Upload
jelle-kuiper
View
221
Download
2
Tags:
Embed Size (px)
Citation preview
3 november 2008 1
Round Table “Ontwikkelingen SAS70”
Mariska Baars: IIA/Equens
Abbas Shahim: ISACA/Atos Consulting
Breukelen, 3 november 2008
3 november 2008 2
Round Table “Ontwikkelingen SAS70”
Agenda
• Assurance producten TPM en SAS70
• Ontwikkelingen
• Rol internal auditor
3 november 2008 3
RT “Ontwikkelingen SAS70”
Third Party Mededeling (TPM)
• Assurance rapport, komt voor in uitbestedingsituaties• TPM is niet terug te vinden in de bestaande regelgeving van de
beroepsorganisaties van accountants en IT-auditors
• TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd
• Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen
• Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking
3 november 2008 4
RT “Ontwikkelingen SAS70”
TPM rapportageDe uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie
Format: geen verplicht, standaard formatScope: uitbestede dienst
Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie
Oordeel: per aandachtsgebied van het referentiekader
3 november 2008 5
RT “Ontwikkelingen SAS70”
TPM aanpak (een voorbeeld)
TPMVaststellingreferentiekader
Vaststellingauditprogramma
& -planning
Uitvoeringonderzoek
Rapportage &afstemming
Fase 1 Fase 2 Fase 3 Fase 4
3 november 2008 6
RT “Ontwikkelingen SAS70”
TPM: voorbeeld referentiekader
Beheer• Het probleemmanagement proces is gedocumenteerd en geformaliseerd• ………………..
Algemeen• Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie•………………..
Beveiliging• Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd• ………………..
3 november 2008 7
RT “Ontwikkelingen SAS70”
TPM: oordeel (vb. opzet, bestaan en werking)• Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de
dienstverlener in opzet, bestaan en werking wel wordt voldaan aan de gestelde normen
• Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan aan de gestelde normen
• Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan aan de gestelde normen
3 november 2008 8
RT “Ontwikkelingen SAS70”
TPM: voorbeeld rapportageHoofd onderzoekreport
– Introductie: achtergrondinformatie– Managementsamenvatting: een verzameling van de
managementsamenvattingen van de deelrapporten– Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor
Beveiliging– Managementresponse: commentaar (feedback en verbeterplan) van de
directie van de dienstverlener.…………….................................................………………………………………………..
– Deel onderzoekreporten– Algemeen deelrapport
• Introductie• Managementsamenvatting• Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde
functionarissen– …………………………………………………………………………………………………...– Beheer- en beveiliging deelrapporten
• Idem
3 november 2008 9
RT “Ontwikkelingen SAS70”
TPM in uitbestedingsituatie en huidige wet- en regelgeving
Enkele sterke punten• Vorm en inhoud: geen verplicht format• Bekendheid in Nederland• …….
Minder sterke punten• Internationaal uitleggen • …………………..
3 november 2008 10
RT “Ontwikkelingen SAS70”
SAS70• Assurance rapport (TPM volgens SAS70 richtlijnen)• Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service
Organizations”). • Nav jaarrekeningcontrole van de gebruikers organisatie:
– Rapportage tussen accountants
– Scope: gerelateerd aan betrouwbaarheid financiële gegevens
• Onderdeel bij contractonderhandelingen
• Frequentie SAS70 audit jaarlijks
3 november 2008 11
RT “Ontwikkelingen SAS70”
SAS70 rapport: scope
Service organisatie
Uitbestedeservices
Scope van eenSAS 70 rapport
Geleverde services
Gebruikersorganisatie
3 november 2008 12
RT “Ontwikkelingen SAS70”
Wat is een SAS70 rapport niet?
• Geen certificaat• Beperkte, gedefinieerde gebruikers kring• Rapport van de auditor• SAS70 is geen norm. Het is een auditing standaard die tekst
en structuur van de mededeling auditor voorschrijft• SAS70 zegt niets over niveau van interne beheersing:
– Ambitie beheersdoelstellingen kan laag zijn– Scope kan te beperkt zijn
3 november 2008 13
RT “Ontwikkelingen SAS70”
SAS70 type rapporten• Type 1 rapport (momentopname), de service auditor geeft
een oordeel over: – De beschrijving van alle controle maatregelen die relevant zijn voor
de gebruikersorganisatie– De beschreven controle maatregelen zijn ontworpen om de
gespecificeerde controle doelstellingen te behalen– De beschreven controle maatregelen zijn geïmplementeerd
• Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op:– Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport,
en – De werking van de controle maatregelen
3 november 2008 14
RT “Ontwikkelingen SAS70”
SAS 70-rapport secties en verantwoordelijkheden
Sectie Verantwoordelijkheden
Rapport van de onafhankelijke auditor
Service auditorI.
Bedrijf A’s beschrijvingvan de controlemaatregelen en procedures
II. Bedrijf A
Testen van de werkingIII. Service auditor
Overige informatieIV. Bedrijf A
3 november 2008 15
RT “Ontwikkelingen SAS70”
Uitgifte van SAS 70-rapport
Volgende varianten zijn mogelijk• Geheel rapport op het briefpaper van de
serviceorganisatie. Serviceauditor tekent sectie I• Sectie I en Sectie III op het briefpapier van de
serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie
• Geheel rapport op het briefpapier van de serviceauditor
3 november 2008 16
RT “Ontwikkelingen SAS70”
Totstandkoming SAS70 rapport
Fase 3
Doorvoeren verbeteringen
Fase 2
Beschrijven service-
organisatie
Type I of Type II
Verklaring
Fase 1
Uitvoerenimpactanalyse
Fase 4
Uitvoeren SAS 70-audit
ca. 4 weken ca 3 maanden
ca.1-2 maanden
Type I: 1 maandType II: 6 maanden
Voorbereiding Certificering
Doorlooptijd
3 november 2008 17
RT “Ontwikkelingen SAS70”
SAS70 in uitbestedingsituatie en huidige wet- en regelgeving
Sterke punten• (internationale) naamsbekendheid• Continuïteit (jaarlijkse audit)• ..
Minder sterke punten• Verplicht format: inhoud en vorm• Aansprakelijkheid (externe kantoren)• ..
3 november 2008 18
RT “Ontwikkelingen SAS70”
SAS70, TPM of anders?
Wat vraagt de gebruikers organisatie?• Wet- en regelgeving (Sarbanes Oxley)• Uitbestedings contract• Scope (compliance, continuïteit)• User controls• Inzicht in impact afwijkingen• Inzicht in risk afwegingen
3 november 2008 19
RT “Ontwikkelingen SAS70”
SAS70, TPM of anders?
Wat wil de service provider?Efficiënt voldoen aan behoefte gebruikers
organisatie(s) (contract):• Scope• Generiek versus maatwerk• Combinatie assurance producten
3 november 2008 20
RT “Ontwikkelingen SAS70”
International Standard on Assurance
Engagements (ISAE) 3402, Assurance
Reports on Controls at a Third Party Service
Organization
Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in 2009.
Veel overeenkomsten met SAS70
SAS70 wordt op korte termijn herzien door AICPA
3 november 2008 21
RT “Ontwikkelingen SAS70”
ISAE 3402, aantal kenmerken (t.o.v. SAS70)• Management Assertion• Meer dan alleen financiële processen• Risico’s en materialiteit expliciet• Audit mededeling vermeldt gecombineerd afwijkingen• Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal
criteria• Eis aan auditors van gebruikers organisatie
Overeenkomsten SAS70• Type A (I) en B (II)• Use of Internal Audit• Rapportage format ongeveer gelijk• LOR
3 november 2008 22
RT “Ontwikkelingen SAS70”
Verwachte impact ISAE 3402 op gebruikers organisatie
• Managament assertion nodig• Criteria Control objectives, controls moet specifiek, relevant, meetbaar
zijn• Overgang SAS70 naar ISAE 3402 rapport• Uitleggen aan gebruiker (contracten)
3 november 2008 23
RT “Ontwikkelingen SAS70”
Is ISAE 3402 het antwoord?
Komt tegemoet aan aantal wensen gebruiker organisaties enservice provider:• Scope breder dan alleen financieel proces• Risico afwegingen explicieter
Maar er blijven over:• Kosten (ook overgang vanuit SAS70)• Geen eenduidig normen kader•
3 november 2008 24
RT “Ontwikkelingen SAS70”
Assurance: rol van de internal (operational/ IT) auditor
• Assurance proces– Aan tafel op moment van uitbesteding:
• “SAS70 automatisme”• Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service
auditor• Wat heeft service provider nog meer in huis qua assurance• User controls• Contractuele vastlegging assurance afspraken
– Adviseur management; kennis van internationale assurance ontwikkelingen• Bouw
– Internal Audit vaak betrokken bij opbouw product (project)• Audit
– Integratie externe en interne assurance– Monitoren actie punten– Externe accountant
3 november 2008 25
RT “Ontwikkelingen SAS70”
Publicaties Assurance ISACA en IIA
IIA : position paper ”SAS70 en de internal auditor”, januari 2008
3 november 2008 26
RT “Ontwikkelingen SAS70”
??