De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

3 november 20081 Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008.

Verwante presentaties


Presentatie over: "3 november 20081 Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008."— Transcript van de presentatie:

1 3 november Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008

2 3 november Round Table “Ontwikkelingen SAS70” Agenda Assurance producten TPM en SAS70 Ontwikkelingen Rol internal auditor

3 3 november RT “Ontwikkelingen SAS70” Third Party Mededeling (TPM) Assurance rapport, komt voor in uitbestedingsituaties TPM is niet terug te vinden in de bestaande regelgeving van de beroepsorganisaties van accountants en IT-auditors TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking

4 3 november RT “Ontwikkelingen SAS70” TPM rapportage De uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie Format: geen verplicht, standaard format Scope: uitbestede dienst Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie Oordeel: per aandachtsgebied van het referentiekader

5 3 november RT “Ontwikkelingen SAS70” TPM aanpak (een voorbeeld) TPM Vaststelling referentiekader Vaststelling auditprogramma & -planning Uitvoering onderzoek Rapportage & afstemming Fase 1Fase 2Fase 3Fase 4

6 3 november RT “Ontwikkelingen SAS70” TPM: voorbeeld referentiekader Beheer Het probleemmanagement proces is gedocumenteerd en geformaliseerd ……………….. Algemeen Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie ……………….. Beveiliging Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd ………………..

7 3 november RT “Ontwikkelingen SAS70” TPM: oordeel (vb. opzet, bestaan en werking) Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking wel wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan aan de gestelde normen

8 3 november RT “Ontwikkelingen SAS70” TPM: voorbeeld rapportage Hoofd onderzoekreport – Introductie: achtergrondinformatie – Managementsamenvatting: een verzameling van de managementsamenvattingen van de deelrapporten – Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor Beveiliging – Managementresponse: commentaar (feedback en verbeterplan) van de directie van de dienstverlener.…………… ……………………………………………….. – Deel onderzoekreporten – Algemeen deelrapport Introductie Managementsamenvatting Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde functionarissen –…………………………………………………………………………………………………... – Beheer- en beveiliging deelrapporten Idem

9 3 november RT “Ontwikkelingen SAS70” TPM in uitbestedingsituatie en huidige wet- en regelgeving Enkele sterke punten Vorm en inhoud: geen verplicht format Bekendheid in Nederland ……. Minder sterke punten Internationaal uitleggen …………………..

10 3 november RT “Ontwikkelingen SAS70” SAS70 Assurance rapport (TPM volgens SAS70 richtlijnen) Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service Organizations”). Nav jaarrekeningcontrole van de gebruikers organisatie: –Rapportage tussen accountants –Scope: gerelateerd aan betrouwbaarheid financiële gegevens Onderdeel bij contractonderhandelingen Frequentie SAS70 audit jaarlijks

11 3 november RT “Ontwikkelingen SAS70” SAS70 rapport: scope Service organisatie Uitbestede services Scope van een SAS 70 rapport Geleverde services Gebruikersorganisatie

12 3 november RT “Ontwikkelingen SAS70” Wat is een SAS70 rapport niet? Geen certificaat Beperkte, gedefinieerde gebruikers kring Rapport van de auditor SAS70 is geen norm. Het is een auditing standaard die tekst en structuur van de mededeling auditor voorschrijft SAS70 zegt niets over niveau van interne beheersing: –Ambitie beheersdoelstellingen kan laag zijn –Scope kan te beperkt zijn

13 3 november RT “Ontwikkelingen SAS70” SAS70 type rapporten Type 1 rapport (momentopname), de service auditor geeft een oordeel over: –De beschrijving van alle controle maatregelen die relevant zijn voor de gebruikersorganisatie –De beschreven controle maatregelen zijn ontworpen om de gespecificeerde controle doelstellingen te behalen –De beschreven controle maatregelen zijn geïmplementeerd Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op: –Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport, en –De werking van de controle maatregelen

14 3 november RT “Ontwikkelingen SAS70” SAS 70-rapport secties en verantwoordelijkheden SectieVerantwoordelijkheden Rapport van de onafhankelijke auditor Service auditor I. Bedrijf A’s beschrijving van de controle maatregelen en procedures II. Bedrijf A Testen van de werking III. Service auditor Overige informatie IV. Bedrijf A

15 3 november RT “Ontwikkelingen SAS70” Uitgifte van SAS 70-rapport Volgende varianten zijn mogelijk Geheel rapport op het briefpaper van de serviceorganisatie. Serviceauditor tekent sectie I Sectie I en Sectie III op het briefpapier van de serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie Geheel rapport op het briefpapier van de serviceauditor

16 3 november RT “Ontwikkelingen SAS70” Totstandkoming SAS70 rapport Fase 3 Doorvo eren verbete ringen Fase 2 Beschri jven service- organis atie Type I of Type II Verklaring Fase 1 Uitvoer en impacta nalyse Fase 4 Uitvoer en SAS 70- audit ca. 4 wekenca 3 maanden ca.1-2 maanden Type I: 1 maand Type II: 6 maanden VoorbereidingCertificering Doorlooptijd

17 3 november RT “Ontwikkelingen SAS70” SAS70 in uitbestedingsituatie en huidige wet- en regelgeving Sterke punten (internationale) naamsbekendheid Continuïteit (jaarlijkse audit).. Minder sterke punten Verplicht format: inhoud en vorm Aansprakelijkheid (externe kantoren)..

18 3 november RT “Ontwikkelingen SAS70” SAS70, TPM of anders?  Wat vraagt de gebruikers organisatie? Wet- en regelgeving (Sarbanes Oxley) Uitbestedings contract Scope (compliance, continuïteit) User controls Inzicht in impact afwijkingen Inzicht in risk afwegingen

19 3 november RT “Ontwikkelingen SAS70” SAS70, TPM of anders?  Wat wil de service provider? Efficiënt voldoen aan behoefte gebruikers organisatie(s) (contract): Scope Generiek versus maatwerk Combinatie assurance producten

20 3 november RT “Ontwikkelingen SAS70” International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Third Party Service Organization Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in Veel overeenkomsten met SAS70 SAS70 wordt op korte termijn herzien door AICPA

21 3 november RT “Ontwikkelingen SAS70” ISAE 3402, aantal kenmerken (t.o.v. SAS70) Management Assertion Meer dan alleen financiële processen Risico’s en materialiteit expliciet Audit mededeling vermeldt gecombineerd afwijkingen Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal criteria Eis aan auditors van gebruikers organisatie Overeenkomsten SAS70 Type A (I) en B (II) Use of Internal Audit Rapportage format ongeveer gelijk LOR

22 3 november RT “Ontwikkelingen SAS70” Verwachte impact ISAE 3402 op gebruikers organisatie Managament assertion nodig Criteria Control objectives, controls moet specifiek, relevant, meetbaar zijn Overgang SAS70 naar ISAE 3402 rapport Uitleggen aan gebruiker (contracten)

23 3 november RT “Ontwikkelingen SAS70” Is ISAE 3402 het antwoord? Komt tegemoet aan aantal wensen gebruiker organisaties en service provider: Scope breder dan alleen financieel proces Risico afwegingen explicieter Maar er blijven over: Kosten (ook overgang vanuit SAS70) Geen eenduidig normen kader

24 3 november RT “Ontwikkelingen SAS70” Assurance: rol van de internal (operational/ IT) auditor Assurance proces –Aan tafel op moment van uitbesteding: “SAS70 automatisme” Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service auditor Wat heeft service provider nog meer in huis qua assurance User controls Contractuele vastlegging assurance afspraken –Adviseur management; kennis van internationale assurance ontwikkelingen Bouw –Internal Audit vaak betrokken bij opbouw product (project) Audit –Integratie externe en interne assurance –Monitoren actie punten –Externe accountant

25 3 november RT “Ontwikkelingen SAS70” Publicaties Assurance ISACA en IIA IIA : position paper ”SAS70 en de internal auditor”, januari 2008

26 3 november RT “Ontwikkelingen SAS70” ?


Download ppt "3 november 20081 Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008."

Verwante presentaties


Ads door Google