Round Table “Ontwikkelingen SAS70”

Slides:



Advertisements
Verwante presentaties
Goed werkgeverschap loont
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Menno Karres Lead Auditor
Belastingdienst en administratieve software Actualiteiten
Een ingewikkeld gesprek over cultuur of toch niet?
Kwaliteitshandboek CLB Genk-Maasland.
Technische geletterdheid en onderwijs
voor financiële rapportages
INTERNE AUDIT : uw partner ? MBA-dinnercauserie 7 februari 2002 Rudi Hex, cia Hoofdauditor kredieten KBC.
Het opzetten van een kwaliteitssysteem
Risico’s en contracten
Apeldoorn, 15 maart Bezoek aan Apeldoorn……..
Workshop AO binnen de bestaande structuur
Kwaliteit en betrouwbaarheid van simulaties ir. Rudolf van Mierlo Efectis Nederland BV.
Inkomensverzorger voor de sector zorg en welzijn
When rail means service > EEN PRIORITY FREIGHT NETWORK (PFN) EEN ECONOMISCHE NOODZAAK? SeaRail – 23 mei 2008 LUC VANSTEENKISTE Directeur-Generaal Toegang.
Doelstelling 2 Amsterdam Groot Oost
AARDRIJKSKUNDE in het VLAAMSE S.O.
XBRL / SBR Train de Trainer sessie Deel 2 A (van 3) 28 november 2012 SBR-Team Vanaf 1 januari 2013 is SBR de standaard voor financiële rapportages.
Welkom bij de presentatie van het
Interne Audit van de Vlaamse Administratie
Kwaliteit en kwaliteitszorg
Integrale kwaliteitszorg (IKZ) van de informatievoorziening
Kwaliteitszorg van de informatievoorziening
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
OHSAS certificatie Frans Stuyt 24 september 2009.
WerkGevers Service Punt Zoetermeer Jolanda Kroon
De nieuwe sociale balans Aanpassingen om uw opleidingsinspanningen nog beter in kaart te brengen.
GIS en infectieziekten in Vlaanderen: de eerste stappen
© de vries business consultancy, 2008
Introductie OHSAS
De inname van vitamine D door peuters en kleuters in Nederland
Naam van de Auteur 7 januari 2008 Kennisnet Videodienstverlening Open source, open content Pieter Varekamp November 2008.
BMF en MLvC Wet Geurhinder en Veehouderij 3 juni 2008 Wim Verbruggen.
Leren door visiteren Donderdag 10 april 2008 Nieuwegein
Acceptatiemanagement conform B-Accept Winand van Drenth
Producten & Werkprocessen
Kwaliteitszorg…. U een zorg?
19 juni 2008 PRESERVERING Van beleid naar praktijk.
september 2009 Aanbevelingen van Compliance professionals
Aanpak en praktijkervaring
Informatieveiligheid bij een dienstverlener Ervaringen uit de markt.
Inkoop arbo- en verzuimbeleid
Certificering van milieumanagementsystemen volgens NEN-EN-ISO 14001
Een zorgsysteem voor betere arbeidsomstandigheden
Accountants in control? Nieuwe uitdagingen voor accountants.

SURF Juridisch normenkader cloudservices
Agenda Inleiding en Lagerhuis: Proces management en proces keten optimalisatie gaat ons helpen inzicht te krijgen in de impact van toekomstige veranderingen.
Presentatie titel BIMBDK01 Bedrijfskundige thema’s Week 2
Project Architectuur en Beheer BI2-DT en Inf2-DT Module CMIPRJ25DT George Pluimakers en Jacques Wetzels Studiejaar 2011/2012 Opdracht 2.
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
Meerwaarde accountant voor de gemeenteraad bij het financieel toezicht “Het dichten van het gat”: meer benutten bestaande activiteiten en nieuwe activiteiten.
1 Challenge the future Afstudeerpresentatie Verbetering van TPM implementatiebeheersing bij de Heineken Brouwerij Zoeterwoude.
Certificering van assetmanagement
Biologisch Archeologisch Platform Certificering specialistisch onderzoek.
Stedendag verantwoording GSBIII GSB prestatie-indicatoren 20 november 2008 Drs.D.E.(David) Zijlmans RA.
College-onderzoeken naar doelmatigheid en doeltreffendheid o.g.v. art. 213a Gemeentewet Commissie Rekening & Audit 25 november 2014 Besturing & controlling/
Stedendag verantwoording GSB III Verantwoording en controle Ad Marneffe.
Meer rendement uit audits! Manon Diepenmaat 28 maart 2013.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
Amsterdam, 16 November 2006 Compliance en Audit Actieve samenwerking of Concurrentiestrijd? Frank Schröder en Bert Ide.
Contractbeheersing op basis van kwaliteitsborging
In Control Statement (ICS)
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
ZIVVER introductie implementatieaanpak
Projectmanagement TI en SE voor spoorzone Delft
Is testen een project op zich?
Presentatie Peer-review rapportage
Transcript van de presentatie:

Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008 3 november 2008

Round Table “Ontwikkelingen SAS70” Agenda Assurance producten TPM en SAS70 Ontwikkelingen Rol internal auditor 3 november 2008

RT “Ontwikkelingen SAS70” Third Party Mededeling (TPM) Assurance rapport, komt voor in uitbestedingsituaties TPM is niet terug te vinden in de bestaande regelgeving van de beroepsorganisaties van accountants en IT-auditors TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking 3 november 2008

RT “Ontwikkelingen SAS70” TPM rapportage De uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie Format: geen verplicht, standaard format Scope: uitbestede dienst Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie Oordeel: per aandachtsgebied van het referentiekader 3 november 2008

RT “Ontwikkelingen SAS70” TPM aanpak (een voorbeeld) Fase 1 Fase 2 Fase 3 Fase 4 Vaststelling referentiekader Vaststelling auditprogramma & -planning Uitvoering onderzoek Rapportage & afstemming TPM 3 november 2008

RT “Ontwikkelingen SAS70” TPM: voorbeeld referentiekader Algemeen Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie ……………….. Beheer Het probleemmanagement proces is gedocumenteerd en geformaliseerd ……………….. Beveiliging Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd ……………….. 3 november 2008

RT “Ontwikkelingen SAS70” TPM: oordeel (vb. opzet, bestaan en werking) Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking wel wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan aan de gestelde normen 3 november 2008

RT “Ontwikkelingen SAS70” TPM: voorbeeld rapportage Hoofd onderzoekreport Introductie: achtergrondinformatie Managementsamenvatting: een verzameling van de managementsamenvattingen van de deelrapporten Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor Beveiliging Managementresponse: commentaar (feedback en verbeterplan) van de directie van de dienstverlener .…………….................................................……………………………………………….. Deel onderzoekreporten Algemeen deelrapport Introductie Managementsamenvatting Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde functionarissen …………………………………………………………………………………………………... Beheer- en beveiliging deelrapporten Idem 3 november 2008

RT “Ontwikkelingen SAS70” TPM in uitbestedingsituatie en huidige wet- en regelgeving Enkele sterke punten Vorm en inhoud: geen verplicht format Bekendheid in Nederland ……. Minder sterke punten Internationaal uitleggen ………………….. 3 november 2008

RT “Ontwikkelingen SAS70” Assurance rapport (TPM volgens SAS70 richtlijnen) Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service Organizations”). Nav jaarrekeningcontrole van de gebruikers organisatie: Rapportage tussen accountants Scope: gerelateerd aan betrouwbaarheid financiële gegevens Onderdeel bij contractonderhandelingen Frequentie SAS70 audit jaarlijks 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 rapport: scope Service organisatie Geleverde services Scope van een SAS 70 rapport Uitbestede services Gebruikersorganisatie 3 november 2008

RT “Ontwikkelingen SAS70” Wat is een SAS70 rapport niet? Geen certificaat Beperkte, gedefinieerde gebruikers kring Rapport van de auditor SAS70 is geen norm. Het is een auditing standaard die tekst en structuur van de mededeling auditor voorschrijft SAS70 zegt niets over niveau van interne beheersing: Ambitie beheersdoelstellingen kan laag zijn Scope kan te beperkt zijn 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 type rapporten Type 1 rapport (momentopname), de service auditor geeft een oordeel over: De beschrijving van alle controle maatregelen die relevant zijn voor de gebruikersorganisatie De beschreven controle maatregelen zijn ontworpen om de gespecificeerde controle doelstellingen te behalen De beschreven controle maatregelen zijn geïmplementeerd Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op: Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport, en De werking van de controle maatregelen 3 november 2008

RT “Ontwikkelingen SAS70” SAS 70-rapport secties en verantwoordelijkheden Sectie Verantwoordelijkheden I. Rapport van de onafhankelijke auditor Service auditor II. Bedrijf A’s beschrijving van de controle maatregelen en procedures Bedrijf A III. Testen van de werking Service auditor IV. Overige informatie Bedrijf A 3 november 2008

RT “Ontwikkelingen SAS70” Uitgifte van SAS 70-rapport Volgende varianten zijn mogelijk Geheel rapport op het briefpaper van de serviceorganisatie. Serviceauditor tekent sectie I Sectie I en Sectie III op het briefpapier van de serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie Geheel rapport op het briefpapier van de serviceauditor 3 november 2008

RT “Ontwikkelingen SAS70” Totstandkoming SAS70 rapport Voorbereiding Certificering Fase 1 Uitvoeren impactanalyse Fase 2 Beschrijven service- organisatie Fase 3 Doorvoeren verbeteringen Fase 4 Uitvoeren SAS 70-audit Type I of Type II Verklaring Doorlooptijd ca. 4 weken ca 3 maanden ca.1-2 maanden Type I: 1 maand Type II: 6 maanden 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 in uitbestedingsituatie en huidige wet- en regelgeving Sterke punten (internationale) naamsbekendheid Continuïteit (jaarlijkse audit) .. Minder sterke punten Verplicht format: inhoud en vorm Aansprakelijkheid (externe kantoren) 3 november 2008

RT “Ontwikkelingen SAS70” SAS70, TPM of anders? Wat vraagt de gebruikers organisatie? Wet- en regelgeving (Sarbanes Oxley) Uitbestedings contract Scope (compliance, continuïteit) User controls Inzicht in impact afwijkingen Inzicht in risk afwegingen 3 november 2008

RT “Ontwikkelingen SAS70” SAS70, TPM of anders? Wat wil de service provider? Efficiënt voldoen aan behoefte gebruikers organisatie(s) (contract): Scope Generiek versus maatwerk Combinatie assurance producten 3 november 2008

RT “Ontwikkelingen SAS70” International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Third Party Service Organization Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in 2009. Veel overeenkomsten met SAS70 SAS70 wordt op korte termijn herzien door AICPA 3 november 2008

RT “Ontwikkelingen SAS70” ISAE 3402, aantal kenmerken (t.o.v. SAS70) Management Assertion Meer dan alleen financiële processen Risico’s en materialiteit expliciet Audit mededeling vermeldt gecombineerd afwijkingen Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal criteria Eis aan auditors van gebruikers organisatie Overeenkomsten SAS70 Type A (I) en B (II) Use of Internal Audit Rapportage format ongeveer gelijk LOR 3 november 2008

RT “Ontwikkelingen SAS70” Verwachte impact ISAE 3402 op gebruikers organisatie Managament assertion nodig Criteria Control objectives, controls moet specifiek, relevant, meetbaar zijn Overgang SAS70 naar ISAE 3402 rapport Uitleggen aan gebruiker (contracten) 3 november 2008

RT “Ontwikkelingen SAS70” Is ISAE 3402 het antwoord? Komt tegemoet aan aantal wensen gebruiker organisaties en service provider: Scope breder dan alleen financieel proces Risico afwegingen explicieter Maar er blijven over: Kosten (ook overgang vanuit SAS70) Geen eenduidig normen kader 3 november 2008

RT “Ontwikkelingen SAS70” Assurance: rol van de internal (operational/ IT) auditor Assurance proces Aan tafel op moment van uitbesteding: “SAS70 automatisme” Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service auditor Wat heeft service provider nog meer in huis qua assurance User controls Contractuele vastlegging assurance afspraken Adviseur management; kennis van internationale assurance ontwikkelingen Bouw Internal Audit vaak betrokken bij opbouw product (project) Audit Integratie externe en interne assurance Monitoren actie punten Externe accountant 3 november 2008

RT “Ontwikkelingen SAS70” Publicaties Assurance ISACA en IIA IIA : position paper ”SAS70 en de internal auditor”, januari 2008 3 november 2008

RT “Ontwikkelingen SAS70” ? 3 november 2008