toegelicht, het concept van de voorbeeldtekst is als bijlage toegevoegd. De uiteindelijke tekst kan op onderdelen nog worden aangepast naar aanleiding van de laatste afstemmingsrondes. Hieronder volgt een toelichting op elk van de secties.

1 Titel

De titel vermeldt dat het rapport een assurancerapport van de onafhankelijke accountant is. Hiermee wordt kenbaar gemaakt wat het product is en wie het in welke hoedanigheid uitbrengt. De ‘wie’ is een IT-auditor die, vanuit een positie die onafhankelijk is van de verantwoordelijke partij, derde gebruikers extra zekerheid geeft over de vraag of het onderzoeksobject voldoet aan de gestelde criteria.

2 Aanhef

In de aanhef staat aan wie het rapport primair is gericht. Vaak is dit de opdrachtgever.

3 Ons Oordeel

Een gebruiker is vooral geïnteresseerd in het oordeel; dit is dan ook waar het assurancerapport na de titel en aanhef mee begint.

Bij een 3402 type 2-rapport bestaat het oordeel uit drie onderdelen: een oordeel over de beschrijving en implementatie, een oordeel over de opzet van de interne beheersingsmaatregelen en een oordeel over de werking gedurende een periode.
Bij een 3402 type 2-opdracht wordt hier ook aangegeven in welke sectie de aard, timing en resultaten van de toetsing van de interne beheersingsmaatregelen zijn beschreven.

Omdat de criteria waartegen is getoetst zijn opgenomen in de managementvermelding volstaat een referentie hiernaar. Bij de 3402-template is ervoor gekozen om deze referentie in de sectie ‘Ons oordeel’ op te nemen en niet separaat in een eigen sectie ‘Criteria’ die volgt na de sectie ‘De basis voor ons oordeel’, zoals dat in de template voor andere assurance-opdrachten is verwoord.

Bij een 3402-assurancerapport moet de gebruiker het oordeel in de relevante context kunnen plaatsen. Daarom moet het rapport expliciet duidelijk maken of via de uitsluitingsmethode (carve-out) sub-serviceorganisaties buiten de reikwijdte zijn gebleven en of er aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie worden verondersteld. Er is gekozen om het oordeel kort en krachtig te vermelden en niet te voorzien van verdere context. Daarom is pragmatisch de volgende zin in de oordeelsparagraaf toegevoegd: ‘Ons oordeel is gevormd op basis van de aangelegenheden die in dit assurancerapport zijn uiteengezet’. Hiermee is het oordeel zelf beter leesbaar. Ter illustratie:

Huidig oordeel omtrent werking Overwogen alternatief
Hebben de getoetste interne beheersingsmaatregelen effectief gewerkt om de Beheersingsdoelstellingen te bereiken gedurende de periode van … (datum) tot en met … (datum). Hebben de getoetste interne beheersingsmaatregelen effectief gewerkt om de Beheersingsdoelstellingen te bereiken gedurende de periode van … (datum) tot en met … (datum) indien alsmede de aanvullende interne beheersmaatregelen van zowel de sub-serviceorganisaties en gebruikersorganisatie gedurende de periode van … (datum) tot en met … (datum) effectief gewerkt hebben waarmee bij de opzet van de beheersmaatregelen bij … (naam serviceorganisatie) rekening is gehouden.

Tabel 2: ‘Kort en krachtig geformuleerd oordeel’

4 De basis voor ons oordeel

In deze sectie nemen we de inhoudelijke en procedurele basis van ons oordeel op.
Inhoudelijk is het oordeel gebaseerd op de werkzaamheden die de auditor op grond van richtlijn 3402 heeft uitgevoerd, waarbij de auditor uitspreekt dat de verkregen assurance-informatie voldoende en geschikt is voor zijn oordeel. Die twee aspecten (de standaard en ‘voldoende en geschikt’) komen in deze sectie expliciet naar voren. Daarnaast wordt ook de mate van zekerheid aangeduid; bij een 340- opdracht betreft dit een redelijke mate van zekerheid.

De procedurele basis van een assurance-opdracht is gelegen in onafhankelijkheid van de auditor en kwaliteit van de uitvoering. De auditor is onafhankelijk ten opzichte van de verantwoordelijke partij. Om de vereiste uitvoeringskwaliteit te waarborgen, leven we als auditor de hoge maatstaven na die zijn neergelegd in het Reglement Gedragscode Register IT-Auditors (‘Code of Ethics’).

Voor IT-auditors binnen een accountantspraktijk is de onafhankelijkheid als onderdeel van de NBA-regelgeving nader geregeld in de Verordening inzake de onafhankelijkheid van accountants bij assurance-opdrachten (ViO).

Bij een niet goedkeurend oordeel bevat deze sectie ook een nadere toelichting met een duidelijke beschrijving van alle redenen daarvoor. De vertaalde voorbeelden uit ISAE 3402 zijn hierbij aangepast om nadrukkelijker aan te geven op welk van de drie oordelen (beschrijving/opzet/werking) de beperking betrekking heeft.

Optioneel is deze sectie uit te breiden met een aanvullende sectie ‘Kernpunten van ons onderzoek’. Hierin kan de IT-auditor die zaken uit het onderzoek beschrijven die naar zijn professionele oordeel het meest belangrijk waren. In de NBA-template voor assurance-opdrachten (3000 standaard)1 is hierin voorzien als optionele paragraaf. Een vergelijkbare NOREA-variant is nog niet uitgebracht. In de nieuwe opzet voor de 3402-rapport is dit niet overgenomen, onder meer omdat de IT-auditor bij een 3402-rapport type 2 de aard, timing en resultaten van de toetsingen toch al moet weergeven.

5 Aangelegenheden met betrekking tot de reikwijdte van ons onderzoek

Voor een juiste interpretatie van het oordeel moet een assurancerapport de reikwijdte van het onderzoek goed schetsen. Een 3402-assurancerapport kent drie standaardonderdelen die van toepassing kunnen zijn en daarom moeten worden vermeld. Dit betreft:

  • aanvullende interne beheersingsmaatregelen bij gebruikersorganisaties;
  • uitsluiting van de interne beheersingsmaatregelen van de ‘carved-out’ sub-serviceorganisatie(s);
  • overige informatie die geen onderdeel is van de beschrijving.

Bij de uitvoering en rapportage van een 3402-opdracht gelden ook de vereisten van Richtlijn 3000A. Zo bepaalt Richtlijn 3000A.68 dat een paragraaf waarin de IT-auditor bepaalde aangelegenheden benadrukt of overige aangelegenheden of aanvullende informatie vermeldt, door zijn bewoordingen duidelijk moet maken dat niet bedoeld is afbreuk te doen aan het oordeel. Daarom besluit deze sectie met de bewoordingen ‘Ons oordeel is niet aangepast als gevolg van deze aangelegenheden.’

6 Beperkingen van een beschrijving en van interne beheersingsmaatregelen bij een serviceorganisatie

Naast beperkingen in de reikwijdte van de opdracht kunnen bij 3402-opdrachten ook andere beperkingen gelden. De opdracht is veelal voor een brede groep van gebruikers bestemd en bevat daarom niet ieder aspect dat iedere individuele gebruikersorganisatie in diens specifieke omgeving relevant zou kunnen vinden. Ook zijn er inherente beperkingen op het terrein van interne beheersingsmaatregelen. Die zijn bijvoorbeeld niet altijd honderd procent effectief zijn en bovendien biedt toetsing van het verleden geen garantie voor de toekomst.

7 Beperkingen in gebruik en verspreidingskring

Een 3402-rapportage wordt opgesteld voor een bepaalde doelgroep. Die bestaat uit de gebruikers die bepaalde aspecten van hun bedrijfsvoering hebben uitbesteed aan de serviceorganisatie plus de van die gebruikers.

Een 3402-rapportage dient het specifieke doel inzicht te verschaffen in de interne beheersing bij de serviceorganisatie ten behoeve van de jaarrekening(controle) van de gebruikersorganisatie. Voorkomen moet worden dat het assurancerapport wordt opgevat als zekerheid gevend over de kwaliteit van de geleverde diensten, over de transacties of over saldi van een gebruikersorganisatie, of als een oordeel of de KPI’s in de service level agreement zijn behaald. Het doel moet daarom nadrukkelijk in het rapport worden vermeld. Een accountant van een gebruikersorganisatie zal bij uitbesteding controlestandaard 402 toepassen. Het nummer van de assurancestandaard is daaraan ook ontleend (3000 assurance-standaard + 402 controlestandaard bij uitbesteding = 3402 assurancerapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie).

De criteria zoals gespecificeerd in de 3402-richtlijn en de werkzaamheden van de IT-auditor zijn gebaseerd op het doel van de rapportage. Bij bijvoorbeeld uitspraken over de redelijkheid van de vermelde interne beheersingsmaatregelen gaat de IT-auditor na op welke wijze interne beheersingsmaatregelen bij een serviceorganisatie verband houden met de beweringen die in de financiële overzichten van gebruikersorganisaties staan. Het is in die context dat een oordeel wordt afgegeven voor een expliciet te vermelden doelgroep en doel.

8 Verantwoordelijkheden van het bestuur van de serviceorganisatie

Deze sectie vermeldt de verantwoordelijkheden van het bestuur van de serviceorganisatie. Het gaat onder meer om de verantwoordelijkheid voor het opstellen van de managementvermelding, de beschrijving inclusief de beheersingsdoelstellingen en -maatregelen die op basis van een risico-inschatting zijn bepaald en de dienstverlening.

De managementvermelding is een schriftelijke vermelding van de serviceorganisatie dat in alle van materieel belang zijnde opzichten, en op basis van geschikte criteria dat de beschrijving getrouw is weergegeven en dat de interne beheersingsmaatregelen op afdoende wijze zijn opgezet en werken. Het is daarmee het eigen oordeel of bewering van het management van de serviceorganisatie.
De beschrijving van het systeem van de serviceorganisatie omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruikersorganisaties de diensten te verlenen.

Tevens wordt vermeld dat de serviceorganisatie ook verantwoordelijk is voor de interne beheersing rondom het opstellen van de beschrijving en de opzet, implementatie en de werking van de maatregelen in de beschrijving.

9 Verantwoordelijkheden van de IT-auditor

De sectie die vooraf gaat aan de afsluitende ondertekening vermeldt de verantwoordelijkheden van de IT-auditor. Hierbij wordt ook aangegeven dat het Reglement Kwaliteitsbeheersing NOREA (RKBN) is toegepast. Omdat dit niet direct op de uitvoering van de opdracht betrekking heeft, is gekozen om deze verwijzing als onderdeel van de ‘Verantwoordelijkheden van de IT-auditor’ op te nemen en niet als onderdeel 4 (‘De basis van ons oordeel’).

Verder vermeldt de sectie in algemene termen de werkzaamheden. Hieronder vallen bijvoorbeeld het inschatten van risico’s en als reactie daarop het bepalen van de assurancewerkzaamheden, bij een type 2-opdracht inclusief de toetsing van de werking van interne beheersingsmaatregelen.

10 Ondertekening

Tot slot volgt de ondertekening van het assurancerapport, met vermelding van plaats, datum, de verantwoordelijke IT-auditor en de naam van de IT-auditpraktijk.

De datum is van belang, omdat daarmee ook wordt aangegeven tot welke datum de IT-auditor eventuele gebeurtenissen na de verslagperiode in ogenschouw heeft genomen die eventueel impact kunnen hebben op het onderzoeksobject en/of de inhoud van het assurancerapport.

Samenvatting

Op basis van de bestaande 3402-rapporttemplates en de nieuwe opzet van assurancerapporten is de nieuwe opzet van een 3402-rapport tot stand gekomen. Hierbij is in diverse afstemmingsrondes met betrokken partijen geschaafd aan de uiteindelijke tekst en woordkeuze. Doel was om, in navolging van de nieuwe controleverklaringen en opvolgende aanpassingen in assurancerapporten, te komen tot een nieuwe opzet die aansluit bij de wijze waarop een controleverklaring en andere assurancerapporten van een accountant thans worden verwoord. Hiermee wijkt de opzet af van het voorbeeld zoals deze in ISAE 3402 is opgenomen, maar die ruimte is er zolang alle verplichte elementen wel in de rapportage worden vermeld. Door de nieuwe opzet wordt duidelijker gecommuniceerd over de uitkomsten van de assurancewerkzaamheden bij een 3402-opdracht.

Geen categorie

Drs. R.J.M (Ronald) van Langen RE RA | senior manager bij KPMG

Ronald van Langen is senior manager Department of Professional Practice (DPP), het vaktechnische bureau van KPMG. Binnen DPP is hij het aanspreekpunt voor vaktechnische vraagstukken omtrent niet financiële assurance-opdrachten en IT-audit support bij jaarrekeningcontroles. Tevens is Ronald de voorzitter van de Vaktechnische Commissie van NOREA.