Teneinde ISA 402 na te leven, is het laten opstellen van een verslag op basis van ISAE 3402 verplicht bij de audit van een vennootschap die gebruik maakt van een serviceorganisatie, zoals een sociaal secretariaat? Zo ja, dient dit verslag elk jaar te worden opgevraagd?

Gepubliceerd op 15 mei 2015

ISA's en ISRE's > vragen met betrekking tot de te volgen stappen van de controle

Antwoord:

Het naleven van ISA 402 betekent niet dat telkens een verslag overeenkomstig ISAE 3402 dient te worden opgesteld. Indien het verslag nodig wordt geacht en de omstandigheden identiek blijven gedurende het volgende boekjaar, dient het jaarlijks te worden opgesteld. De bedrijfsrevisor moet jaarlijks nagaan of een verslag noodzakelijk is.

Het is immers tijdens het controleproces dat de auditor bepaalt of een verslag (ISAE 3402) noodzakelijk is. De beoordeling van de auditor kan als volgt worden samengevat.

Het bestuursorgaan van de gecontroleerde entiteit is verantwoordelijk voor het implementeren van een interne beheersing die het noodzakelijk acht voor het opstellen van financiële overzichten die geen afwijkingen van materieel belang bevatten, zelfs indien een deel van het beheer van de gegevens door een derde partij wordt uitgevoerd. Veel entiteiten besteden bepaalde aspecten van hun bedrijfsvoering uit aan serviceorganisaties, zoals sociale secretariaten of IT-beheerorganisaties. De aard en de omvang van de werkzaamheden die de auditor van de gebruikersorganisatie moet uitvoeren indien zij beroep doet op een serviceorganisatie, zijn afhankelijk van de aard en de significantie van die diensten voor de gebruikersorganisatie en van de relevantie van die diensten voor de audit van de financiële overzichten.

Overeenkomstig ISA 402 "Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie" dient de auditor van de gebruikersorganisatie te bepalen of hij, overeenkomstig ISA 315, een toereikend inzicht heeft verworven in de voor de controle relevante interne beheersing. Hierbij dient de auditor van de gebruikersorganisatie een evaluatie te verrichten van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten, met inbegrip van de maatregelen die worden toegepast op de door de serviceorganisatie verwerkte transacties (ISA 402, par. 10).

De gebruikersorganisatie kan het zelf nuttig oordelen om een verslag conform ISAE 3402 te laten opstellen of om interne beheersingsmaatregelen voor diensten van de serviceorganisatie vast te stellen die door de auditor van de gebruikersorganisatie kunnen worden getoetst, zodat deze kan concluderen dat de interne beheersingsmaatregelen van de gebruikersorganisatie effectief werken voor sommige of alle daarmee verband houdende beweringen. Daarbij dient hij geen rekening te houden met de bij de serviceorganisatie geïmplementeerde interne beheersingsmaatregelen.

Wanneer een gebruikersorganisatie bijvoorbeeld gebruikmaakt van een serviceorganisatie om haar loontransacties te verwerken, kan zij interne beheersingsmaatregelen met betrekking tot de verzending en ontvangst van looninformatie vaststellen die afwijkingen van materieel belang kunnen voorkomen of detecteren. Onder deze interne beheersingsmaatregelen vallen:

  • het vergelijken van de aan de serviceorganisatie verzonden gegevens met informatierapporten van de serviceorganisatie nadat de gegevens zijn verwerkt (par. A12);
  • het herberekenen van een steekproef van de loonbedragen om deze op hun administratieve juistheid te toetsen, en het beoordelen van het totaalbedrag van de loonkosten om dit op redelijkheid te toetsen (par. A12);
  • het analyseren van het redelijk karakter van verschillende bedragen (bedrijfsvoorheffing, sociale lasten, voordelen in natura, verplaatsingskosten, enz.).

Bij gebrek aan (toereikende) interne beheersingsmaatregelen bij de gebruikersorganisatie dient de auditor te overwegen alternatieve werkzaamheden uit te voeren aan de hand waarvan hij voldoende en geschikte controle-informatie kan verkrijgen.

Het kan voorkomen dat de alternatieve werkzaamheden niet kunnen worden uitgevoerd, bijvoorbeeld omdat de hoeveelheid aan gegevens te groot is.

Indien de auditor geen voldoende en geschikte controle-informatie heeft kunnen bekomen zoals hierboven vermeld, dient hij een type 1- of type 2-rapport te verkrijgen van de serviceorganisatie. De type 1- of type 2-rapporten kunnen worden opgesteld overeenkomstig ISAE 3402 "Assurancerapporten betreffende interne beheersingsmaatregelen bij een derde partij serviceorganisatie" (ISA 402, par. 12). Dergelijk verslag is vaak klant-specifiek en dient jaarlijks door de gecontroleerde entiteit opgevraagd te worden bij zijn serviceorganisatie(s). De kost van het rapport dient gedragen te worden door de entiteit die de aanvraag doet.

Vorige pagina

______________________________

Disclaimer: De Stichting Informatiecentrum voor het Bedrijfsrevisoraat (ICCI) geeft op een autonome wijze, dus los van het Instituut van de Bedrijfsrevisoren (IBR), antwoorden op vragen van bedrijfsrevisoren met betrekking tot revisorale opdrachten. Deze adviezen vertegenwoordigen dus niet noodzakelijk het standpunt van de Raad van het IBR. Het formeel standpunt van het IBR kan enkel via de officiële organen, met name de Raad of, in voorkomend geval, het Uitvoerend comité worden ingewonnen. Hoewel het ICCI met de grootste zorgvuldigheid de ontvangen vragen behandelt en hiervoor beroep doet op personen met de vereiste bekwaamheden, wordt ten aanzien van de antwoorden geen enkele waarborg geboden en draagt het geen enkele contractuele en buitencontractuele aansprakelijkheid voor de eventuele schade die zou kunnen voortvloeien uit feitelijke of juridische vergissingen die werden begaan in het kader van de verstrekte antwoorden en informatie. De FAQ’s betreffende de ISA’s, ISRE’s en ISQC 1 werden opgesteld in overleg met de werkgroep ISA & ISQC 1 en de Commissie Normen van het IBR.