Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008 3 november 2008

Round Table “Ontwikkelingen SAS70” Agenda Assurance producten TPM en SAS70 Ontwikkelingen Rol internal auditor 3 november 2008

RT “Ontwikkelingen SAS70” Third Party Mededeling (TPM) Assurance rapport, komt voor in uitbestedingsituaties TPM is niet terug te vinden in de bestaande regelgeving van de beroepsorganisaties van accountants en IT-auditors TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking 3 november 2008

RT “Ontwikkelingen SAS70” TPM rapportage De uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie Format: geen verplicht, standaard format Scope: uitbestede dienst Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie Oordeel: per aandachtsgebied van het referentiekader 3 november 2008

RT “Ontwikkelingen SAS70” TPM aanpak (een voorbeeld) Fase 1 Fase 2 Fase 3 Fase 4 Vaststelling referentiekader Vaststelling auditprogramma & -planning Uitvoering onderzoek Rapportage & afstemming TPM 3 november 2008

RT “Ontwikkelingen SAS70” TPM: voorbeeld referentiekader Algemeen Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie ……………….. Beheer Het probleemmanagement proces is gedocumenteerd en geformaliseerd ……………….. Beveiliging Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd ……………….. 3 november 2008

RT “Ontwikkelingen SAS70” TPM: oordeel (vb. opzet, bestaan en werking) Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking wel wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan aan de gestelde normen Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan aan de gestelde normen 3 november 2008

RT “Ontwikkelingen SAS70” TPM: voorbeeld rapportage Hoofd onderzoekreport Introductie: achtergrondinformatie Managementsamenvatting: een verzameling van de managementsamenvattingen van de deelrapporten Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor Beveiliging Managementresponse: commentaar (feedback en verbeterplan) van de directie van de dienstverlener .…………….................................................……………………………………………….. Deel onderzoekreporten Algemeen deelrapport Introductie Managementsamenvatting Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde functionarissen …………………………………………………………………………………………………... Beheer- en beveiliging deelrapporten Idem 3 november 2008

RT “Ontwikkelingen SAS70” TPM in uitbestedingsituatie en huidige wet- en regelgeving Enkele sterke punten Vorm en inhoud: geen verplicht format Bekendheid in Nederland ……. Minder sterke punten Internationaal uitleggen ………………….. 3 november 2008

RT “Ontwikkelingen SAS70” Assurance rapport (TPM volgens SAS70 richtlijnen) Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service Organizations”). Nav jaarrekeningcontrole van de gebruikers organisatie: Rapportage tussen accountants Scope: gerelateerd aan betrouwbaarheid financiële gegevens Onderdeel bij contractonderhandelingen Frequentie SAS70 audit jaarlijks 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 rapport: scope Service organisatie Geleverde services Scope van een SAS 70 rapport Uitbestede services Gebruikersorganisatie 3 november 2008

RT “Ontwikkelingen SAS70” Wat is een SAS70 rapport niet? Geen certificaat Beperkte, gedefinieerde gebruikers kring Rapport van de auditor SAS70 is geen norm. Het is een auditing standaard die tekst en structuur van de mededeling auditor voorschrijft SAS70 zegt niets over niveau van interne beheersing: Ambitie beheersdoelstellingen kan laag zijn Scope kan te beperkt zijn 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 type rapporten Type 1 rapport (momentopname), de service auditor geeft een oordeel over: De beschrijving van alle controle maatregelen die relevant zijn voor de gebruikersorganisatie De beschreven controle maatregelen zijn ontworpen om de gespecificeerde controle doelstellingen te behalen De beschreven controle maatregelen zijn geïmplementeerd Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op: Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport, en De werking van de controle maatregelen 3 november 2008

RT “Ontwikkelingen SAS70” SAS 70-rapport secties en verantwoordelijkheden Sectie Verantwoordelijkheden I. Rapport van de onafhankelijke auditor Service auditor II. Bedrijf A’s beschrijving van de controle maatregelen en procedures Bedrijf A III. Testen van de werking Service auditor IV. Overige informatie Bedrijf A 3 november 2008

RT “Ontwikkelingen SAS70” Uitgifte van SAS 70-rapport Volgende varianten zijn mogelijk Geheel rapport op het briefpaper van de serviceorganisatie. Serviceauditor tekent sectie I Sectie I en Sectie III op het briefpapier van de serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie Geheel rapport op het briefpapier van de serviceauditor 3 november 2008

RT “Ontwikkelingen SAS70” Totstandkoming SAS70 rapport Voorbereiding Certificering Fase 1 Uitvoeren impactanalyse Fase 2 Beschrijven service- organisatie Fase 3 Doorvoeren verbeteringen Fase 4 Uitvoeren SAS 70-audit Type I of Type II Verklaring Doorlooptijd ca. 4 weken ca 3 maanden ca.1-2 maanden Type I: 1 maand Type II: 6 maanden 3 november 2008

RT “Ontwikkelingen SAS70” SAS70 in uitbestedingsituatie en huidige wet- en regelgeving Sterke punten (internationale) naamsbekendheid Continuïteit (jaarlijkse audit) .. Minder sterke punten Verplicht format: inhoud en vorm Aansprakelijkheid (externe kantoren) 3 november 2008

RT “Ontwikkelingen SAS70” SAS70, TPM of anders? Wat vraagt de gebruikers organisatie? Wet- en regelgeving (Sarbanes Oxley) Uitbestedings contract Scope (compliance, continuïteit) User controls Inzicht in impact afwijkingen Inzicht in risk afwegingen 3 november 2008

RT “Ontwikkelingen SAS70” SAS70, TPM of anders? Wat wil de service provider? Efficiënt voldoen aan behoefte gebruikers organisatie(s) (contract): Scope Generiek versus maatwerk Combinatie assurance producten 3 november 2008

RT “Ontwikkelingen SAS70” International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Third Party Service Organization Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in 2009. Veel overeenkomsten met SAS70 SAS70 wordt op korte termijn herzien door AICPA 3 november 2008

RT “Ontwikkelingen SAS70” ISAE 3402, aantal kenmerken (t.o.v. SAS70) Management Assertion Meer dan alleen financiële processen Risico’s en materialiteit expliciet Audit mededeling vermeldt gecombineerd afwijkingen Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal criteria Eis aan auditors van gebruikers organisatie Overeenkomsten SAS70 Type A (I) en B (II) Use of Internal Audit Rapportage format ongeveer gelijk LOR 3 november 2008

RT “Ontwikkelingen SAS70” Verwachte impact ISAE 3402 op gebruikers organisatie Managament assertion nodig Criteria Control objectives, controls moet specifiek, relevant, meetbaar zijn Overgang SAS70 naar ISAE 3402 rapport Uitleggen aan gebruiker (contracten) 3 november 2008

RT “Ontwikkelingen SAS70” Is ISAE 3402 het antwoord? Komt tegemoet aan aantal wensen gebruiker organisaties en service provider: Scope breder dan alleen financieel proces Risico afwegingen explicieter Maar er blijven over: Kosten (ook overgang vanuit SAS70) Geen eenduidig normen kader 3 november 2008

RT “Ontwikkelingen SAS70” Assurance: rol van de internal (operational/ IT) auditor Assurance proces Aan tafel op moment van uitbesteding: “SAS70 automatisme” Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service auditor Wat heeft service provider nog meer in huis qua assurance User controls Contractuele vastlegging assurance afspraken Adviseur management; kennis van internationale assurance ontwikkelingen Bouw Internal Audit vaak betrokken bij opbouw product (project) Audit Integratie externe en interne assurance Monitoren actie punten Externe accountant 3 november 2008

RT “Ontwikkelingen SAS70” Publicaties Assurance ISACA en IIA IIA : position paper ”SAS70 en de internal auditor”, januari 2008 3 november 2008

RT “Ontwikkelingen SAS70” ? 3 november 2008