IT-auditors bijeen
Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn Thea Gerritse
De Regio Apeldoorn van de NOREA hield op 1 mei een bijzondere avond over de toepasbaarheid van SAS70 verklaringen en Third Party Mededelingen. De organisatie had een viertal gerenommeerde vakgenoten (zie kaders) bereid gevonden zitting te nemen in een panel dat onder leiding van Adri de Bruijn (zie kader) op interactieve wijze met de mensen in de zaal in discussie wilde gaan over de toepasbaarheid van SAS70 verklaringen en TPM’s.
Drs. Th. M.J. Gerritse RE is senior auditor bij EDP AUDIT POOL
zaal welkom heeft geheten nodigt hij de sprekers uit zichzelf voor te stellen, en een stelling te poneren, waarna de zaal hierop kan reageren. Joop Winterink geeft aan dat hij vooral vanuit de gebruikerskant met SAS70 verklaringen te maken heeft en hij vindt dat hij daar niet zo veel aan heeft. Zijn stelling is dan ook: ‘Of ik nu een SAS70 verklaring of een TPM verklaring krijg, ik vind dat ik er nog steeds zo weinig aan heb. Ik ben teleurgesteld over wat ik krijg aangeleverd, ondanks de standaard.’ De stelling van Herman van Gils kent een heel andere invalshoek. Vanuit zijn ervaring en betrokkenheid met SOX verkondigt hij dat ‘SAS70 misplaatst is in een SOX-omgeving, er moet een SOX-70 komen!’ Jan Roodnat is kort maar krachtig in zijn stelling: ‘Een SAS70 verklaring is één van de verschijningsvormen van een TPM.’ Hans Nijhuis daarentegen poneert dat een SAS70 verklaring een TPM+ is, omdat een SAS70 verklaring verder gaat dan een TPM. De voorzitter doet de aftrap. Gegeven de mooie tegenstelling die er is tussen de stellingen van Roodnat en Nijhuis, vraagt hij hen om hun stellingen toe te lichten.
M
et een bijzonder wervende uitnodiging hadden de organisatoren ongeveer vijftig mensen naar deze discussiebijeenkomst ‘gelokt’. En zij zijn niet teleurgesteld. Een aantal interessante kwesties passeerde de revue. Nadat de voorzitter de mensen in de
SAS70: TPM+ of TPM-? De gevraagde toelichting van Roodnat begint met een definitie van een TPM: ‘Een TPM is een rapportage naar aanleiding van een onderzoek van een onafhankelijke auditor waarbij de beoordeelde organisatie, bijvoorbeeld een rekencentrum of een serviceorganisatie, een andere is dan de organisatie waarvoor de rapportage bestemd is.’ Hij constateert dat de wijze van uit35 | de EDP-Auditor nummer 4 | 2006
voering van een TPM onderzoek gelijk is aan een SAS70 onderzoek. Argument daarvoor is dat een TPM een aantal verschijningsvormen kent, bijvoorbeeld een onderzoek op basis van algemene normen, zoals Cobit, of juist op basis van specifieke normen, op basis van webtrust et cetera. Zo kan het onderzoek ook uitgevoerd worden op basis van SAS70. Het is afhankelijk van wat je wilt met een TPM en afhankelijk van de behoefte van de gebruikers welke verschijningsvorm je kiest. Staat het onderzoek vooral ten dienste van de processen die van invloed zijn op de jaarrekening dan kies je SAS70. En dus… is een SAS70 verklaring één van de verschijningsvormen van een TPM. Het lijkt een korte avond te worden als Nijhuis zijn toelichting begint met de mededeling dat hij het eens is met Roodnat. Maar dan komen de verschillen in opvatting toch duidelijk naar voren. Nijhuis constateert dat een TPM vooral over geautomatiseerde gegevensverwerking gaat. Voor veel processen in de organisatie is automatisering essentieel. Daarom wil een uitvoeringsorganisatie die de automatisering heeft uitbesteed natuurlijk een TPM. Maar een SAS70 verklaring gaat verder. Een organisatie kent uiteraard ook nog handmatige processen waarover je afspraken hebt gemaakt als klant en doelstellingen hebt afgesproken en waarvan je wilt weten of je doel wordt bereikt. Daarover gaat de SAS70 verklaring en die is dus breder dan de TPM die alleen over de automatisering gaat. Voor Nijhuis geldt dan ook dat een TPM een basis voorwaarde is om aan een SAS70 verklaring te komen.
SAS70: een lege rapportagehuls? Vanuit de zaal wordt gereageerd. De discussie tussen Roodnat en Nijhuis is er een van kwasten vergelijken zonder dat we weten wat we moeten verven. Bedrijven ervaren vooral problemen rondom SOX. Er worden eisen gesteld vanuit SOX en je bent er niet met een SAS70 verklaring. Gechargeerd gesteld is het een holle rapportagehuls, de belangrijkste oorzaak daarvan is dat je de normeringen er niet in terugvindt. Volgens Winterink mag je dat niet van SAS70 verwachten. Het is een auditstandaard die bedoeld is om de accountant die verantwoordelijk is voor de jaarrekening informatie aan te reiken. Het is niet de bedoeling die standaard voor andere doeleinden te gaan gebruiken. Van Gils valt hem bij. ‘Op zichzelf is er met SAS70 niet zoveel mis, maar we zien – vooral in Nederland – een tendens dat er vanuit SOX eisen gesteld worden aan organisaties en die bedrijven antwoorden met een generieke SAS70. Die aanpak is formeel en niet voldoende inhoudelijk.’ Nijhuis geeft toe dat zijn organisatie in het begin ook heeft geworsteld met de normeringen. Ze hebben daarbij veel naar Amerika gekeken. Zijn ervaring is dat SOX juist een belangrijke rol kan spelen in het ontwikkelen van de normering. En de gevolgen voor IT-auditors? Een van de auditors in de zaal wil een lans breken voor de TPM. Hij beargumenteert dit met het feit dat de standaarden voor SAS70 afkomstig zijn uit Amerika en tot dikke rapportages leiden. Die rapportages
zijn bedoeld voor de jaarrekeningaccountant en die weet in veel gevallen niet wat hij ermee aan moet. Bovendien verwacht hij dat het werk voor IT-auditors aanzienlijk minder creatief wordt in vergelijking met TPM onderzoeken. Voor SAS70 onderzoeken is strak voorgeschreven wat je moet onderzoeken en hoe je dient te rapporteren. Vanuit de zaal wordt dit nog aangevuld met de opmerking dat er geen goed gericht handvat is voor de IT-auditor over de wijze waarop je een SAS70 onderzoek moet inrichten. Onder andere Van Gils reageert hierop. Hij bevestigt dat er sprake is van formele regels, maar hij benadrukt ook dat er ruimte is voor eigen interpretatie, vooral als het om het normenstelsel gaat. Dat is tenslotte niet voorgeschreven. En die lege huls? We moeten er met ons allen aan werken om die te vullen. De vraag is of dat bij een TPM anders is. Hoe klantspecifiek is een SAS70verklaring? Volgens Roodnat is het normaal om ten behoeve van het uitbrengen van een SAS70 rapportage overleg te hebben met de klant over de beheersmaatregelen zodat je een klantspecifieke invulling kunt geven. Daarom snapt hij niet zo goed waarom Winterink stelt dat hij als gebruiker zo weinig heeft aan een SAS70 verklaring. Winterink licht zijn stelling nog eens toe. ‘Je bent niet de enige die de verklaring krijgt, een SAS70 rapportage gaat naar meer gebruikers.’ Hij formuleert het probleem als volgt. In
een SAS70 worden control objectives gedefinieerd, die zijn gekoppeld aan risico’s. Die risico’s worden echter niet uitgewerkt. Daarmee lijken die control objectives uit de lucht te komen vallen. De standaard schrijft verder alleen voor dat de beheersmaatregelen en de controletechnieken worden beschreven, maar niét de specifieke bevindingen. Verder zegt de standaard dat gebruiker en serviceorganisatie de norm waaraan getoetst wordt moeten overeenkomen. Van Gils reageert hierop – en wel met de opmerking dat er geen ‘formele’ SAS70 standaard is, er is helemaal niet zoveel ‘voor’geschreven. De SAS70 standaard is een klein document, waar veel ‘omheen’ gedacht is. Ook Nijhuis wil de uitspraken van Winterink wat nuanceren: Risico’s zijn wel degelijk meegenomen in de opzet en uitwerking van het onderzoek. Dat ze niet in het rapport staan heeft een pragmatische reden, het rapport zou al gauw vijf keer dikker worden, maar het rapport is voor de externe accountant die dat wel degelijk kan inzien. Er is ook veel overleg en er is ook een evaluatie of het aan de eis van de externe accountant voldoet. Een van de mensen in de zaal ziet een tegenstrijdigheid in het feit dat ten behoeve van een SAS70 verklaring afspraken worden gemaakt over de control objectives – terwijl er ook sprake is van algemene verklaringen – SAS70 lijkt dan niet klantspecifiek te zijn afgegeven. Is het niet logischer dat als er meer klanten zijn, meer accountants, die dan ook te betrekken bij het bepalen van de control objectives, de normering.
Drs. Herman G.Th. van Gils RE RA
Hans Nijhuis RE RO
Mr. drs. Jan Roodnat RE RA
Herman van Gils is senior manager bij KPMG
Hans Nijhuis is manager Financial Audit
Jan Roodnat werkt ruim 17 jaar bij EAP, op
Information Risk Management en docent
binnen Group Audit Risk Services, de accoun-
dit moment als IT-audit manager – volgens
aan de post-doctorale opleiding
tantsdienst van Achmea/Eureko. Zijn werk-
hem een fantastische organisatie. Hij is
Accountancy en IT-auditing aan de
zaamheden richten zich op de business unit
geïnteresseerd in nieuwe ontwikkelingen
Universiteit van Amsterdam. De laatste
pensioenen van Achmea waar hij actief
en lid van diverse werkgroepen van NOREA,
jaren is hij vooral betrokken bij certificering-
betrokken is bij de realisatie van SAS70 type II
waaronder de werkgroep normen en stan-
opdrachten en –onderzoeken. (pakketten,
rapportages.
daarden, de werkgroep oordelen en de
privacy, TPM en SAS 70).
NOREA commissie vaktechniek.
36 | de EDP-Auditor nummer 4 | 2006
Volgens Nijhuis kan dat niet – de SAS70 verklaring is er principieel voor de accountants van de opdrachtgever en niet voor de toetsing van de individuele afspraken, waaronder bijvoorbeeld de effectiviteit van de beheersmaatregelen bij een individuele gebruikersorganisatie. Volgens Van Gils is het logisch en ook praktijk dat hij als externe accountant van de gebruikersorganisatie wel betrokken is bij het bepalen van de normering. Hier ziet van Gils een verschil tussen SAS70’s die nadrukkelijk op verzoek van de gebruikersorganisatie worden uitgevoerd (vooral nu in het kader van SOX, en dan met een heel specifiek normenstelsel) en SAS70 onderzoeken die door de serviceprovider voor meer gebruikersorganisaties worden opgesteld, waarbij de serviceprovider er belang bij heeft het normenstelsel wat generieker te houden. Uitdaging voor de beroepsorganisatie? De voorzitter vat de discussie samen. De conclusie is dat SAS70 wordt ervaren als een soort van rapportagehuls, waarin control objectives en beheersmaatregelen zijn beschreven. We kunnen erover discussiëren, wat de auditor daar nu precies aan heeft gedaan. Er is geen hard normenkader waaraan het object is getoetst. Wil je de SAS70 verklaring meer klantspecifiek maken dan zou je alle control objectives moeten afstemmen met de auditors van de klant, anderzijds zou het wellicht handig zijn om een generiek normenkader te hebben waar we – of het nu om een TPM of een SAS70 gaat – naar believen uit kunnen putten. Is het een uitdaging
voor de beroepsorganisatie om een compleet standaard generiek normenkader op te stellen? Volgens Winterink is er sprake van een open norm. Wanneer uitbesteding plaatsvindt van werkzaamheden, blijf je als organisatie zelf verantwoordelijk. Je draagt die verantwoordelijkheid door de verantwoording die je terugkrijgt van de partij aan wie je uitbesteedt. SAS70 geeft alleen maar inzicht in de maatregelen die zijn getroffen in relatie tot de control objectives. De gebruiker van zo’n verklaring moet zelf nog beoordelen of hij de beschreven maatregelen voldoende vindt. SAS70 is bedoeld om inzicht te geven, zodat je kunt interpreteren wat je aantreft, en daarom is het ook nooit een certificaat. Of, zoals iemand in de zaal samenvat: het is een stukje testen van de werking achter de klapdeuren – het resultaat krijg je te zien. Volgens Winterink klopt dat: SAS70 stelt als eis dat de maatregelen die zijn beschreven waar zijn en moeten passen bij de control objectives. De auditor doet daar een uitspraak over en geeft zijn bevindingen. In hoofdstuk 1 geeft hij een totaaloordeel: wat ik in dit rapport heb aangetroffen is waar en dat heb ik gecheckt. Het oordeel houdt dus niet meer in dan ‘ik heb dit aangetroffen en dat heb ik gecheckt’. SAS70 en TPM: een certificaat? Vanuit de zaal wordt een nieuwe kwestie aangeboord. Achmea heeft in een advertentie aangegeven dat ze een SAS70 type II verklaring hebben
Joop A.W. Winterink RE RA
Adri J.M. de Bruijn RE RA
Joop Winterink is sinds 1 april 2004 werkzaam
Adri de Bruijn is partner van Pricewatehouse
als hoofd Internal Audit bij het pensioenfonds
Coopers Advisory, docent EDP-Auditing aan
PGGM. Zijn carrière ontwikkelde zich van
de Erasmus School of Accounting &
accountancy & IT-auditing in het interne en het
Assurance en (ten tijde van deze bijeen-
openbare beroep (Philips, KPMG) naar manage-
komst nog) voorzitter van NOREA, de
ment functies in IAD en IT bij Rabobank
beroepsorganisatie van IT-auditors.
Nederland om tenslotte weer in de accountancy te belanden bij De Nederlandse Bank, waar hij van 1999 tot 2004 heeft gewerkt.
37 | de EDP-Auditor nummer 4 | 2006
gekregen. De vraagsteller vindt dat de organisatie daarmee aan het maatschappelijk verkeer doet voorkomen dat ze een bepaald kwaliteitsstempel hebben gekregen. Uit de deze avond gevoerde discussie blijkt echter dat de onderliggende onderbouwing nog wel wat vragen oproept en de vraag is dan ook of dat geen risico vormt voor het aanzien van de beroepsgroep? Natuurlijk wil Nijhuis daarop reageren. Hij memoreert dat een SAS70 verklaring een grote impact heeft op de organisatie en een groot beroep doet op capaciteit. Daar moet wel iets tegenover staan. Aan het eind van de rit is het ook een bedrijfseconomisch aspect. Je kunt het resultaat communiceren aan de partijen met wie je zaken doet, of je presenteert het aan de markt. De campagne die door Achmea is gevoerd, is om aan de partijen in de markt te laten weten ‘we hebben ‘m’. Dat is eigenlijk relatief besloten verkeer. Dat heeft ook te maken met het product. Als je individuele opdrachtgevers hebt, heeft een dergelijke advertentie een heel andere impact. Volgens Nijhuis is dat in de afweging betrokken. Daarnaast geldt dat het rapport zelf niet wordt verspreid buiten het besloten verkeer. Winterink ziet in het ‘besloten verkeer’ nu net het probleem. ‘Je kunt niet eens de inhoud van een SAS70 met elkaar bespreken.’ De standaard legt ons de beperking op. Die belemmert ons om tot een generieke standaard te komen – om met elkaar te bespreken wat SAS70 nou eigenlijk inhoudt. Roodnat ziet een ander probleem. Daarvoor citeert hij uit de advertentie: ‘daarmee is gewaarborgd dat onze controls, niet alleen van de processen, maar ook van de uitkomsten, van het allerhoogste niveau, inzichtelijk én correct zijn. Hij vraagt zich af of je door deze formulering niet suggereert dat de inhoudelijke juistheid is vastgesteld. Nijhuis geeft toe – het statement dat Roodnat voorleest is ook door het NIVRA kritisch beoordeeld. Dat Achmea trots is geeft hij toe, maar ook dat die frase een stap te ver is.
Een SAS70 is dus geen certificaat, geen verklaring dat de zaak inhoudelijk juist is. Dat klopt, zegt Nijhuis, want het is aan de individuele gebruiker/accountant om daar een oordeel over te geven. De vraag is of een TPM wél een certificaat oplevert waarmee we mogen adverteren. Volgens Roodnat wordt door organisaties ook wel geadverteerd omdat ze trots zijn dat ze een TPM hebben. Ze zijn dan niet altijd even precies in het aangeven voor welke processen die TPM geldt, terwijl het toch van belang is om de scope aan te geven. Maar voor de TPM geldt dat hij niet beperkt is tot het ‘besloten verkeer’. Een TPM kent wel een non-disclosure: dan is aangegeven voor welke partijen de mededeling bedoeld is. Als deze bedoeld is voor specifieke partijen is dat altijd vermeld. SAS70 type I en SAS70 type II Uit de zaal komt het verzoek om het onderscheid tussen een SAS70 verklaring type I en type II te verhelderen. Een SAS70 verklaring is een verantwoording over de risicobeheersing, voornamelijk gericht op de jaarrekening. Een type I verklaring documenteert opzet en bestaan, een type II verklaring voegt daar de werking van de maatregelen aan toe. In hoofdstuk 2 van een type I en type II verklaring worden de control environment, control objectives en beheersmaatregelen gedocumenteerd en in hoofdstuk 1 geeft de accountant twee oordelen; één over de opzet en bestaan en één over de werking. Voor een type II verklaring geeft de auditor in hoofdstuk 3 expliciet aan hoe iedere beheersmaatregel is getest en wat de bevinding is. De vraag is natuurlijk wat het oordeel inhoudt: betekent dit dat wat beschreven is ook goed beschreven is, of ook dat het voldoet aan de kwaliteitseisen? Waar gaat het oordeel over opzet en bestaan over? Volgens Nijhuis ligt in de controle van de werking en het oordeel daarover besloten dat de opzet ook inhoudelijk juist is. Het is de organisatie die beschrijft en de accountant die oor-
deelt of de beschrijving de doelstelling realiseert en in opzet en bestaan aanwezig is. De accountant bedenkt die maatregelen niet zelf, maar hij moet wel vaststellen of ze de control objectives voldoende afdekken. Winterink licht voor de duidelijkheid nog toe dat een type I verklaring éénmalig wordt afgegeven en dat het jaar erna een type II verklaring wordt gegeven. Nijhuis vult hem aan. ‘Je moet het ook zien als een soort groeipad. Als er bevindingen komen uit de type I verklaring moet je als organisatie aan het werk. Een organisatie moet ook de tijd krijgen iets te doen aan die bevindingen voordat er gecontroleerd gaat worden op de werking.’ Wat heb je als gebruiker aan een SAS70 rapportage? Winterink stelt dat het in de praktijk niet duidelijk is wat de invulling van de SAS70 is, de wijze waarop de beheersmaatregelen zijn beschreven. Hij zou graag meer inzicht daarin hebben, maar hoe meer inzicht een rapport geeft des te meer ‘unheimisch’ hij zich gaat voelen over de zekerheid die hem dat moet geven. Volgens Roodnat komt dat omdat een SAS70 rapportage voor meer klanten wordt opgesteld - dat vraagt om schrijven voor de grootst gemene deler. Een rapportage voor één klant kan uitgebreider zijn. Voor meer gebruikers schrijven betekent meer globale formuleringen gebruiken, dan kom je al gauw op het niveau van control objectives. Nijhuis geeft aan dat we het oorspronkelijke doel niet uit het oog moeten verliezen. De verklaring is bedoeld voor het financial statement van de accountant, maar de gebruikers zijn heel divers, je wilt tegelijk alle partijen terwille zijn, dus moet je met partijen overleg voeren. Het is een dilemma uit de dagelijkse praktijk – SAS70 is voor meer gebruikers die nogal divers kunnen zijn – het is dus noodzakelijk de partijen te kennen en op voorhand met elkaar te overleggen. Van Gils beaamt dit en geeft met behulp van een anekdote aan dat het 38 | de EDP-Auditor nummer 4 | 2006
in de praktijk ook wel zo gaat. In de hoedanigheid van externe auditor heeft hij meegemaakt dat een klant de IT wil uitbesteden. Daarvoor wordt een SAS70 verklaring gevraagd aan de aanbiedende serviceprovider. De serviceprovider geeft een presentatie van wat de mogelijkheden zijn (het winkelwagentjesidee) en het is dan afhankelijk van wie er aan tafel zitten wat er uit gaat komen. En het is duidelijk dat je als externe auditor van de gebruikersorganisatie ook zo je wensen hebt. Volgens Winterink gaan gebruikers anders om met de rapportage dan je als accountant zou verwachten. Het gebruik van een dergelijke rapportage vraagt veel inspanning van de organisatie, je moet goed naar de scope kijken en bepalen wat je eraan hebt. De gebruikers staan daar echter niet altijd bij stil. Zij zien niet dat het een instrument is en geen ‘eindproduct’. Daar zit een misverstand. Dat roept de vraag op of we als auditors wel moeten meewerken aan SAS70 onderzoeken. Nijhuis vindt dat je als auditor er voor moet zorgen dat er geen misverstanden over bestaan. Vooral op het gebied van normeringen en het managen van verwachtingen is er nog veel werk aan de winkel. Overigens geldt dat ook voor TPM en SOX, dit is niet uniek voor SAS70. Roodnat suggereert dat het opstellen van een algemeen aanvaard normenstelsel (op basis van en met behulp van de normeringen die nu al gehanteerd worden) een bijdrage zou kunnen leveren aan het managen van de verwachting. Nogmaals SAS70 of TPM? Voor Roodnat is deze discussie aanleiding om nogmaals een lans te breken voor een TPM. In een TPM kan er een heel nadrukkelijke relatie liggen tussen normen en kwaliteitscriteria. De werkwijze is dat je vanuit de kwaliteitscriteria de normen formuleert. Dat is bij een SAS70 anders omdat control objectives niet specifiek op de kwaliteitscriteria zijn gericht, maar op
de jaarrekeningcontrole. Voor Nijhuis roept dit nou juist de vraag op of we over een paar jaar überhaupt nog TPM’s zullen hebben. Er komen steeds meer grote ondernemingen die internationaal opereren en volgens hem hebben we een meer generieke soort van verklaringen nodig die internationaal geaccepteerd worden. Een SAS70 ligt dan meer voor de hand. Van Gils betwijfelt dit omdat een SAS70 een andere doelstelling heeft dan een TPM. Het is afhankelijk van de doelstelling wat het beste past: een SAS70 of een TPM. Feitelijk is de doelstelling van een SAS70 éénduidig en daarmee het gebruik ingekaderd. Een TPM kent geen vooraf opgelegde doelstelling een kan dus ruimer worden ingezet. Nijhuis stelt dat het dan wellicht mogelijk is om een SAS70 breder te maken en ook niet-jaarrekening gerelateerde control objectives in te passen zodat de TPM er onder kan vallen. Van Gils beaamt dit en ziet dat nu al gebeuren, maar zou het jammer vinden als de TPM, die in een behoefte voorziet in het keurslijf van een SAS70 gedwongen zou worden. Bijvoorbeeld het toetsen van de control environment à la COSO (verplicht bij SAS70) is overkill als een gebruikersorganisatie zekerheid wil over de vertrouwelijkheid bij de uitbestede webhosting. Roodnat voegt toe dat ook een TPM, weliswaar minder dan een SAS70, internationaal is geaccepteerd. Hij hoopt dat de TPM blijft maar ziet wel in dat het wellicht toch de kant van SAS70 op zal gaan. Winterink geeft een voorbeeld uit zijn praktijkervaring. Toen de organisatie waar hij werkte softwareonderhoud uitbesteed had in India, kreeg hij als klant zonder problemen een SAS70 en een ISO-certificaat. In India worden de internationale standaarden als vanzelfsprekend toegepast. Vanuit de zaal wordt dit bevestigd. Het gaat er eigenlijk niet om hoe het heet, waar het om gaat is dat je een ‘in control statement’ krijgt van een proces dat is uitbesteed.
De voorzitter stelt vast dat we het er met elkaar over eens zijn dat je wellicht de waardevolle elementen uit de TPM in SAS70 zou kunnen opnemen. Maar geldt dat bijvoorbeeld ook voor een kwaliteitscriterium als continuïteit? Volgens Nijhuis zou dat wenselijk kunnen zijn – als het de behoefte is van de accountant – maar hij vraagt zich af hoe je van continuïteit, waarvan de opzet is vastgelegd in afspraken en procedures met bijvoorbeeld uitwijkcentra, de werking over een heel jaar kunt toetsen. Volgens Roodnat valt bij SAS70 continuïteit niet onder de mededeling van de auditor. Je kunt wel de informatie daarover in een apart hoofdstuk van de SAS70 rapportage opnemen. Volgens Winterink geldt dit ook voor compliance. Van Gils stelt dat vanuit SOX gezien het management geen behoefte heeft aan meer zekerheid over uitbestedingsdiensten, inclusief continuïteit, omdat de continuïteit van de IT-voorziening in relatie met de waarderingscriteria (financiële criteria) minder relevant zijn. Daarom valt het buiten de scope. Maar het is natuurlijk zeer goed denkbaar dat het toch in een SAS70 wordt opgenomen, omdat een SAS70 niet alleen voor SOX wordt afgegeven. Moeten we naar een SOX70 of TPM70? Van Gils memoreert dat een SAS70 een bepaald doel heeft, namelijk de externe accountant van de gebruikersorganisatie zekerheid te verschaffen over uitbestede diensten die een materiële invloed kunnen hebben op de jaarrekening en waarbij de accountant bij de gebruikersorganisatie zelf onvoldoende controlemogelijkheden heeft. Hoewel SOX dat ook in het vaandel heeft staan is er toch een groot verschil. De externe accountant wil graag dat de financiële processen het gehele jaar betrouwbaar zijn en niet alleen op jaareinde, zoals bij SOX. Dat betekent dat de controle anders ingestoken zal moeten worden, bijvoorbeeld spreiding over het hele jaar. Het verschil inzake het 39 | de EDP-Auditor nummer 4 | 2006
kwaliteitsaspect continuïteit is al eerder aan de orde geweest. In die zin zou het dus wenselijk zijn een onderscheid te maken tussen een SAS70 en een SOX70. Maar of de markt begrijpt …. Roodnat vult aan. Doelstelling van SOX is het voorkomen van fraude. SOX70 is daarom minder relevant, de relatie tussen SOX en IT is dun. Als het gaat om IT is de relatie met een TPM hechter. Volgens Winterink maakt de markt het onderscheid niet. Als je in Google de termen TPM en SAS70 intypt krijg je veel dezelfde hits. Maar als SAS70 een bekender begrip is bij managers dan TPM, moeten we daar dan niet op inspelen? SLA en SAS70 Een vraag uit de zaal betreft de relatie tussen SLA’s en SAS70. Zou een SLA de gebruiker kunnen ondersteunen om de SAS70 te interpreteren? Is het niet makkelijker om een SAS70 onderzoek te doen als je op de SLA kunt terugvallen? Van Gils beaamt dat. Als je zoveel mogelijk afspraken vastlegt in de SLA dan is dat de normering voor je SAS70. Het gebeurt volgens hem ook wel dat je afspreekt dat het normenstelsel deel uitmaakt van de SLA, veelal afzonderlijk uitgewerkt in het DAP (Dossier Afspraken en Procedures). Dit wordt bevestigd door Roodnat. Voor een TPM binnen de Rijksoverheid geldt dit ook. De TPM is terug te voeren op een SLA (binnen de overheid worden deze ook SNO genoemd). Die vormen dan het uitgangspunt voor je normering. Maar dat brengt met zich mee dat je zaken moet afspreken die je kunt beheersen én meten. Tot slot De voorzitter sluit af: dankt het publiek voor kritische vragen en opmerkingen en het panel voor hun ervaringen en hun boodschap. Het publiek gaat tevreden naar huis, mét antwoorden en wellicht nieuwe vragen! ■
