Jaarrekeningcontrole & Assurance in de Cloud Steunen op de dienstverlening van externe cloud service providers in het kader van de jaarrekeningcontrole 20 juli 2015
Document:
Thesis postgraduate IT audit
Version:
Final
Auteurs:
Noud Stienen, MSc.
Studie:
VU University Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate Opleiding IT Audit, Compliance & Advisory
Scriptiebegeleider:
Dr. R. Matthijsse RE
1
*lege pagina*
2
Management Samenvatting Accountants en IT-auditors krijgen bij de audit werkzaamheden van jaarrekeningen steeds vaker te maken met cloud applicaties die door externe dienstverleners worden aangeboden aan hun clienten. Termen als Public Cloud en SaaS zijn als volledig ingeburgerd in het hedendaagse bedrijfsleven. Echter blijkt volgens een kritisch rapport van het AFM in 2014 dat accountants in de praktijk moeite hebben met de complexiteit die komt kijken bij het auditen van externe dienstverleners. Dit onderzoek richt zich zowel op de risico’s die externe dienstverleners met zich meebrengen als op de risico’s die voortkomen uit cloud computing. In hoofdstuk 2 en 3 is onderzocht welke eisen de controlestandaard NVCOS 402 ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’ stelt aan de werkzaamheden van de accountant wanneer deze wil steunen op de interne beheersingsmaatregelen bij de externe dienstverlener. Verder worden de technische aspecten van cloud computing behandeld en hoe deze cloudspecifieke eigenschappen kunnen leiden naar risico’s die bij het traditionele hosten van applicaties niet van toepassing zijn. Door middel van een casestudy onderzoek in hoofdstuk 4 is de geldende controlestandaard NVCOS 402 toegepast op een tweetal casussen bij controlecliënten, waar gebruik wordt gemaakt van een externe dienstverlener. Hierbij zijn de cloud specifieke risico’s nadrukkelijk meegenomen in de uitvoering van de audits. De bevindingen uit deze casestudy zijn vervolgens besproken met een aantal experts in het auditen van (cloud-) serviceorganisaties. Uiteindelijk is er een analyse gemaakt in hoofdstuk 5 van de theorie uit de literatuurstudie, de ervaringen opgedaan in de praktijk door middel van het casestudy onderzoek en de expert interviews. De belangrijkste bevindingen hebben betrekking op het verkrijgen en documenteren van voldoende inzicht in de cloud applicatie en de bijbehorende interne beheersmaatregelen van de cloud serviceprovider (CSP) en de impact op de interne beheersingsmaatregelen van de gebruikersorganisatie, het beoordelen van derdenverklaringen (ISAE 3402 rapporten), voldoen aan complexe en internationale privacy wetgeving, behandelen van multi-tenancy risico’s en het integreren van de beheersmaatreglen bij de cloud dienstverlener in het beheersingsframework van de gebruikersorganisatie. In hoofdstuk 6 worden een vijftal aanbevelingen geformuleerd voor de auditor die onvermijdelijk vroeg of laat te maken krijgt met cloud dienstverleners bij zijn werkzaamheden. Deze aanbeveling zijn inclusief een vragenlijst en een overzicht van attentiepunten die de auditor kunnen ondersteunen bij zijn controlewerkzaamheden. Het lezen van deze scriptie zal de auditor voorzien van een stevig fundament, in zowel theorie als praktijk, bij het auditen van (cloud) serviceproviders in het kader van de jaarrekening.
3
Inhoud Management Samenvatting .................................................................................................................... 3 Hoofdstuk 1: Introductie Onderzoek....................................................................................................... 7 1.1.
Achtergrond............................................................................................................................. 7
1.2.
Centrale vraagstelling .............................................................................................................. 9
1.3.
Afbakening Jaarrekeningcontrole ........................................................................................... 9
1.4.
Onderzoeksaanpak ................................................................................................................ 10
Hoofdstuk 2: Voorschriften en richtlijnen ten aanzien van de jaarrekeningcontrole in het geval van uitbesteding........................................................................................................................... 11 2.1.
De jaarrekeningcontrole........................................................................................................ 11
2.2.
De externe accountant en wetgeving ................................................................................... 11
2.3.
Controlestandaarden en toezicht.......................................................................................... 12
2.4.
Risicogerichte accountantscontrole ...................................................................................... 12
2.4.1 IT risico model CIA ................................................................................................................ 13 2.4.2 Financial audit Risico’s en Assertions ................................................................................... 14 2.5.
Automatisering en de impact op de jaarrekeningcontrole ................................................... 15
2.5.1 IT auditors bij de jaarrekeningcontrole ................................................................................ 15 2.5.2 General IT controls ............................................................................................................... 15 2.5.3 IT application controls .......................................................................................................... 16 2.5.4 Impact van de IT audit op de werkzaamheden van de accountant. .................................... 16 2.6 Uitbesteding van IT in NVCOS 402 .............................................................................................. 17 2.6.1 Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie met inbegrip van de interne beheersing. ........................................................ 18 2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materiaal belang................................................................................................................................ 19 2.6.3 Gebruik van een ISAE3402 rapport .......................................................................................... 20 2.7 Conclusie ..................................................................................................................................... 21 Hoofdstuk 3: Welke risico’s zijn van toepassing op cloud applicaties? ................................................ 22 3.1 Wat is Cloud? ............................................................................................................................... 22 3.1.1 Definitie Cloud Computing ................................................................................................... 22 3.1.2 Vormen en karakteristieke van Cloud .................................................................................. 23 3.1.3 Cloud uitgelegd van het business- en IT perspectief. ........................................................... 23 3.1.4 De evolutie van cloud ........................................................................................................... 23 3.2 Cloud risico’s................................................................................................................................ 23 4
3.2.1 Eigenschappen van Cloud vs Traditionele Hosting in het kader van de jaarrekeningcontrole. .................................................................................................................... 23 3.2.2 Cloud specifieke risico’s in het kader van de jaarrekeningcontrole ..................................... 24 3.3: Conclusie hoofdstuk 3 ................................................................................................................ 27 Hoofdstuk 4: Casestudy onderzoek....................................................................................................... 28 4.1 Aanpak Onderzoek ...................................................................................................................... 28 4.2 Beschrijving casus omgevingen ................................................................................................... 29 4.2.1 Beschrijving organisatie 1 ..................................................................................................... 29 4.2.2 Beschrijving organisatie 2 ..................................................................................................... 29 4.2.3 Structuur casus onderzoek ................................................................................................... 29 4.3 Bevindingen Casus 1 .................................................................................................................... 30 4.4 BevindingenCasus 2 ..................................................................................................................... 38 4.5 Samenvatting Casussen1 & 2 ...................................................................................................... 48 Hoofdstuk 5. Analyse en Conclusies ...................................................................................................... 50 5.1 Analyse bevindingen.................................................................................................................... 50 5.1.1 Verwerven van inzicht .......................................................................................................... 50 5.1.2 Beoordelen van een derdenverklaring (type 2 rapport) ...................................................... 51 5.1.3 Flexibele locatie van de data en software ............................................................................ 52 5.1.4 Delen van middelen met andere gebruikers ........................................................................ 52 5.1.5 Snelheid en gemak van aanpassen infrastructuur ............................................................... 53 5.1.6 Complexe structuur cloud service providers ........................................................................ 53 5.1.7 Afwijking beheersmaatregelen cloud omgeving met het IT governance framework ..................................................................................................................................... 54 5.2 Conclusies analyse casestudy onderzoek .................................................................................... 55 5.3 Beantwoording deelvraag 2 ........................................................................................................ 55 Hoofdstuk 6 Aanbevelingen .................................................................................................................. 57 Aanbeveling 1: Vragenlijst ‘Verwerven van Inzicht in de Diensten van de CSP’ ............................... 57 Aanbeveling 2: Kritisch beoordelen van derdenverklaringen ........................................................... 58 Aanbeveling 3: Locatie van de data en privacy wetgeving ............................................................... 59 Aanbeveling 4: Aandacht voor multitenancy .................................................................................... 59 Aanbeveling 5: IT governance en CSP ............................................................................................... 59 Bijlagen .................................................................................................................................................. 60 BIJLAGE A. Cloud Computing Deployment en Service Delivery Modellen ........................................ 60 BIJLAGE B. Het cloud concept uitgelegd vanuit het business perspectief. ....................................... 63 5
BIJLAGE C. Cloud uitgelegd vanuit het IT perspectief ....................................................................... 65 BIJLAGE D. Evolutie van de Cloud ...................................................................................................... 67 Referenties: ........................................................................................................................................... 70
6
Hoofdstuk 1: Introductie Onderzoek 1.1.
Achtergrond
Ontwikkelingen op het gebied van informatietechnologie (IT) hebben sinds de Tweede Wereldoorlog een grote invloed gehad op de samenleving. In de jaren 50 was het bouwen van een computer nog een reusachtig eenmalig project. Computers zoals de Harvard Mark I en de ENIAC bestonden uit tienduizenden relais en buizen en verbruikten evenveel elektriciteit als een kleine woonwijk. Belangrijke uitvindingen zoals de transistor en de ontwikkeling van geïntegreerde circuits, maakten de productie van compacte computers mogelijk. De trend waarbij goedkope en toegankelijke computers geproduceerd konden worden heeft geleid tot de technologie zoals wij die vandaag kennen. Elke organisatie gebruikt IT ter ondersteuning van haar primaire en secundaire bedrijfsprocessen. IT is verwerkt in talloze dagelijkse gebruiksvoorwerpen. Een leven zonder smartphone is tegenwoordig bijna ondenkbaar. IT vormt de basis voor de wereld overstijgende communicatienetwerken die onze samenleving drastisch veranderd hebben. (Fijneman, Lindgreen, Veltman, 2005). Deze ontwikkelingen, de toenemende globalisering en de opkomst van de informatie-economie hebben de rol van IT in het bedrijfsleven drastisch veranderd. Internet is de basis geworden van nieuwe ondernemingsmodellen, nieuwe processen en nieuwe manieren voor het distribueren van kennis. Ondernemingen gebruiken internet en netwerktechnologie om bedrijfsprocessen te automatiseren en kantoren over de hele wereld met elkaar te verbinden. Organisaties gebruiken informatiesystemen ten behoeve van hun boekhouding en kunnen proefbalansen opmaken en andere financiële overzichten genereren. Managers kunnen de actuele cijfers over verkopen, kortingen, inkomsten, productmarges en personeelskosten altijd en overal inzien en analyseren. Deze digitale integratie, zowel binnen als buiten de onderneming, bij een klant of in het magazijn verandert de manier waarop organisaties zijn ingericht. Uiteindelijk hebben deze ontwikkelingen geleid tot volledig gedigitaliseerde organisaties waarin alle processen en relaties met de klant digitaal zijn geregeld. Sinds het ontstaan van de computer kenmerkt de ontwikkeling van de hardware zich in grote lijnen door twee patronen die zich tot op de dag van vandaag voordoen: toenemende snelheid en afnemende omvang. Hoewel er dus sprake is van een continue ontwikkeling kunnen we toch een aantal fases onderscheiden:
Het tijdperk van de mainframes (1959-heden) Het mainframemodel is historisch gezien de eerst voorkomende vorm van computers die binnen bedrijven werd ingezet. Wanneer er gebruik wordt gemaakt van een mainframe wordt een centrale krachtige computer ingezet. Hardware, software en gegevensopslag zijn geconcentreerd, en van waaruit via datacommunicatie zoveel mogelijk gebruikers worden bediend door middel van werkstations. Als gevolg van de hoge technische eisen die deze mainframes stelde aan hun omgeving en de hoge aanschafwaarde van deze machines, lag een centrale structuur voor de hand waarbij zoveel mogelijk gebruikers van de hardware gebruik konden maken. 7
Het tijdperk van de personal computer (1981-heden) Door de opkomst van de personal computer (PC) werd het mainframe model steeds vaker verlaten. Gebruikers krijgen nu de mogelijkheid om toepassingen uit te voeren die beter zijn afgestemd op de persoonlijke eisen en wensen. Op een PC hoeft tenslotte de hardware en software niet gedeeld te worden met andere gebruikers. Met de opkomst van de PC konden computers daarom worden ingezet op plekken in de organisatie die voorheen ondenkbaar waren. Rekenkracht werd in verhouding steeds goedkoper en door de lage eisen die de PC stelt aan haar omgeving kon deze op elke plek in de organisatie worden gebruikt.
Het tijdperk van de netwerken (1992-heden) De inzet van netwerken biedt de mogelijkheid om PC’s met elkaar te verbinden zodat gegevens en faciliteiten met elkaar konden worden gedeeld en uitgewisseld. Ook kunnen netwerken ertoe leiden dat afzonderlijke PC’s gezamenlijke taken uitvoeren. De inrichting van netwerken en in het bijzonder de ontwikkeling van Internet leidde vervolgens tot verdere vergroting van de mobiliteit van computers. Hierdoor deden laptops en andere kleine varianten van PC’s hun intrede. Met de verdere uitbouw van mobiele netwerken neemt de toepassing van kleine mobiele computers alleen maar toe (Vaassen, Bollen, Hartmann, Meuwissen, Vluggen, 2005).
Het tijdperk van cloud computing (2000-heden) Met cloud computing wordt bedoeld het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens, ongeveer zoals elektriciteit uit het lichtnet. De cloud staat voor een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers' vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is niet verantwoordelijk voor het onderhoud. Als we kijken naar het tijdperk van cloud computing zien we overeenkomsten met het mainframe tijdperk. In beide tijdperken wordt namelijk gebruik gemaakt van gecentraliseerde computerkracht. Het toenemende gebruik van informatietechnologie heeft ook geleid tot een toename van bijbehorende risico’s. Hierdoor is een groeiende behoefte aan zekerheid ontstaan bij de partijen die op de een of andere manier afhankelijk zijn van de technologie. Dit zijn bijvoorbeeld gebruikers, afnemers, toezichthouders, etc. De ontwikkelingen ten aanzien van cloud computing brengen aanvullende risico’s met zich mee ten opzichte van traditionele oplossingen. Steeds vaker ook wordt de accountant geconfronteerd met applicaties die kritisch zijn voor de financiële rapportages en die gehost worden in een cloud omgeving. Binnen de beschikbare literatuur over de cloud wordt veel geschreven over security aspecten binnen de cloud maar ook steeds meer over governance & assurance binnen de cloud. Bekende voorbeelden van organisaties die aandacht aan deze onderwerpen besteden zijn:
National Institute of Standards and Technology (NIST); European Network and Information Security Agency (ENISA); Information Security Forum (ISF); Information Systems Audit and Control Association (ISACA); Cloud Security Alliance (CSA); 8
Cloud gerelateerde issues die de accountant en de IT-auditor tegenkomen in het kader van de jaarrekeningcontrole zijn echter nog relatief onderbelicht, op enkele uitzonderingen na (Chung, 2011) en (KAM, 2011).
1.2.
Centrale vraagstelling
De IT ontwikkelingen in de cloud hebben ook effect op de aard van onderzoeksobjecten bij de financiële jaarrekeningcontrole uitgevoerd door de accountant. Deze accountant wil voor zijn controlewerkzaamheden kunnen steunen op de integriteit van de data uit de cloud applicaties in scope. Vandaar dat de centrale vraagstelling van deze thesis is: ‘met welke risico’s dient de controlerend accountant rekening te houden wanneer een cloud applicatie in scope van de jaarrekening valt en welke aanvullende controlemaatregelen moeten worden genomen bij het uitvoeren van de jaarrekeningcontrole?’ Om tot een antwoord op deze vraag te kunnen komen zijn drie deelvragen gedefinieerd: 1. Welke voorschriften en richtlijnen zijn relevant bij het uitvoeren van een jaarrekeningcontrole wanneer één of meerdere applicaties in scope zijn ondergebracht in de cloud? En welke risico’s zijn te onderscheiden ten aanzien van cloud applicaties? 2. Hoe kan de accountant in de praktijk omgaan met cloud specifieke risico’s? 3. Met welke aanvullende controlemaatregelen dient de accountant rekening te houden in het geval van een cloud applicatie in scope van de jaarrekeningcontrole?
1.3.
Afbakening Jaarrekeningcontrole
Dit onderzoek focust zich op de controlerisico’s die ontstaan bij de jaarrekeningcontrole als er kritieke applicaties binnen de scope van de jaarrekening vallen die worden gehost in de cloud door een externe partij. De accountant evalueert in de planningsfase in welke applicaties transacties geregistreerd worden die de financiële rapportage van de organisatie raken.
Gebruikersorganisatie en externe accountant Het perspectief waarop naar de te onderzoeken onderwerpen wordt gekeken is vanuit de ogen van de externe accountant en de gebruikersorganisatie. Hierbij is de NVCOS 402 ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’ van toepassing. De Cloud Service Provider (CSP) is in dit onderzoek niet de entiteit waarover assurance wordt verleend door de accountant, in dat geval zou NVCOS 3402 ‘Assurancerapporten betreffende interne beheersingsmaatregelen bij serviceorganisaties’ van toepassing zijn.
9
1.4.
Onderzoeksaanpak
Dit onderzoek is opgezet in vier stappen die achtereenvolgens doorlopen worden om de drie deelvragen te kunnen beantwoorden en uiteindelijk een antwoord te kunnen geven op de onderzoeksvraag.
Stap 1 is de literatuurstudie waarin we in de beschikbare literatuur op zoek gaan naar de relevante audit standaarden die van toepassing zijn wanneer een cloudapplicatie relevant is voor de jaarrekeningcontrole. Tevens wordt gezocht naar specifieke IT risico’s die cloud computing met zich meebrengt (deelvraag 1). Om deze cloud risico’s te kunnen identificeren zullen we eerst inzoomen op de rol van IT en de IT auditor in de jaarrekeningcontrole en de ontwikkeling van cloud technologie. Stap 2 betreft een casestudy waarin in de praktijk wordt gekeken hoe de in deelvraag 1 gedefinieerde audit standaard met bijbehorende risico’s kunnen worden toegepast bij een accountantscontrole (deelvraag 2). Hiertoe worden twee audits uitgevoerd op externe dienstverleners bij controleclienten uit de praktijk. In stap 3 beschouwen we stap 1 (de theorie) en stap 2 (de praktijk) in samenhang met interviews met experts uit het veld. Hierbij analyseren we hoe de praktijk zich verhoudt ten opzichte van de risico’s uit de theorie. In welke mate is de praktijk ingericht om de theoretische risico’s te beheersen en welke rol kan de it auditor spelen in het verbeteren op de aansluiting van de praktijk tot de theorie? Stap 4 is de documentatie van alle werkzaamheden in de vorige drie stappen. Dit betreft een uitgebreide beschrijving van onze werkzaamheden, bevindingen, conclusies en aanbevelingen met betrekking tot toe te passen additionele controlemaatregelen.
10
Hoofdstuk 2: Voorschriften en richtlijnen ten aanzien van de jaarrekeningcontrole in het geval van uitbesteding De afgelopen jaren worden accountants steeds vaker geconfronteerd met cloud applicaties tijdens het controleren van de jaarrekening. Dit hoofdstuk onderzoekt welke wetgeving van toepassing is bij uitbesteding van de IT in het kader van de jaarekeningcontrole. Eerst behandelen we welke regelgeving van toepassing is op de jaarrekeningcontrole in Nederland. Daarna wordt de rol van IT in de jaarrekeningcontrole bekeken en in meer detail wat de eisen zijn volgens de audit standaarden bij het uitbesteden van IT in de cloud.
2.1.
De jaarrekeningcontrole
Een organisatie stelt jaarlijks een jaarrekening op onder de verantwoordelijkheid van het management. De jaarrekening geeft een jaarlijks overzicht van de financiële situatie van een bedrijf. Het bestaat uit een jaarverslag van het bestuur, een balans, een resultatenrekening, een toelichting op beide, het kasstroomoverzicht en de overige gegevens met daarin een controleverklaring. De accountantscontrole is erop gericht om zekerheid ten aanzien van de jaarrekening te verschaffen voor het maatschappelijke verkeer en overige stakeholders. Dit kunnen aandeelhouders zijn, klanten, leveranciers, banken, verzekeringsmaatschappijen, maar ook de belastingdienst, de vakbond, de medewerkers en in publieke organisaties ook de burger zelf. De raad van bestuur van een controleplichtige organisatie stelt de externe accountant aan om een jaarrekeningcontrole uit te voeren. De accountantscontrole is volgens de wet verplicht voor grote en middelgrote ondernemingen. Een en ander is in Nederland geregeld in het Burgerlijk Wetboek, Boek 2, Titel 9. Daarnaast heeft ook de wetgever in BW, Boek 2, artikel 393, lid 4 de accountant gevraagd te rapporteren over zijn bevindingen in zake de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.
2.2.
De externe accountant en wetgeving
Een externe accountant is iemand die beroepsmatig jaarrekeningen controleert. Voor dit beroep is een speciale opleiding nodig en in veel landen is het een beschermde titel. De accountant voert de jaarrekeningcontrole uit volgens lokale wetgeving. In Nederland is het wettelijk kader met betrekking tot jaarrekeningen en –verslagen voor beleggingsondernemingen terug te vinden in artikel 4:85, eerste lid, Wet op het financieel toezicht (Wft) juncto artikel 163 Besluit Gedragstoezicht financiële ondernemingen (BGfo) In artikel 4:85, eerste lid, Wft is bepaald dat een beleggingsonderneming met zetel in Nederland binnen zes maanden na afloop van het boekjaar aan de AFM een jaarrekening, een jaarverslag en overige gegevens verstrekt als bedoeld in de artikelen 361, eerste lid, 391, eerste lid, en 392, 11
eerste lid, onderdelen a tot en met h, van Boek 2 van het Burgerlijk Wetboek (BW). Verder is in artikel 163 BGfo bepaald dat de beleggingsonderneming de jaarrekening, het jaarverslag en de overige gegevens dient te verstrekken in de vorm waarin deze zijn opgemaakt volgens Titel 9 van Boek 2 BW of de internationale jaarrekeningstandaarden.
2.3.
Controlestandaarden en toezicht
De lokale wetgeving verwijst vaak naar verslaggevingsstandaarden (IFRS of het Nederlandse RJ) hoe de jaarrekening opgesteld moet worden door de entiteit. Vaak zijn er landelijke toezichthouders die erop toezien dat accountants voldoende werkzaamheden verrichten om een gedegen oordeel te vellen over de getrouwheid van de jaarrekening. In Nederland is dit bijvoorbeeld het AFM in de VS wordt toezicht gehouden op de kwaliteit van de controles door het PCOAB. De Nederlandse wetgever en de NBA stellen gedrags- en beroepsregels vast voor alle accountants die zijn ingeschreven in het accountantsregister. Al deze regelgeving voor accountants is opgenomen in de Handleiding Regelgeving Accountancy (HRA). Onderdeel van deze regelgeving zijn de Nadere Voorschriften Controle- en Overige Standaarden (NVCOS) waarin de specifieke controlevoorschriften staan vermeld die de accountants moeten hanteren bij de uitvoering van hun werk. De Nederlandse NVCOS is bijna een kopie van de Internationale Audit Standaarden (IAS) onder verantwoording van het International Accounting Standards Board (IASB).
2.4.
Risicogerichte accountantscontrole
Een accountant steunt bij zijn controle op de interne organisatie en de ingebouwde controles in de organisatie. Alleen als de processen intern goed worden beheerst, kan de accountant zekerheid verkrijgen over de financiële stromen en balansposten. In de moderne controleaanpak wordt vanuit efficiency en effectiviteitsoverwegingen veelvuldig gebruik gemaakt van risicoanalyse. Dit komt tot uitdrukking in het zogenaamde audit risicomodel. Dit model beschrijft het risico dat de accountant een materiele fout in de jaarrekening niet ontdekt. Het accountantscontrolerisico (ACR) bestaat uit drie deelrisico’s, het inherente risico (IR), het interne controle risico (ICR) en het detectierisico (DR). Het Inherente Risico (IR) is het risicoprofiel dat een specifieke post fouten bevat. Bijvoorbeeld een post waarbij schattingen gemaakt moeten worden door het management (de voorzieningen) hebben een hoger IR dan de overige kosten die gebaseerd zijn op ‘harde’ factoren zoals facturen en betalingen. Het Interne controlerisico (ICR) is het risico dat de door de organisatie getroffen interne controlemaatregelen eventuele fouten niet ontdekken. Een goede interne beheersing in opzet, bestaan en werking van de processen is hierbij van belang. Dit is een onderdeel waar accountants en it-auditors tijdens de interimcontrole aandacht aan besteden. Het Detectie Risico (DR) is het risico dat accountants tijdens de gegevensgerichte werkzaamheden een eventuele fout niet ontdekken. Als de accountants veel gegevensgerichte werkzaamheden uitvoeren zal dit risico lager zijn, en waar weinig gegevensgerichte audit werkzaamheden uitgevoerd worden is het risico vanzelfsprekend hoger. De gegevensgerichte werkzaamheden worden door de accountant doorgaans uitgevoerd tijdens de eindejaarscontrole. Het accountantscontrolerisico (ACR) kan in de volgende formule worden weergegeven: ACR = IR * ICR * DR 12
Om het accountantscontrolerisico (ACR) tot een acceptabel niveau te brengen waarbij voldoende zekerheid over de verantwoorde financiële informatie kan worden verschaft is het zaak om deze formule in ‘balans’ te brengen. Bij een post met een laag inherent risico, en een goede interne beheersing kan het detectierisico hoger zijn (DR) en dit betekent dat de accountant nog maar weinig gegevensgerichte werkzaamheden hoeft uit te voeren. Wanneer bijvoorbeeld het ICR hoger is door een hiaat in de werking van de interne beheersing zal dit gecompenseerd moeten worden met een lager DR, en dus meer gegevensgerichte werkzaamheden. De gegevensgerichte werkzaamheden zijn vaak een grote belasting voor zowel de accountants als de klant die al deze gegevens moet opleveren. De accountantscontrole bestaat uit vier onderdelen: 1. de planningsfase: In deze fase wordt door de accountant en eventueel de IT auditor de controlestrategie bepaald door middel van het uitvoeren van een risico analyse. Hier wordt onder andere het inherente risico (IR) per post bepaald. 2. de interimcontrole: Deze fase betreft het beoordelen van de opzet, het bestaan en de werking van de getroffen beheersingsmaatregelen al dan niet door de IT-auditor en de accountant. Dit heeft betrekking op de interne beheersingsrisco (ICR) in de formule zoals hierboven beschreven. 3. de eindejaarscontrole: In deze fase worden door de accountant gegevensgerichte controlewerkzaamheden verricht om het detectie risico (DR) af te dekken. De IT auditor kan hierbij ondersteuning aanbieden bij de analyse van data. 4. De afronding: De controlecyclus wordt afgesloten met de evaluatie en communicatie naar de klant. De evaluatie mondt uit in een verklaring bij de jaarrekening, en de communicatie doorgaans door middel van een rapportage aan het management, het auditcommitee en de Raad van Commissarissen. In veel gevallen zal de accountant tijdens de controle steunen op de expertise van derden zoals belastingadviseurs, actuarissen, advocaten maar ook IT auditors worden steeds vaker ingezet om te ondersteunen in de controlewerkzaamheden. Fijneman, Roos Lindgren en Ho (2006) onderscheiden drie momenten in het proces van een jaarrekeningcontrole waarbij de IT-auditor een belangrijke bijdrage kan leveren. Deze drie momenten zijn: a. beoordelen van de opzet van de general IT-controls als een van de elementen voor het bepalen van de controleaanpak (planningsfase); b. beoordelen van de kwaliteit van de applicationcontrols tijdens de procesanalyse in de interimcontrole fase; c. beoordelen van de goede werking van specifieke general IT-controls ter waarborging van de goede werking van de application controls. In de volgende paragraaf zullen we verder ingaan op de rol van automatisering en it-auditors bij de jaarrekeningcontrole. 2.4.1 IT risico model CIA Om risico’s te classificeren is CIA binnen de IT audit een vaak gebruikt model (Confidentiality, Integrity and Availability). Het eerste component Vertrouwelijkheid (Confidentiality) heeft betrekking op het veilig houden van vertrouwelijke informatie. Bijvoorbeeld dat medische gegevens enkel toegankelijk zijn voor daarvoor gemachtigde medewerkers. Vertrouwelijkheid in 13
het kader van de jaarrekening kan betrekking hebben op de assertion Compliance. De entiteit loopt het risico om nationale wetgeving te overtreden en om een boete opgelegd te krijgen door toezichthouders. Ook kan er in sommige gevallen reputatieschade optreden als vertrouwelijke informatie openbaar wordt, bijvoorbeeld als er medische gegevens op straat komen te liggen. Voor de accountant zijn compliance issues vaak issues die in de management letter terecht komen en zodoende besproken worden met het management. Verder kunnen issues op het gebied van compliance indicaties zijn voor de integriteit van het management of zelfs leiden tot een verhoogd fraude risico. De tweede component Integriteit betekent dat de kwaliteit van de data gebruikt voor de transactiegegevens niet aangetast wordt. Auditors hebben assurance nodig over de mate van integriteit van data om te bepalen in hoeverre er gesteund kan worden op de rapportages uit het grootboek en andere it applicaties die gebruikt worden bij de controle van de jaarrekening. Als niet gesteund kan worden op de integriteit van de data kan dat tot gevolg hebben dat de accountant meer substantive testwerkzaamheden moet uitvoeren om tot een oordeel te komen over de jaarrekening. De assertions die hierop betrekking hebben zijn juistheid, bestaan en volledigheid. De derde component Beschikbaarheid (Availability) draagt zorg dat de entiteit bij voorkeur te allen tijde bij zijn data kan zodat de dagelijkse operationaliteit van het bedrijfsproces niet in gevaar komt. Ook zou een entiteit met terugwerkende kracht data moeten kunnen oproepen uit het verleden als data onverhoopt verloren gaat vandaag. Mocht de accountant bevindingen hebben gedaan in het kader van de beschikbaarheid van data en software is dit vaak een management letter punt. Management moet hiervan op de hoogte gesteld worden zodat passende maatregelen getroffen kunnen worden. Maar als deze bevindingen ernstig genoeg zijn kan dit zelfs gevolgen hebben voor de strekking van de controleverklaring. Want in de controleverklaring geeft de accountant ook een oordeel over continuïteit van de entiteit volgens het continuïteitsbeginsel (BW2, artikel 384). In de praktijk komt dat erop neer dat de accountant verklaart dat het bedrijf vanaf het afgeven van de controleverklaring nog tenminste één jaar zal blijven voortbestaan. 2.4.2 Financial audit Risico’s en Assertions De accountant wil de impact van risico’s op de werkzaamheden van de accountant bepalen, zodat hij zijn werkzaamheden efficiënt kan afstemmen op basis van de risico inschattingen. Daarom verdeelt de accountant jaarrekeningposten in diverse risico componenten op het zogenaamde ‘assertion’ niveau. Een assertion is een bewering van het management over de balans, winst & verlies rekening en de toelichtingen. Accountants ontleden deze algemene bewering van het management dat de jaarrekening een getrouw beeld geeft van de economische werkelijkheid in diverse beweringen. De Internationale Audit Standaard ISA 200 gaat hier dieper op in. Veel gebruikte assertions op grootboekrekeningniveau zijn:
Bestaan (Occurrance) - de transactie vond daadwerkelijk plaats, of het bezit bestaat in werkelijk echt Juistheid (Accuracy) - een transactie is voor de juiste hoeveelheid verantwoord in de financiële administratie Volledigheid (Completeness) - een bedrag is volledig verantwoord 14
Cutoff - de transactie is in de juist periode verantwoord Classificatie - de transactie is op de juiste grootboekrekening verantwoord Waardering (Valuation) - een bezit of schuld is juist gewaardeerd en aanpassingen in de accounting periode zijn volledig verwerkt Rights en Obligation (Compliance) - De entiteit heeft de rechten op een object en heeft al zijn contractuele verplichtingen toegelicht
Een accountant denkt steeds in bovenstaande management assertions als het gaat om de impact van risico’s te bepalen op de werkzaamheden die hij verricht op de transacties zoals weergegeven in de financiële administratie. Bijvoorbeeld als een IT auditor een bevinding in de werking van de controls die volgens het CIA model de Integriteit van de data kan aantasten, zal dat volgens de IAS naar alle waarschijnlijkheid invloed hebben tenminste op de assertions: juistheid en volledigheid. Bij de analyse van IT risico’s tijdens de jaarrekeningcontrole die voortvloeien uit de vijf geïdentificeerde cloud-specifieke kenmerken zal men rekening moeten houden met de IT risico’s alswel de impact hiervan op assertion niveau.
2.5.
Automatisering en de impact op de jaarrekeningcontrole
Een trend die al decennia terug is ingezet binnen organisaties is de steeds verdere automatisering. In de jaarrekeningcontrole spelen accountants hierop in door ook naar de IT-omgeving van de organisatie te kijken. Een IT applicatie dwingt vaak een werkwijze af die de betrouwbaarheid van de gegevensverwerking ten goede komt. Bijvoorbeeld dat een geautoriseerde inkooporder en de goederenontvangst aanwezig moeten zijn, voordat een crediteur betaald wordt. Echter brengt dit ook risico’s met zich mee in het geval dat een applicatie-instelling niet goed geconfigureerd staat. Door een menselijke fout kan gedurende een langere periode ongemerkt foutieve transacties verwerkt worden of transacties niet conform de richtlijnen van de entiteit geautoriseerd worden. 2.5.1 IT auditors bij de jaarrekeningcontrole IT-auditors zijn gespecialiseerd in IT-aspecten in combinatie met risicomanagement bij de jaarrekeningcontrole. Zij zijn in staat om de IT-omgeving van een organisatie goed te doorgronden. In de jaarrekeningcontrole wordt op twee manieren naar de IT-omgeving van een organisatie gekeken: De beheersing van de IT-omgeving om zo een uitspraak te doen over de betrouwbaarheid van de geautomatiseerde gegevensverwerking gedurende het gehele boekjaar. Hier wordt vaak naar gerefereerd als de General IT Controls (GITC). Specifieke geautomatiseerde beheersmaatregelen en configuratie-instellingen, ofwel de IT-Application Controls (ITAC). Daarnaast voert de IT auditor uiteenlopende data-analyses uit op basis van exports uit verschillende IT-systemen binnen een organisatie. IT-auditors volgen verschillende opleidingen en trainingen om deze specialisatie op peil te houden en de meeste zijn geregistreerd bij NOREA, de beroepsvereniging van IT-auditors. 2.5.2 General IT controls General IT Controls zijn van toepassing op alle system componenten processen en data aanwezig in een organisatie of it omgeving. Deze controls zijn om vast te stellen dat de organisatie de 15
risico’s rondom de implementatie en ontwikkeling van applicaties beheerst en om de integriteit van programma’s en data en computer operations. Als de conclusie wordt getrokken dat de General IT Controls zwak zijn zal de accountant al bij het bepalen van de controleaanpak daar rekening mee moeten houden. Meer gegevensgerichte werkzaamheden ligt dan meer voor de hand. Een aantal belangrijke aandachtsgebieden voor de jaarreningcontrole zijn (Fijneman et al 2006): -
Logische toegangsbeveiliging
-
Systeemontwikkeling
-
Changemanagement
-
Fysieke toegangscontrole
-
Computer Operation controls
-
Continuiteit
-
Outsourcing
De General IT controls zijn cruciaal wil de accountant kunnen steunen op de rapportages uit applicaties in scope van de jaarrekening en bij het steunen op IT application controls. 2.5.3 IT application controls IT Application Controls zijn van toepassing op de data en transacties van één applicatie of proces. De doelstelling van ITACs zijn dikwijls het juist en volledig vastleggen van transacties, of het helpen bij het juist invoeren van data entries of de verwerking van transacties. In andere woorden, ITAC zijn specifiek gericht op een bedrijfsproces en GITCs zijn van toepassing op een volledige IT omgeving. 2.5.4 Impact van de IT audit op de werkzaamheden van de accountant. De vertaling van de uitkomsten van de werkzaamheden van de IT-auditor naar de onderbouwing van de jaarrekeningcontroleposten is een van de meest cruciale onderdelen van de samenwerking tussen de accountant en IT-auditor. Wil de accountant kunnen steunen op een IT Application Controls (bijvoorbeeld de Three-WayMatch), dan zal hij eerst voldoende zekerheid moet hebben over de GITC van de IT omgeving waarin de betreffende inkoop-applicatie draait. Bij de evaluatie van de general IT controls voor de werking van de application controls kan de ITauditor ten aanzien van de werking van de general IT-controls een drietal conclusies trekken (Fijneman et al 2006):
De relevante general IT-controls zijn van dien aard, dat de controledoelstelling van de accountant volledig is afgedekt, met andere woorden de accountant kan steunen op de betrouwbare werking van de aangetroffen applicatiecontroles. De relevante general IT-controls vertonen belangrijke leemtes, waardoor de accountant niet zonder meer kan steunen op de continue werking van de applicatiecontroles. De IT-auditor constateert dusdanige leemtes dat überhaupt niet op de applicaties kan worden gesteund. 16
In het geval van controle-bevindingen in de GITCs zoals bedoeld onder punt twee zal er per bevinding een analyse gemaakt moeten worden van de impact op de jaarrekening controle en vooral op alle individuele ITACs waar de accountant van voornemens was om op te steunen. De IT-auditor en de accountant bepalen samen wat dit geval het zogenaamde ‘restrisico’ is bij de werking van de application controls. Enerzijds betreft deze samenwerking het wederzijds onderkennen van de controledoelstelling en de af te dekken risico’s en anderzijds de mate waarin het risico niet wordt weggenomen. Daarbij spelen andere general IT controls en application controls vaak een belangrijke rol, omdat ze elkaar kunnen compenseren of zelfs versterken. Bij belangrijke bevindingen op het gebied van de processen rondom Change Management of Identity en Access Administration kan de impact op de controleaanpak van de accountant aanzienlijk zijn. In deze gevallen zullen bijna altijd aanvullende controlemaatregelen nodig zijn. Deze zullen veelal bestaan uit gegevensgerichte maatregelen zoals steekproeven en aanvullende analyses. Zo kan bijvoorbeeld uit logging blijken dat bepaalde medewerkers nooit toegang hebben gehad tot applicaties waarbij ze mogelijk een kritische functiescheiding zouden hebben kunnen doorbreken. Wanneer geheel niet op GITCs gesteund kan worden zal er ook geen gebruik gemaakt kunnen worden op de aanwezige application controls. Ook een rapportage (bijvoorbeeld een lijst met alle medewerkers in dienst over 2014) kan in dit geval gezien worden als een application control. De rapportage wordt in dit geval aangemerkt als handmatig- in plaats van automatisch-gegenereerd. De accountant zal dan bij al de handmatige rapportages testwerkzaamheden moeten uitvoeren op de juistheid en volledigheid van de rapportage.
2.6 Uitbesteding van IT in NVCOS 402 IT-applicaties in scope van de jaarrekeningcontrole zijn steeds vaker uitbesteed aan een externe dienstverlener, of zoals de NVCOS dit noemt een ‘service organisatie’. Ook de Cloud Service Provider valt onder de noemer van service organisatie. Indien er sprake is van uitbesteding van (een deel) van de IT-omgeving is de NVCOS Standaard 402 van toepassing. Standaard 402 luidt: ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een service organisatie’ (NBA, 2015). Deze Standaard behandelt de verantwoordelijkheid van de accountant voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een organisatie gebruik maakt van de diensten van één of meer serviceorganisaties. De standaard weidt uit over hoe de accountant NVCOS Standaard 315 (Risico’s op een afwijking van materieel belang identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving) en NVCOS Standaard 330 (Inspelen door de accountant op ingeschatte risico’s) toe moet passen. In de volgende paragrafen zullen we dieper ingaan op de vereisten die de NVCOS stelt aan de controle wanneer gebruik wordt gemaakt van een cloud applicatie. Dit doen we door middel van de paragrafen 2.6.1 ‘Het verwerven van inzicht in de diensten die worden verleend door een Serviceorganisatie met inbegrip van de interne beheersing’ (gebaseerd op COS 315), paragraaf 2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang (gebaseerd op COS 330) en met speciale aandacht voor de rol van derdenverklaringen (bijv. ISAE 3402) in paragraaf 2.6.3.
17
2.6.1 Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie met inbegrip van de interne beheersing. Voor een goede risicoanalyse is voldoende inzicht nodig in de diensten van de serviceorganisatie. Als blijkt dat deze diensten invloed hebben op de transactiestromen of financiële administratie en/of een belangrijk onderdeel uitmaken van de interne beheersing van de gecontroleerde organisatie, dan is inzicht vereist in de beheersingsmaatregelen bij de serviceorganisatie. Standaard 402 kan gezien worden als een handleiding die de accountant moet verrichten wanneer hij wil steunen op een externe dienstverlener wanneer deze relevant zijn voor de controle van de financiële rapportages van een organisatie en de daarmee verband houdende bedrijfsprocessen. Een voorbeeld hiervan is een externe salarisverwerker die zorg draagt voor de een correcte uitbetaling van de salarissen van de werknemers van een organisatie. Maandelijks worden de transacties zoals uitgevoerd door externe dienstverlener (inclusief salaris, loonheffing, sociale lasten en pensioeninhoudingen) door middel van een loonjournaalpost in de financiële administratie van de gebruikersorganisatie geboekt. In eerste instantie moet de accountant begrijpen welke diensten de externe serviceprovider verleend en hoe deze diensten verleend worden (COS 402.9). Hiervoor kan de accountant gebruik maken van de overeenkomst met de service verlener, technische handleidingen van de applicatie of informatie verzamelen door middel van een interview van de applicatiebeheerder. De volgende stap (COS 402.10) is het beoordelen van de opzet van de interne beheersingsmaatregelen bij de klant (dus niet bij dienstverlener). En als derde stap (COS 402.11) vereist de standaard dat de accountant evalueert of hij voldoende inzicht heeft in de aard van de dienstverlening en de interne beheersing. De werking van de beheersing is hier nog niet aan de orde. Hieronder een beknopte samenvatting van de COS betreffende COS standaarden:
COS 402.9: Bij het verwerven van inzicht dient de accountant inzicht te verwerven in de wijze waarop die organisatie bij haar activiteiten gebruik maakt van de diensten van een serviceorganisatie, waaronder: 1. De aard van de diensten die door de serviceorganisatie worden verleend en de significantie van die diensten voor de gebruikersorganisatie, met inbegrip van het effect ervan op de interne beheersing van de gebruikersorganisatie; 2. De aard en de materialiteit van de verwerkte transacties, rekeningen of financiële verslaggevingsprocessen waarop de serviceorganisatie invloed heeft; 3. De mate waarin er interactie bestaat tussen de activiteiten van de serviceorganisatie en die van de gebruikersorganisatie; en 4. De aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie, met inbegrip van de relevante contractuele voorwaarden betreffende de door de serviceorganisatie uitgevoerde werkzaamheden.
COS 402.10: De accountant dient een evaluatie te verrichten van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten 18
COS 402.11: De accountant dient te bepalen of hij een toereikend inzicht heeft verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat stelt de risico’s op een afwijking van materieel belang te identificeren en in te schatten.
Wanneer de accountant geen toereikend inzicht kan verwerven via de gebruikersorganisatie, dient hij dit inzicht te verwerven via een of meer van de volgende werkzaamheden: 1.
Het verkrijgen van een type 1- of type 2-rapport, indien beschikbaar;
2. Het opnemen van contact met de serviceorganisatie, via de gebruikersorganisatie, om specifieke informatie te verkrijgen; 3. Het bezoeken van de serviceorganisatie en het uitvoeren van werkzaamheden die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie; of 4. Het gebruikmaken van een andere accountant om werkzaamheden te laten uitvoeren die de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij de serviceorganisatie. In de volgende paragraaf behandelen we hoe de accountant volgens de standaard de werking van de beheersingsmaatregelen op de werkzaamheden van de dienstverlener kan vaststellen.
2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materiaal belang Wanneer de accountant voldoende inzicht heeft verworven in de aard van de dienstverlening zoals bedoeld onder de standaard COS 315 is het zaak om te bepalen hoe hij de ingeschatte risico’s op een afwijking van materieel belang gaat afdekken. Deze risico’s variëren per post en per dienstverlener. In het voorbeeld van de externe salarisverwerker zouden de juistheid van de salariskosten en de volledigheid van de afdrachten sociale premies een dergelijk risico kunnen zijn. COS 402.15 dwingt de auditor om na te denken over 1.) of hij kan steunen op de werking interne beheersingsmaatregelen bij de serviceorganisatie (COS 402.15) en hoe hij deze informatie het beste kan verkrijgen (COS 402.16).
NVCOS 402.15 Bij het inspelen op ingeschatte risico’s in overeenstemming met Standaard 330 dient de accountant van de gebruikersorganisatie: 1. Te bepalen of er voldoende en geschikte controle-informatie over de relevante in de financiële overzichten opgenomen beweringen beschikbaar is op basis van vastleggingen bij de gebruikersorganisatie; en, zo niet,
19
2. Verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controleinformatie te verkrijgen dan wel gebruik te maken van een andere accountant om die werkzaamheden namens hem bij de serviceorganisatie te laten uitvoeren.
NVCOS 402.16 Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden: 1.
Het verkrijgen van een type 2-rapport, indien beschikbaar;
2. Het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of 3. Het gebruikmaken van een andere accountant om namens hem toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten. In de praktijk ziet men steeds vaker dat de service organisatie een ISAE 3402 rapport verschaft aan haar klanten om aan hun behoefte op assurance op de dienstverlening te kunnen voldoen.
2.6.3 Gebruik van een ISAE3402 rapport Organisaties besteden processen, die niet core zijn, uit aan service organisaties. Bij deze uitbesteding ontstaat de vraag hoe deze uitbesteding beheerst wordt. De reikwijdte van ISAE3402 voornamelijk gericht op de financiële controlewerkzaamheden van de accountant in het kader van de jaarrekening. De standaard COS 3402 behandelt de de vereisten die gesteld worden aan een ISAE 3402 rapportage. Deze standaard stelt dat alle processen die een materieel effect hebben op de jaarrekening opgenomen moeten worden. Veel voorkomende voorbeelden waarin de standaard COS 3402 toegepast wordt zijn (Schellevis & Van Dijk, 2014): -
de onderneming voert de boekhouding binnen een online boekhoudapplicatie;
-
de onderneming heeft de salarisverwerking uitbesteed aan een serviceprovider;
-
de onderneming heeft de vorm van een webwinkel;
de volledige infrastructuur van een applicatie voor transactieverwerking wordt gehost in een extern rekencentrum.
In het algemeen geldt dat een ISAE 3402 verklaring nuttig is indien er een derde partij is die (een deel van) de AO/IB uitvoert. De ISAE 3402 verklaring kent twee verschijningsvormen:
Type 1: De verklaring beperkt zich tot de opzet van de interne beheersingsmaatregelen van de serviceorganisatie Type 2: De verklaring omvat de opzet, het bestaan en de werking van de interne beheersingsmaatregelen van de service organisatie over een bepaald tijdvak.
20
De standaard COS 402.17 stelt specifieke eisen aan de werkzaamheden die de accountant dient uit te voeren wanneer hij wil steunen op een type-2 rapport voor de werking van de beheersingsmaatregelen onder invloed van de serviceorganisatie: NVCOS 402.17 Indien de accountant van plan is een type 2-rapport te gebruiken als controleinformatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie, dient hij na te gaan of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door: 1. Te evalueren of de beschrijving, de opzet en de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden die passend is voor zijn doeleinden; 2. Te bepalen of de aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de gebruikersorganisatie en, zo ja, inzicht te verwerven in de vraag of de gebruikersorganisatie dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de effectieve werking ervan te toetsen; 3. Te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en 4. Te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen.
2.7 Conclusie In dit hoofdstukken is behandeld welke voorschriften en standaarden relevant zijn bij de jaarrekeningcontrole en in het bijzonder bij uitbesteding van IT. De controlestandaarden zoals beschreven in de NVCOS zijn verankerd in wetgeving. Wanneer sprake is van cloud gebaseerde applicaties zullen er additionele risico’s van toepassing kunnen zijn in vergelijking tot uitbesteding van applicaties die in een traditioneel datacenter worden gehost. Deze verschillen zouden inzichtelijk gemaakt moeten worden door de controlerend accountant volgens standaard COS 402.17.4 waar de accountant dient te evalueren of de beheersingsmaatregelen relevant zijn voor de controleinformatie die hij nodig heeft om zijn risico-inschatting te kunnen ondersteunen. In het volgende hoofdstuk wordt verkend op basis van de beschikbare literatuur met welke cloudspecifieke risico’s rekening dient te worden gehouden.
21
Hoofdstuk 3: Welke risico’s zijn van toepassing op cloud applicaties? Wanneer het object van onderzoek van de jaarrekeningcontrole verschuift naar een service organisatie in de vorm van cloud computing krijgt de accountant te maken met cloud specifieke risico’s. In de planningsfase van de audit dienen deze risico’s in overweging te worden genomen om de controleaanpak hier adequaat op aan te passen. Dit hoofdstuk beantwoordt de vraag welke risico’s van toepassing zijn op cloud applicaties. Hiertoe onderzoeken wij eerst welke eigenschappen cloud applicaties met zich meebrengen ten opzichte van traditionele hosting modellen. Vervolgens gaan we in op welke risico’s gepaard gaan met deze eigenschappen. 3.1 Wat is Cloud? 3.2 Cloud Risico’s bij de jaarrekeningcontrole 3.3 Conclusie
3.1 Wat is Cloud? Om inzicht te verkrijgen in de cloud-specifieke risico’s is het noodzaak om eerst goed te begrijpen wat Cloud Computing is en wat de karakteristieken van cloud computing zijn. 3.1.1 Definitie Cloud Computing Met cloud computing wordt bedoeld het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens, ongeveer zoals elektriciteit uit het lichtnet. De cloud staat voor een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers' vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is niet verantwoordelijk voor het onderhoud. De details van de informatietechnologische infrastructuur worden aan het oog onttrokken en de gebruiker beschikt over een ‘eigen’, in omvang en mogelijkheden schaalbare, virtuele infrastructuur. De cloud is dus een begrip dat onlinediensten aanduidt. Een definitie van het begrip cloud computing is een essentieel onderdeel van dit begrip. Het Amerikaans National Institute of Standards and Technology (NIST, 2009) geeft de volgende definitie van Cloud Computing: “Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de diensten in de vorm van infrastructuur, data en applicaties via het internet worden aangeboden als een gedistribueerde service via één of meerdere service providers. Deze diensten worden door verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en worden betaald per gebruikte eenheid.”
22
3.1.2 Vormen en karakteristieke van Cloud Het cloud model kan bestaan uit een drietal service modellen en een viertal deployment modellen. Dit zijn de welbekende SaaS, Paas en IaaS en de deployment modellen Public, Private, Community en Hybrid cloud. Voor een gedetailleerde beschrijving van deze service- en deployment modellen zie bijlage A. Daarnaast zijn er in de literatuur zeven essentiële karakteristieken van de cloud technologie te identificeren, namelijk gebaseerd op diensten, schaalbaarheid en elasticiteit, elasticiteit, gedeeld met andere gebruikers, betalen per gebruikerseenheid en internettechnologie. Zie voor een gedetailleerde beschrijving bijlage A. 3.1.3 Cloud uitgelegd van het business- en IT perspectief. Omdat een IT-auditor vaak op het snijvlak van de business operationele processen en de onderliggende techniek werkzaam is geprobeerd om begrip te krijgen van wat de introductie van cloud technologie voor consequenties heeft voor de business (zie bijlage B) en ook wat de techniek achter cloud met zich meebrengt (zie bijlage C). Beide perspectieven zijn belangrijk om te begrijpen, want zoals we later zullen zien ontstaan er binnen de jaarrekeningcontrole cloudspecifieke risico’s met betrekking tot de business processen als wel op it gebied. 3.1.4 De evolutie van cloud Cloud computing is allesbehalve nieuw, het is over vele jaren geëvolueerd samen met de opkomst van het internet en de alsmaar toenemende mogelijkheden die het world wide web ons biedt. Cloud is dus gebaseerd op bestaande infrastructuur en processen. De eerste blootstellingen van gebruikers aan de cloud kwamen opzetten toen e-mail werd aangeboden aan internet-verbonden computergebruikers in het begin van 1990. De vijf fases die cloud technologie sindsdien heeft doorlopen is uitgebreid beschreven in bijlage D.
3.2 Cloud risico’s In deze sectie worden een aantal specifieke eigenschappen van cloud computing geïdentificeerd die een impact kunnen hebben op de jaarrekening controle omdat ze risico’s met zich mee kunnen brengen die traditionele vormen van hosting niet, of in mindere mate omvatten. Een risico is de kans dat een negatieve gebeurtenis zich voordoet vermenigvuldigt met het gevolg van die gebeurtenis. Een auditor geeft invulling aan de jaarrekening aan de hand van een risicoanalyse (NIVRA, 2002). Maar ook een organisatie is veelal bezig met het managen van risico’s. Een veelgebruikt model hierbij is het COSO model. Nog meer specifiek op IT risico’s toegericht is een best practise het zogenaamde CObIT raamwerk (Control Objectives for Information and Related Technology). In hoofdstuk twee is het onderwerp IT risico’s en de mogelijke impact op de jaarrekeningcontrole al uitgebreid behandeld. Voor een verdieping in dit onderwerp zie secties 2.4.1 en 2.4.2. 3.2.1 Eigenschappen van Cloud vs Traditionele Hosting in het kader van de jaarrekeningcontrole. Risico management in de cloud is een topic dat sterk in de belangstelling staat in de IT risk wereld vandaag de dag. De cloud-risico’s specifiek voor de controlewerkzaamheden van de accountant in 23
het kader van de jaarrekening is een onderwerp waar nog niet heel veel over is geschreven. Twee bronnen die dit onderwerp wel behandelen zijn het artikel ‘Assurance in the Cloud, the impact of cloud computing on financial statements, 2011’ van M. Chung en de ‘KPMG KAM alert Cloud Services. M. Chung identificeert in zijn artikel drie specifieke kenmerken van cloud computing die verschillen van de traditionele on-premise IT en een impact hebben op de jaarrekengcontrole. Dit zijn:
External data storage and processing Sharing of IT resources with other customers Dependency on public internet
In zijn artikel verkent Chung de impact van deze cloud specifieke kenmerken op de General IT Controls waar de accountant doorgaans op steunt bij de controle van de jaarrekening en formuleert aandachtspunten voor gebruikersorganisaties en accountants om deze risico’s te kunnen mitigeren. In 2011 verschijnt het ‘KAM alert Cloud Services’ van KPMG met als doel de accountant te ondersteunen in zijn werkzaamheden bij de jaarrekeningcontrole wanneer hij geconfronteerd wordt met applicatie in scope van zijn audit werkzaamheden die gehost worden in de cloud. In dit alert worden vier mogelijke risico’s geïdentificeerd met een impact op de controlewerkzaamheden:
Ease of changability, immediacy Disconnect/deviation of controls with existing IT governance framework Complex arrangements between entity and cloud service providers Ease of transportability of data
3.2.2 Cloud specifieke risico’s in het kader van de jaarrekeningcontrole De risico’s beschreven in de twee bovenstaande bronnen hebben vele overeenkomsten. In het kader van dit onderzoek behandel ik een aantal kenmerken in een cloud omgeving die een impact kunnen hebben op de risico inschatting door de accountant bij de controle van de jaarrekening. Bij de keuze van de onderstaande vijf cloud specifieke kenmerken wordt niet geprobeerd om een volledig overzicht te verschaffen met alle risico’s die in dit kader een rol kunnen spelen, maar wel in grote lijnen de cloud-specifieke kenmerken te behandelen die kunnen resulteren in cloudspecifieke risico’s. 1. 2. 3. 4. 5.
Flexibele locatie van de data en software Delen van middelen met andere gebruikers Snelheid en gemak van aanpassen infrastructuur Complexe structuur cloud service providers Afwijking beheersmaatregelen cloud omgeving met het IT governance framework
1.) Flexibele locatie van de data en software CSP kunnen data verwerken of opslaan op servers over diverse juridicties in de wereld hierdoor is het voor de accountant moeilijk om te bepalen aan welke it- en juridische omgevingen de data en software is blootgesteld. Dit maakt het moeilijk voor de accountant om vast te stellen welke 24
beheersmaatregelen op de data en applicaties van toepassing zijn geweest gedurende de rapportage periode. Daarnaast zorgt de flexibiliteit van de locatie van de data ook voor compliance issues in het kader van nationale wetgeving. Als een Nederlands bedrijf gevoelige data in de US, China en/of Rusland heeft staan, zijn er een diversiteit van nationale wetgeving van toepassing op de data. Dit resulteert in een risico dat de entiteit minder goed toegang heeft tot zijn data, of dat nationale wetgevingen overtreden worden met als gevolg boetes of negatieve aandacht in de media. 2.) Delen van middelen met andere gebruikers Het gebruik van technieken als virtualisatie, grid computing en shared data caches stelt de gebruikers van cloud in staat om middelen in een IT infrastructuur te delen (multi-tenancy). Dit zijn dikwijls onderdelen van de IT infrastructuur, maar gebruikers kunnen ook software delen. Als gebruikers toegang hebben tot elkaars data kan dit negatieve gevolgen opleveren voor de integriteit van de data. Dit leidt tot extra risico’s leiden bij de controle van de jaarrekening. Het is belangrijk dat de gebruiker zichzelf ervan verzekerd dat de cloud provider voldoende maatregelen in plaats heeft om data van klanten van elkaar af te scheiden, bijvoorbeeld door middel van encryptie. Indien encryptie wordt toegepast dan zal de gebruiker zekerheid moeten verkrijgen over de encryptie key management en het proces gebruikt om data te de-crypten voordat deze wordt verwerkt. 3.) Snelheid en gemak van aanpassen infrastructuur Het identificeren van alle cloud diensten relevant voor de jaarrekeningcontrole kan moeilijker zijn omdat cloud services gemakkelijker buiten de IT afdeling ingekocht kunnen worden. Voor een typisch SaaS product dat door middel van een internetverbinding wordt aangeboden is in de beleving van een gemiddelde inkoper geen IT kennis nodig voor installatie of onderhoud. Maar vanuit een assurancebril gezien is de betrokkenheid van de it afdeling vaak wel van kritisch belang. Om dit cloud-risico te beheersen zullen de interne beheersingsprocessen en controls aangepast moeten worden. De auditor heeft inzicht nodig welke controls en governance processen hierop betrekking hebben en wie binnen de entiteit geautoriseerd is om overeenkomsten aan te gaan met externe service providers, zodat hij kan beoordelen of alle CSPs die relevant voor de audit worden geacht ook in scope van de werkzaamheden vallen of dat additionele werkzaamheden nodig zijn. 4. Complexe structuur cloud service providers Cloud service providers maken dikwijls gebruik van subcontractors die delen van de diensten van de externe serviceorganisatie verzorgen, bijvoorbeeld het beheer van de it infrastructuur. Dit kan resulteren in complexe contracten tussen de gebruiker en de cloud provider. In de ISAE rapportages van de serviceprovider wordt veelvuldig gebruik gemaakt van de zogenaamde carveout methode. Dit betekent dat subcontractors die een bepaalde dienst leveren aan de serviceorganisatie niet meegenomen worden bij de controlewerkzaamheden van de accountant van de betreffende serviceorganisatie. Echter wanneer de diensten van de subcontractor wel in scope zijn van de controlewerkzaamheden van de accountant bij de gebruikersorganisatie zal hij toch zekerheid willen verkrijgen over de beheersingsmaatregelen bij de subcontractor. Deze 25
complexiteit zorgt voor een verhoogd risico op onvoldoende controlewerkzaamheden door de accountant op serviceorganisaties in het kader van de jaarrekeningcontrole. De accountant kan zekerheid verkrijgen over de beheersingsmaatregelen bij de subserviceorganisaties bijvoorbeeld door middel van een ISAE type 2 rapport. Maar als dit niet mogelijk is kan de accountant ook zelf controlewerkzaamheden uitvoeren bij de betreffende subcontractor. In de praktijk is het voor de accountant vaak niet mogelijk om zelf bij de cloud provider te mogen auditen. (M. D. Ryan, 2011) omdat het ook security risico’s voor de cloud provider met zich meebrengt. Daarbij zijn de lasten die het geven van het ‘right to audit’ aan alle gebruikers voor de cloud provider dusdanig hoog dat de providers er vaak voor kiezen om geen externe auditors toe te laten in hun cloud data centers. 5.) Afwijking beheersmaatregelen cloud omgeving met het IT governance framework Risico’s en beheersmaatregelen worden door de cliënt gedefinieerd in een IT governance framework. Cloud services kunnen relatief gemakkelijk geïmplementeerd worden door een entiteit, waardoor een deel van die beheersmaatregelen ook uitgevoerd worden door de serviceprovider. Het kan voorkomen dat de beheersingsmaatregelen van de CSP niet worden opgenomen in het IT beheersingsframework van de afdeling binnen de gebruikersorganisatie die is belast met IT governance. Als de gebruikersorganisatie geen monitoring uitvoert op de beheersingsmaatregelen van de serviceorganisatie kan dit operationele risico’s tot gevolg hebben. Het managen van externe cloud providers vergt niet alleen aanpassingen aan het IT governance framework, maar ook additionele vaardigheden en kennis van de IT afdeling om de implementatie en het operationele beheer te managen. Een goed begrip van de voorwaarden van het service contract en de impact op de relevante proces level controls en de ITGCs is hierbij noodzakelijk. Dit houdt onder meer in een begrip van de flow van data en transacties tussen de gebruikersorganisatie en de CSP. Het verplaatsen van software applicaties en financiële data in cloud service modellen kan resulteren in minder inzicht in de flow van transacties en informatie over financiële transactie zou minder goed beschikbaar kunnen worden dan in het verleden.
26
3.3: Conclusie hoofdstuk 3 In dit hoofdstuk is door middel van literatuuronderzoek een relevant inzicht verworven in de karakteristieken van cloud technologie. Op basis hiervan zijn vijf cloud-specifieke risico’s geïdentificeerd die een auditor in een controleopdracht tegen kan komen. Deze vijf risico’s worden meegenomen in het casestudy onderzoek in hoofdstuk 4 waar twee cloud service providers in het kader van de jaarrekening worden geaudit op basis van de audit standaard NVCOS 402. Tevens geven hoofdstuk 2 en 3 antwoord op deelvraag 1: “Welke voorschriften en richtlijnen zijn relevant bij het uitvoeren van een jaarrekeningcontrole wanneer één of meerdere applicaties in scope zijn ondergebracht in de cloud? En welke risico’s zijn te onderscheiden ten aanzien van de cloud applicaties?” De relevante regelgeving voor de accountant is te vinden in de controlestandaard NVCOS 402 ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’. Verder is gebleken uit de literatuur dat cloud technologie een aantal additionele risico’s met zich meebrengt waar de accountant aandacht aan hoort te besteden bij zijn werkzaamheden op de interne beheersingsmaatreglen bij de serviceorganisatie. Dit zijn de flexibele locatie van de data, multitenancy, snelheid en gemak van het aanpassen van de IT infrastructuur, complexte structuur van CSPs en afwijkende beheersingsmaatregelen met het IT governance framework van de gebruikersorganisatie.
27
Hoofdstuk 4: Casestudy onderzoek In dit hoofdstuk worden de uitvoering en de bevindingen van het casestudy onderzoek beschreven. 4.1 Aanpak onderzoek 4.2 Beschrijving casus omgevingen 4.3 Bevindingen casus 1 4.4 Bevindingen casus 2 4.5 Samenvatting
4.1 Aanpak Onderzoek In hoofdstuk 4 en 5 wordt een antwoord gegeven op deelvraag twee, namelijk ‘op welke wijze kan een accountant omgaan in de praktijk wanneer een cloud applicatie kritisch wordt geacht in de controle van de jaarrekening?’ Deze vraag is tweeledig, in eerste instantie wordt nagegaan op welke manier de NVCOS audit standaard welke van toepassing is op service providers kan worden toegepast. Daarnaast wordt onderzocht op welke manier met cloud specifieke risico’s omgegaan kan worden. In het volgende hoofdstuk worden de bevindingen die uit het casestudy onderzoek naar voren komen besproken met diverse experts. Alles wordt geanalyseerd aan de hand van de theorie, de praktijkervaring van de casestudies en de expert interviews. Uiteindelijk wordt een antwoord geformuleerd op de tweede subvraag.
Methode Dit hoofdstuk zoekt een antwoord op de bovenstaande vragen door het uitvoeren van twee casestudies. In de casestudies worden twee audits uitgevoerd op externe cloud service organisaties die een IT application hosten in de cloud in scope voor de jaarrekeningcontrole van de gebruikersorganisatie. Deze audits zijn uitgevoerd aan de hand van de geldende voorschriften en met inachtneming van de cloud-risico’s die in de literatuur geïdentificeerd zijn. De onderzoeksfunctie volgens Yin (2010) die we toepassen in deze casestudy is overwegend evaluerend en ook een stukje ontwerpend ingestoken. Evaluerend omdat we audits uitvoeren op situaties die daadwerkelijk in de praktijk voorkomen. Hierbij wordt aan de hand van de geldende regelgeving getoetst in hoeverre de aanwezige controle-informatie bij de gebruikersorganisatie en externe serviceorganisatie in voldoende mate de risico’s op de beweringen in de financiële rapportages afdekken. Daarnaast een stukje ontwerpend waar aanbevelingen worden geformuleerd aan de hand van de bevindingen die de controle van externe cloudserviceorganisatie kunnen verbeteren.
28
4.2 Beschrijving casus omgevingen De twee casussen geselecteerd voor review zijn een middelgrote en een grote organisatie die allebei controleplichtig zijn voor de jaarrekening volgens BW2, titel 9. Hieronder een korte beschrijving van de organisaties, de betreffende cloud applicaties, gerelateerde processen en de manier waarop assurance verkregen wordt over de beheersingsmaatregelen bij de externe dienstverlener. 4.2.1 Beschrijving organisatie 1 Deze jaarrekening controle betreft een middelgroot bedrijf dat advertenties verkoopt aan websites voor haar klanten. Het heeft vestigingen heeft in Europa, Azië en (zuid) Amerika. Bij het bedrijf zijn tussen de 50 en 100 mensen werkzaam. De omzet van dit bedrijf is onder andere afhankelijk van het aantal ‘views’ en het aantal ‘clicks’ die het webverkeer op de website van de affiliates genereert. Om dit te kwantificeren wordt een SaaS applicatie van een externe dienstverlener gebruikt die dagelijks de online-activiteiten aangaande de advertenties op de websites kwantificeert. De organisatie belast de kosten voor de webmasters door aan adverteerders inclusief een opslag voor de eigen geleverde service, dit betreft de belangrijkste omzetstroom van deze cliënt. Het object van onderzoek is de SaaS applicatie van de externe service provider gehost en is alleen toegankelijk voor de gebruikersorganisatie door middel van een internetverbinding. De service provider van de SaaS applicatie stelt een derdenverklaring (ISAE 3402) beschikbaar wanneer de gebruiker hierom vraagt. 4.2.2 Beschrijving organisatie 2 De cliënt betreft een groot bedrijf dat zich bezighoudt met logistieke dienstverlening in Nederland en enkele andere Europese landen. Er werken meer dan 250 medewerkers bij het bedrijf. De salarisadministratie van het overgrote deel van de medewerkers is uitbesteed aan een externe dienstverlener. Wel is de organisatie zelf verantwoordelijk voor het bijhouden van het personeelsbestand in de SaaS applicatie die via het internet toegankelijk is voor de HR afdeling. De accountant maakt gebruik van rapportages uit deze applicatie voor de controle van de personeelskosten en de afdracht van loonheffing en sociale lasten. De applicatie betreft een SaaS cloud applicatie en wordt aangeboden door een gespecialiseerde salarisverwerker. Deze externe serviceorganisatie stelt jaarlijks een ISAE 3402 type 2 rapport beschikbaar aan haar klanten. 4.2.3 Structuur casus onderzoek In hoofdstuk 2 is beschreven dat een cloud-applicatie in de scope van de jaarrekening valt onder de norm NVCOS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie’, waarin de minimale vereisten aan controlewerkzaamheden zijn beschreven wanneer de cliënt van de accountant gebruik maakt van een externe dienstverlener. Deze richtlijn is te onderscheiden in drie vereisten en staan in de volgende tabel weergegeven met daarbij de relevante controlestandaard uit de NVCOS 402.
29
NVCOS Vereisten
Controlestandaard
a.) Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie met inbegrip van de interne beheersing.
NVCOS 402.9, 402.10, 402.11
b) Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang
NVCOS 402.15, 402.16
c) Gebruik van een ISAE 3402 rapport
NVCOS 402.17
In de volgende sectie gaan we aan de hand van de richtlijnen en cloud-specifieke karakteristieken een audit uitvoeren met als doel om te beoordelen in welke mate de accountant kan steunen op de rapportages die gegenereerd worden uit de SaaS applicaties van de externe serviceprovider.
4.3 Bevindingen Casus 1 Zoals beschreven bestaat de jaarrekeningcontrole uit drie fases (Fijneman et al, 2006), namelijk de planningsfase, de interim-fase en de afrondingsfase. Tijdens de interim-fase heeft de IT auditor de IT omgeving van de klant beschreven en in overleg met de accountant alle applicaties die gebruikt worden voor de financiële verslaggeving geïdentificeerd. Ook heeft hij een van deze applicaties als een cloud based applicatie aangemerkt. Deze applicatie betreft een SaaS applicatie die in een public cloud omgeving wordt gehost. De gebruikersorganisatie bemiddelt in online advertentie verkopen tussen de adverteerder en de eigenaren van de websites waar de advertenties worden weergegeven. De adverteerders betalen de webmasters op basis van het aantal clicks en views en leads dat door de advertenties op hun website wordt behaald. De administratieve afhandeling tussen de adverteerders en de webmasters wordt verzorgd door deze klant. Op basis van de cloud applicatie draait men rapportages waaruit blijkt hoeveel de adverteerder aan de webmaster verschuldigd is. De conclusie tijdens de planningsfase van de accountant luidt dat IT sterk is geïntegreerd in de business, het IT landschap complex is en de business is afhankelijk van application controls. Daarom wil de auditor zekerheid over het bestaan, opzet en de werking van de IT General Controls van de SaaS applicaties om te kunnen steunen op de rapportages. Dit geldt ook voor de ITGCs van de service provider die de SaaS applicatie van dit onderzoek aanbiedt. Als de accountant niet kan steunen op de ITGC van de CSP heeft dat tot gevolg dat hij ook niet zomaar kan steunen op de rapportages van de SaaS applicatie die gebruikt worden om de omzet te factureren. De aanbieder van deze SaaS cloud applicatie wordt door de NVCOS aangemerkt als een zogenaamde externe serviceorganisatie. De COS 402 stelt een aantal vereisten aan de controle van serviceorganisaties (zie hoofdstuk 2). Op basis van deze vereisten heb ik een werkprogramma opgesteld en dit uitgevoerd bij de betreffende organisatie. Bij deze organisatie is documentatie opgevraagd, en zijn interviews gehouden met de relevante medewerkers. Ook heb ik een interview gehouden met de accountant waar ik in het volgende hoofdstuk op terug kom.
30
Het eerste onderdeel betreft de vereiste waarin de it auditor inzicht dient te verwerven in de diensten die worden verleend door de serviceorganisatie en de impact die dit heeft op de interne beheersing van de gebruikersorganisatie, de cliënt van de accountant.
31
Werkprogramma Casus 1 Vereiste Controlestandaard
Audit procedure
Het verwerven van inzicht in de diensten die worden verleend door een serviceorganisatie met inbegrip van de interne beheersing
NVCOS 402.9 Verkrijg inzicht in: 1. de aard van de diensten die door de serviceorganisatie worden verleend en de significantie van die diensten voor de gebruikersorganisatie, met inbegrip van het effect ervan op de interne beheersing van de gebruikersorganisatie. 2. de aard en de materialiteit van de verwerkte transacties, rekeningen of financiële verslaggevingsprocessen waarop de serviceorganisatie invloed heeft. 3. de mate waarin er interactie bestaat tussen de activiteiten van de serviceorganisatie en die van de gebruikersorganisatie. 4. de aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie, met inbegrip van de relevante contractuele voorwaarden betreffende de door de serviceorganisatie uitgevoerde werkzaamheden
Uitgevoerde Werkzaamheden
1.
De applicatie van de serviceorganisatie verleent rapportages aan de gebruikersorganisatie aangaande de q-component van de omzet. Hierbij maakt men het aantal clicks en views inzichtelijk dat een advertentie van een merchant op websites genereert. Deze rapportages gebruikt de gebruikersorganisatie als input voor de omzetfacturen aan hun klanten (de adverteerders). De serviceorganisatie voert geen transacties uit voor de gebruikersorganisatie, dus er is geen significant effect op de beheersing van de gebruikersorganisatie. 2. De serviceorganisatie voert geen transacties van materieel belang uit voor de gebruikersorganisatie, maar de aard van de dienstverlening is wel significant, want de serviceprovider verleent rapportages die als basis dienen voor de omzet. In deze omstandigheden is het toch noodzakelijk om inzicht te verkrijgen in de interne beheersingsmaatregelen bij de CSP. 3. De mate waarin interactie bestaat tussen de activiteiten van de serviceorganisatie en de 32
gebruikersorganisatie is niet hoog. De serviceorganisatie voert geen transacties uit voor de gebruikersorganisatie maar voorziet de cliënt van informatie die als basis voor de facturatie en omzet dient. In de SLA met de serviceorganisatie staan geen beheersmaatregelen beschreven die onder de verantwoordelijkheid van de gebruikersorganisatie valt, behalve het toegang verlenen van de eigen medewerkers tot de SaaS applicatie. 4. De gebruikersorganisatie heeft op basis van een licentie een account bij de betreffende cloud applicatie. In de gebruikersvoorwaarden van de overeenkomst staan de algemene voorwaarden en richtlijnen vermeld. Er staat niet of de serviceorganisatie een rapport zal uitbrengen over haar interne beheersingsmaatregelen. Bij navraag is er wel een ISAE 3402 type II rapport beschikbaar. NVCOS 402.10 Verricht een van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten, met inbegrip van de maatregelen die worden toegepast op de door de serviceorganisatie verwerkte transacties.
Bij navraag bij het hoofd van de IT afdeling blijkt dat er geen formele beheersingsmaatregelen bij de gebruikersorganisatie van kracht zijn op door de serviceorganisatie verleende diensten. Wel is er een procedure die rechten aan de medewerkers van de gebruikersorganisatie toebedeeld en intrekt. De applicatiebeheerder is hiervoor verantwoordelijk. 33
NVCOS 402.11 Bepaal of een toereikend inzicht is verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, om de risico’s op een afwijking van materieel belang te identificeren en in te schatten.
Op basis van inspectie van licentieovereenkomsten, de gebruikersovereenkomsten, handleidingen van de SaaS applicatie en interviews met de applicatiebeheerder en medewerker van de financiële administratie zijn we van mening dat we toereikend inzicht hebben verworden in de aard en significatie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie om risico’s op een afwijking van materieel belang te identificeren en in te schatten
Tijdens bovenstaande exercitie is bepaald dat de auditor voldoende inzicht in de diensten van de serviceprovider heeft verworven om op een adequate manier risico’s in the schatten. Er is ondermeer inzicht verworven in de informatie stromen die naar en van de gebruikersorganisatie vloeien, de impact op de beheersingsmaatregelen en de gebruikte rapportages voor de omzet. De risico’s zijn in een eerder stadium van de controle door de accountant geïdentificeerd volgens Standaard 330. Omzet is een significant risico en de relevante assertions betreffen juistheid, volledigheid en bestaan van de omzet. In de tweede vereiste volgens COS 402 dient de accountant stil te staan bij de manieren waarop hij in kan spelen om risico’s voldoende af te dekken.
Werkprogramma Casus 1 Vereiste Controlestandaard
Audit procedure
Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang
NVCOS 402.15 Bij het inspelen op ingeschatte risico’s overeenkomstig Standaard 330 dient de accountant van de
Uitgevoerde Werkzaamheden
1. Om in te kunnen spelen op de risico’s gerelateerd aan deze cloud applicatie (bestaan, juistheid en 34
gebruikersorganisatie: 1. te bepalen of er voldoende en geschikte controle-informatie over de relevante in de financiële overzichten opgenomen beweringen beschikbaar is op basis van vastleggingen bij de gebruikersorganisatie; en, zo niet, 2. verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controle-informatie te verkrijgen dan wel gebruik te maken van een andere accountant om die werkzaamheden namens hem bij de serviceorganisatie te laten uitvoeren.
NVCOS 402.16 Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controleinformatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden: 1. het verkrijgen van een type 2-rapport, indien beschikbaar; 2. het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of
volledigheid van de omzet) is er bij de gebruikersorganisatie onvoldoende geschikte controle-informatie om te kunnen steunen op de rapportages die gebruikt worden bij de omzet. 2. We hebben vernomen dat de accountant van de serviceorganisatie een ISAE 3402 type II rapport opmaakt en dat deze bij de externe serviceorganisatie op te vragen is. Hierdoor verwachten wij gebruik te kunnen maken van voldoende geschikte controle-informatie.
Tot dusver heb ik geen aanleiding gezien tijdens ons onderzoek dat de interne beheersingsmaatregelen bij de serviceorganisatie niet effectief zouden werken. 1. Uit de interviews heb ik vernomen dat een type 2 rapport beschikbaar wordt gesteld door de serviceprovider en dit is door de gebruikersorganisatie voor ons opgevraagd en inmiddels ontvangen. 2. Nvt 3. Nvt
35
3. het gebruikmaken van een andere accountant om namens hem toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten.
Omdat de gebruikersorganisatie geen aandacht besteedt aan de beheersingsmaatregelen van zijn serviceorganisatie dient de auditor controleinformatie te verkrijgen via een andere manier. In dit geval is van de klant vernomen dat er een type-2 rapport beschikbaar kan worden gesteld door de CSP. Dit rapport heb ik ontvangen en beoordeeld volgens de derde vereisten die het gebruik van een type 2 rapport als controleinformatie voor de effectieve werking van beheersmaatregelen behandeld.
Werkprogramma Casus 1 Vereiste Controlestandaard
Audit procedure
Gebruik van een type 2-rapport als controle-informatie voor de effectieve werking van interne beheersingsmaatregelen bij de serviceorganisatie
NVCOS 402.17
Uitgevoerde Werkzaamheden
Ga na of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controleinformatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door:
1. Bij inspectie van het type 2 rapport heb ik vastgesteld dat het rapport betrekking heeft op slechts 6 van de 12 maanden in het jaar. Bij navraag blijkt er over de resterende periode nog geen type 2 rapport beschikbaar. 2. Door middel van inspectie van het rapport heb ik 1. te evalueren of de beschrijving, de opzet en de vastgesteld dat aanvullende interne effectieve werking van de interne beheersingsmaatregelen van de gebruikersorganisatie beheersingsmaatregelen bij de serviceorganisatie van niet relevant zijn. een datum zijn of voor een periode gelden die 3. Zoals boven opgemerkt is de periode waarop de passend is voor zijn doeleinden; toetsingen hebben plaatsgevonden niet adequaat omdat 2. te bepalen of de aanvullende interne 36
beheersingsmaatregelen van de slechts de eerste zes maanden van het financiële gebruikersorganisatie die door de serviceorganisatie verslaggevingsjaar zijn gerapporteerd. zijn vermeld, relevant zijn voor de 4. Bij nadere inspectie van het type 2 rapport blijkt dat het gebruikersorganisatie en, zo ja, inzicht te verwerven rapport niet relevant is voor de rapportages waarop wij in de vraag of de gebruikersorganisatie dergelijke steunen, maar op een gelieerde applicatie die voor de interne beheersingsmaatregelen heeft opgezet en controle van de omzet niet relevant is. geïmplementeerd en, zo ja, de effectieve werking ervan te toetsen; 3. te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en 4. te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen.
Op basis van bovenstaande werkzaamheden blijkt dat het type 2 rapport niet gebruikt kan worden als controle-informatie om de risico inschattingen gerelateerd aan de omzet te ondersteunen. Het rapport beslaat niet de gehele periode en heeft geen betrekking op de rapportages waar de accountant op steunt bij de controle van de omzet.
37
Als we dan even terugkijken naar de NVCOS 402.16 dan zien we dat er naast het gebruik van een type 2 rapport, twee andere mogelijkheden zijn om voldoende controle-informatie te verkrijgen over de cloud applicatie. Als eerste is het zelf verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie een optie. Of anders het gebruik maken van een andere accountant om namens hem toetsingen te laten verrichten. Al gauw bleek dat dit geen oplossing zou bieden omdat de serviceorganisatie niet meewerkt aan dergelijke verzoeken. Verder zijn er geen opties meer om te kunnen steunen op de beheersingsmaatregelen van de diensten van de externe dienstverleners met betrekking tot deze applicatie. In dit geval zal de accountant andere manieren moeten vinden om toch voldoende comfort te krijgen over de rapportages uit de cloud applicatie en/of omzet in de jaarrekening. Een manier om dit te bewerkstelligen is bijvoorbeeld om een andere bron te raadplegen die de rapportages kunnen valideren. Of als er niets anders op zit zal het financial audit engagement team additionele substantive testwerkzaamheden moeten uitvoeren op de omzet.
4.4 BevindingenCasus 2 In deze casus hebben we te maken met een serviceprovider die de salarisadministratie van het personeel van de gebruikersorganisatie verzorgt. Veel organisaties outsourcen deze activiteiten vanwege complexe en steeds veranderende wetgeving rondom de salarisadministratie. Tijdens de interim-fase heeft de IT auditor de IT omgeving van de klant beschreven en alle applicaties die gerelateerd zijn aan de financiële verslaggevingsprocessen geïdentificeerd. Ook heeft hij de betreffende applicatie als een cloud based applicatie aangemerkt. Om te kunnen steunen op de rapportages van de serviceorganisatie heeft de accountant comfort nodig over de interne beheersingsmaatregelen met betrekking tot de SaaS applicatie en de processen rondom de salarisadministratie. Conform casus 1 is de audit uitgevoerd aan de hand van de COS 402 richtlijnen en de cloud risico’s uit de literatuurstudie.
Werkprogramma Casus 2 Vereiste Controlestandaard
Audit procedure
Het verwerven van inzicht in de diensten die worden verleend
NVCOS 402.9
Uitgevoerde Werkzaamheden
38
door een serviceorganisatie met inbegrip van de interne beheersing
Verkrijg inzicht in: 1.
2.
3.
4.
1. De externe serviceprovider verzorgt de salarisadministratie in een cloud-based applicatie en betaalt maandelijks de salarissen de aard van de diensten die door de uit van alle medewerkers. De gebruikersorganisatie heeft de serviceorganisatie worden verleend en de verantwoordelijkheid om het personeelsbestand adequaat in de significantie van die diensten voor de cloud based applicatie te verwerken en heeft toegang tot deze gebruikersorganisatie, met inbegrip van het applicatie door middel van een internetverbinding. De effect ervan op de interne beheersing van de verantwoordelijkheden van de serviceprovider en van de gebruikersorganisatie. gebruikersorganisatie zijn beschreven in een SLA. de aard en de materialiteit van de verwerkte 2. De serviceorganisatie voert transacties uit voor de transacties, rekeningen of financiële gebruikersorganisatie die van materieel belang zijn, en daarom is verslaggevingsprocessen waarop de het noodzakelijk om inzicht te verkrijgen in de serviceorganisatie invloed heeft. beheersingsmaatregelen bij de CSP. de mate waarin er interactie bestaat tussen 3. Na review van de overeenkomst met de serviceprovider en door de activiteiten van de serviceorganisatie en middel van interviews blijkt dat er een hoge mate van interactie die van de gebruikersorganisatie. bestaat tussen de serviceprovider en gebruikersorganisatie. De de aard van de relatie tussen de gebruikersorganisatie is verantwoordelijk voor de maandelijkse gebruikersorganisatie en de mutaties in het eigen personeelsbestand en heeft hiervoor zijn serviceorganisatie, met inbegrip van de eigen beheersingsmaatregelen in plaats. Ook autoriseert de relevante contractuele voorwaarden gebruikersorganisatie alle transacties die de serviceorganisatie betreffende de door de serviceorganisatie vervolgens verwerkt en de administratieve administratie ervan uitgevoerde werkzaamheden. verzorgt. En daarbij is er een control die het inlezen van de maandelijkse loonjournaalpost beheerst. Er ontbreekt echter een beheersmaatregel bij de gebruikersorganisatie die vaststelt dat de serviceorganisatie de afdracht van belastingen en premies adequaat verzorgt. In dit geval is de gebruikersorganisatie in staat om binnen de eigen organisatie effectieve interne beheersingsmaatregelen toe te passen voor deze transacties, maar na evaluatie van de opzet van de interne 39
beheersingsmaatregelen blijkt dat deze onvoldoende zijn om volledig op te kunnen steunen. Daarom kan het nodig zijn om te steunen op de beheersingsmaatregelen bij de serviceprovider. 4. De verantwoordelijkheden van de serviceorganisatie alsmede de gebruikersorganisatie zijn vastgelegd in een service level agreement. Hierin staat ook genoteerd dat de serviceorganisatie jaarlijks een type-2 rapport beschikbaar zal stellen. NVCOS 402.10 Verricht een van de opzet en de implementatie van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking hebben op de door de serviceorganisatie verleende diensten, met inbegrip van de maatregelen die worden toegepast op de door de serviceorganisatie verwerkte transacties.
Wij hebben door middel van interview vastgesteld dat er beheersmaatregelen in werking zijn in opzet en bestaan die de juiste invoer van het aantal te verlonen FTE staven. Er is ook een control die zorg draagt voor de juiste betaling van de salarissen en verder heb ik vastgesteld door middel van interview dat een beheersingsmaatregel in werking is die zorg draagt voor een correcte overdracht van informatie van de cloud applicatie naar de financiële administratie. Deze beheersmaatregelen worden getest tijdens de interim periode door het financial audit engagement team.
NVCOS 402.11 Bepaal of een toereikend inzicht is verworven in de aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie, om de risico’s op een afwijking van materieel belang te identificeren en in te schatten
Concluderend kunnen we stellen dat op basis van interview en inspectie van documentatie er voldoende inzicht is verworven op de diensten die door de serviceorganisatie zijn verleend en het effect ervan op de voor de controle relevante interne beheersing van de gebruikersorganisatie. Zowel beheersmaatregelen bij de gebruikersorganisatie als bij de service organisatie zijn relevant om voldoende comfort te verkrijgen over de personeelslasten. 40
Tijdens het verwerven van inzicht in de aard van de diensten en het effect daarvan op de interne beheersingsmaatregelen is vastgesteld dat er sprake is van een wisselwerking tussen de interne beheersingsmaatregelen van de service organisatie en de gebruikersorganisatie. Omdat beide organisaties verantwoordelijkheden dragen in het proces rondom de loontransacties, is het niet mogelijk om op enkel op de beheersingsmaatregelen bij de een of de ander te steunen. In de COS 402 vereiste ‘Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang’ moet de auditor bepalen hoe hij de risico’s op een afwijking van materieel belang aan gaat vliegen.
Werkprogramma Casus 2 Vereiste Controlestandaard
Audit procedure
Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang
NVCOS 402.15 Bij het inspelen op ingeschatte risico’s in overeenstemming met Standaard 330 dient de accountant van de gebruikersorganisatie:
Uitgevoerde Werkzaamheden
De risico’s rondom de loonbetalingen betreffen de juistheid en volledigheid van de salariskosten en de volledigheid van de afdracht van belastingen en sociale heffingen.
1. te bepalen of er voldoende en geschikte 1. Uit bovenstaande exercitie is gebleken dat er controle-informatie over de relevante in de onvoldoende geschikte controle-informatie over financiële overzichten opgenomen de relevante beweringen beschikbaar is bij de beweringen beschikbaar is op basis van gebruikersorganisatie. vastleggingen bij de gebruikersorganisatie; 2. Daarom zullen we verdere controle werkzaamheden uitvoeren en, zo niet, om voldoende geschikte control informatie te verkrijgen. 2. verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controleinformatie te verkrijgen dan wel gebruik te maken van een andere accountant om die werkzaamheden namens hem bij de 41
serviceorganisatie te laten uitvoeren. NVCOS 402.16 Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken, dient hij controle-informatie over de effectieve werking van die interne beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden: 1. Het verkrijgen van een type 2-rapport, indien beschikbaar; 2. het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie; of 3. het gebruikmaken van een andere accountant om namens hem toetsingen op interne beheersingsmaatregelen bij de serviceorganisatie te laten verrichten.
Op basis van inquiry en inspectie van de Service Level Agreements heb ik vastgesteld dat de serviceorganisatie een type 2 verklaring beschikbaar stelt. Op basis van inspectie van de type 2 verklaringen van voorgaande rapporteringsperiodes verwachten we dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief werken. 1. We hebben via de gebruikersorganisatie het type 2 rapport opgevraagd en ontvangen van de CSP
Tot dusver hebben is bepaald op basis van de geldende richtlijnen uit COS 402 dat we onder anderen gebruik gaan maken van een ISAE 3402 rapport type 2 om te steunen op de beheersingsmaatregelen van de externe serviceorganisatie. Wanneer een auditor dit rapport gebruikt als controle-informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie dient hij na te gaan of het rapport voldoende en geschikte control informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico inschatting te ondersteunen. 42
Werkprogramma Casus 2 Vereiste Controlestandaard
Audit procedure
Gebruik van een type 2-rapport als controle-informatie voor de effectieve werking van interne beheersingsmaatregelen bij de serviceorganisatie
NVCOS 402.17
Uitgevoerde Werkzaamheden
1. Wij hebben door middel van inspectie vastgesteld dat het type 2 rapport geldig is over 11 van de 12 maanden van de verslaggevingsperiode. Dit is wat men vaker ziet in de praktijk. Veel auditors van de klanten van de serviceorganisatie hebben dit rapport snel na het afsluiten van het financiële boekjaar 1. te evalueren of de beschrijving, de opzet en nodig en het is voor de auditor van de serviceorganisatie niet de effectieve werking van de interne mogelijk om in januari al een type 2 rapport te verschaffen. Wel beheersingsmaatregelen bij de is er een verklaring van het management van de serviceorganisatie van een datum zijn of voor serviceorganisatie dat er in deze laatste periode geen een periode gelden die passend is voor zijn wijzigingen in de processen en key functionarissen hebben doeleinden; plaatsgevonden en dat er volgens het management geen 2. te bepalen of de aanvullende interne significante bevindingen waren die van invloed zijn op de beheersingsmaatregelen van de werking van de controls. Volgens de controlestandaarden is dit gebruikersorganisatie die door de voldoende om te steunen op de het rapport over de gehele serviceorganisatie zijn vermeld, relevant zijn verslaggevingsperiode. voor de gebruikersorganisatie en, zo ja, 2. Bij het verwerven van inzicht in de onder COS 402.10 heb ik al inzicht te verwerven in de vraag of de vastgesteld dat bij de gebruikende entiteit gebruikersorganisatie dergelijke interne beheersingsmaatregelen in werking zijn die de risico’s van de beheersingsmaatregelen heeft opgezet en verantwoordelijkheden van de gebruikersorganisatie beheersen. geïmplementeerd en, zo ja, de effectieve In het type 2 rapport heeft de serviceorganisatie een sectie werking ervan te toetsen; geweid aan de nodige aanvullende beheersingsmaatregelen bij 3. te evalueren of de periode waarop de de gebruikersorganisatie “Overwegingen Ga na of het rapport van de accountant van de serviceorganisatie voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen door:
43
toetsingen van de interne beheersingsmaatregelen betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van de toetsingen; en 4. te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn risico-inschatting te ondersteunen
Gebruikersorganisatie”. Hierbij stelt de serviceorganisatie dat: “Daar waar de gebruikersorganisatie zelf de mogelijk heeft om mutaties vast te leggen is de juiste en volledige vastlegging de verantwoordelijkheid van de gebruikersorganisatie zelf. De serviceorganisatie heeft beheersmaatregelen gedefinieerd vanaf het moment dat de gegevens ontvangen worden tot het moment dat de resultaten verwerkt en opgeleverd zijn.” In de derdenverklaring is te lezen: “Daar waar de gebruikersorganisatie de mogelijkheid heeft om zelf systeemgebruikers te autoriseren is de uitgifte van de toegang de verantwoordelijkheid van de gebruikersorganisatie zelf. De serviceorganisatie heeft maatregelen gedefinieerd om ongeautoriseerd gebruik van data te voorkomen en gaat er vanuit dat wanneer de gebruikersorganisatie zelf medewerkers autoriseert, deze toegang terecht is en zelf beheersmaatregelen op dat gebied implementeert.” “De autorisatie van betaalgegevens en loonaangifte valt binnen de directe invloedssfeer van de klant.” Hiermee bevestigt de serviceorganisatie in het type 2 rapport nogmaals wat wij eerder al hadden vastgesteld door middel van een evaluatie van de opzet en bestaan van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie. 3. Door middel van inspectie van de ISAE 3402 rapportage heb ik vastgesteld dat de accountant van de serviceorganisatie twee toetsingsmomenten heeft toegepast en een rollforward over de laatste periode. Dit is conform de geldende audit standaard. 4. Hier beoordelen we de reikwijdte de werkzaamheden van de auditor van de serviceorganisatie en de diensten en processen 44
waar die werkzaamheden betrekking op hebben. In het kader van het onderwerp van dit onderzoek zullen we ons met name focussen op de cloud-specifieke risico’s zoals geïdentificeerd in hoofdstuk 3. Verder evalueren we de toetsingen die zijn verricht op de interne beheersingsmaatregelen, de resultaten van die toetsingen en het oordeel van de accountant van de serviceorganisatie. Zie voor de nadere uitwerking van dit punt hieronder.
45
De onderstaande sectie is een uitwerking van het laatste punt (402.17.4)van het werkprogramma van Casus 2 zoals hierboven beschreven. Hierin wordt geëvalueerd of de door de accountant van de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controleinformatie verschaffen om zijn risico-inschatting te ondersteunen.
Nadere uitwerking van NVCOS 402.17.4 Scope rapport en reikwijdte werkzaamheden auditor Tijdens het lezen van het type 2 rapport is vastgesteld dat het isae 3402 rapport betrekking heeft op alle SaaS producten van de serviceorganisatie, en dus relevant is voor onze controlewerkzaamheden in het kader van de jaarrekening. Verder noteren we dat de gangbare beheersingsmaatregelen van de ITGC controles zijn opgenomen in het beheersingsraamwerk, dit zijn Change Management, Identity & Access Management, Computer Operations, IT security en Programme Development. Ook heb ik vastgesteld dat de type 2 rapportages is opgesteld conform de NVCOS 3402 richtlijnen die de ‘assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie’ behandeld. Oordeel van de auditor van de serviceorganisatie Als we de type 2 rapportage lezen zien we dat de auditor van de serviceorganisatie een zogenaamd oordeel met beperking heeft afgegeven omdat er één beheersingsmaatregel niet effectief is bevonden. Het is zaak voor de IT auditor om samen met de accountant de impact van deze bevinding te bepalen en indien nodig geacht additionele controle maatregelen uit te voeren. Cloud Specifieke risico’s In hoofdstuk drie zijn vijf cloud-specifieke risico’s geïdentificeerd die relevant kunnen zijn wanneer een cloud applicatie in scope van de jaarrekeningcontrole valt. Deze risico’s zijn relevant voor de beweringen in de financiële overzichten en zouden volgens COS 402.17.4 beoordeeld moeten worden in deze sectie.
Risico 1. Flexibele locatie van de data en software De data die de CSP verwerkt betreft persoonsgegevens en deze dienen volgens de privacy wetgeving van Nederland vertrouwelijk te worden behandeld en er moeten afdoende beveiligingsmaatregelen genomen worden om de data te beschermen. Bij het doorlezen van de ISAE verklaring heb ik vastgesteld dat alle personeelsgegevens in NL worden bewaard, dit betekent dat enkel de Nederlandse privacy wetgeving van toepassing is, namelijk de Wet Bescherming Persoonsgegevens (Wbp). Ook heb ik vastgesteld in de rapportage dat de Cloud Service Provider voldoende beveiligingsmaatregelen heeft getroffen die op grond van de wbp zijn bepaald. Hiermee is het risico om niet compliant te zijn aan wetgeving voldoende gemitigeerd.
46
Risico 2. Multitenancy, het delen van middelen met andere gebruikers Omdat het cloud-applicatie is kan men er vanuit gaan dat hardware- en software gedeeld worden met andere gebruikers. Door middel van inspectie van het type 2 rapport is vastgesteld dat het onderwerp multitenancy niet ter sprake komt in. Wellicht zijn er interne beheersmaatregelen die dit risico afdekken, maar deze zijn niet ter sprake gekomen in de rapportage. Ook de afdeling interne control van de gebruikersentiteit is niet op de hoogte op welke manier de cloud service provider de scheiding van data van de verschillende gebruikersorganisatie waarborgt. Dit is een onderwerp dat verdere documentatie van de CSP vergt.
Risico 3. Snelheid en gemak van aanpassen infrastructuur Dit cloud-specifieke risico is niet behandeld omdat het niet van toepassing is bij deze casus. Dit punt is besproken tijdens de expert interviews en de analyse is terug te vinden in hoofdstuk 5.
Risico 4. Complexe structuur cloud service providers Wat opvalt is dat er vijf subserviceorganisaties gedefinieerd zijn die buiten de scope vallen van de werkzaamheden van de auditor van het type 2 rapport. Deze onderaannemers voeren een deel van de diensten uit die de serviceorganisatie voor haar klanten uitvoert. Met deze subcontractors zijn SLA’s afgesloten die de basis vormen voor het uitvoeren van de gewenste dienstverlening en de beheersingsdoelstellingen die de serviceorganisatie aan de dienstverlening stelt. Het bewaken van de SLA’s behoort tot de scope van dit ISAE rapport. Bijvoorbeeld de opslag van data en het beheer van de infrastructuur wordt verzorgd door een derde partij. Omdat de activiteiten van deze subcontractors ook in scope vallen van de jaarrekeningcontrole wil de auditor ook assurance over de beheersmaatregelen van deze uitbestede processen. Volgens de ISAE rapportage valt de dienstverlening van deze sub service organisaties buiten de scope van de testwerkzaamheden van de account van deze rapportage. Wel blijkt uit de rapportage dat subleveranciers aan door eigen ISAE type 2 rapportages aantonen dat deze activiteiten in voldoende mate worden beheerst. De serviceverlener heeft een control in zijn beheersingsframework waarmee men jaarlijks beoordeeld aan de hand van de assurance rapportages van de accountant van de subcontractor, dat de beheersdoelstellingen die zijn uitbesteed aan subcontractors volgens de eigen beheersdoelstellingen. Inderdaad staat er in de rapportage een control die luidt: Leveranciers leveren periodiek assurance rapportages op met betrekking op de overeengekomen dienstverlening. De rapportages worden in relatie tot de dienstverlening en het beheersingsraamwerk beoordeeld. Bevindingen worden met de leveranciers besproken. De voortgang van eventuele bevindingen wordt gevolgd. In de uitgevoerde testwerkzaamheden wordt de control effectief bevonden en blijkt dat er bevindingen bij de subcontractors zijn geconstateerd en dat deze effectief worden gevolgd. 47
Omdat de betreffende IT infrastructuur in scope is van de jaarrekeningcontrole zouden we graag willen weten welke beheersmaatregelen de subcontractors in plaats hebben en welke bevindingen de auditor van de subcontractors heeft opgemerkt. Daarom achten we het noodzakelijk om de derdenverklaringen van de relevante subcontractors op te vragen bij de service provider en deze separaat te beoordelen en te bepalen of er voldoende controle informatie is beschikbaar is om op de interne beheersingsmaatregelen te kunnen steunen en wat de impact van mogelijke bevindingen zou kunnen zijn. Risico 5. Afwijking beheersmaatregelen cloud omgeving met het IT governance framework De gebruikersorganisatie heeft een IT governance framework in gebruik. Als auditor zouden we verwachten dat de gecontroleerde organisatie zelf actief de beheersing van de uitbestede processen bij de externe dienstverleners monitoort. Echter de organisatie heeft de CSP niet in het eigen IT governanceraamwerk geïntegreerd. De ISAE rapportage wordt op verzoek van de accountant opgevraagd en slechts informeel beoordeeld door de gebruikersorganisatie zelf. Hieruit blijkt dat ook bij de klant de kennis om met een assurancebril naar CSP te kijken lijkt te ontbreken. Een opmerking in de management letter lijkt hier op zijn plaats te zijn.
Slotopmerkingen Casus 2 In tegenstelling tot Casus 1 kunnen wij in deze casus wel gebruik maken van het type 2 rapport dat beschikbaar is gesteld door de service provider. Echter we kunnen niet zonder meer steunen op de rapportages van de dienstverlener door enkel het ISAE rapport op te nemen om de ITGC controls in ons dossier mee af te dekken. De volgende zaken dienen nog uitgevoerd te worden:
De testwerkzaamheden op de werking van de beheersingsmaatregelen die onder de verantwoording van de gebruikersorganisatie vallen (het opvoeren van personeelsgegevens, autorisaties van betalingen, toegangsrechten van de medewerkers) moeten nog uitgevoerd worden. Alsmede het testen van de interface tussen de salarisadministratie en de financiële administratie moeten uit Verdere werkzaamheden zijn nodig op de beheersingsmaatregelen bij de subcontractors. Van de relevante subcontractors moeten de type 2 rapportages beoordeeld worden en de impact van eventuele bevindingen op de jaarrekeningcontrole bepaald worden. Er moet inzicht komen in de beheersingsmaatregelen betreffende het multi-tenancy risico dat cloud computing bij zich draagt. Dit zal bij de CSP additioneel opgevraagd worden.
4.5 Samenvatting Casussen1 & 2 In bovenstaande casussen hebben aan de hand van een werkprogramma gebaseerd op de controlestandaard NVCOS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van een serviceorganisatie’ een tweetal audits uitgevoerd op CSPs die diensten verleenden aan de gebruikersorgansiatie. Hierbij heb ik ook de cloud specifieke risico’s in acht genomen. We hebben in de praktijk gezien hoe een welke issues een it auditor kan tegenkomen bij de audit van een cloud applicatie volgens de voorschriften. De twee casussen bleken totaal verschillend van elkaar te zijn en vergde een goed inzicht in de materie om tot een afgewogen oordeel te komen. De bevindingen van deze audit vormen een goede basis om de tweede subvraag te beantwoorden: ‘op welke wijze/in hoeverre kan een accountant in de praktijk omgaan met de geldende 48
richtlijnen en cloud risico’s? In het volgende hoofdstuk zullen wij dieper ingaan op deze vraag en hiervoor heb ik een drietal interviews uitgevoerd met experts. In dit hoofdstuk zullen we een analyse uitvoeren op de praktijk versus de theorie.
49
Hoofdstuk 5. Analyse en Conclusies Dit hoofdstuk is de opvolging van het casestudy onderzoek in hoofdstuk 4, waar twee cloud applicaties uit de praktijk geaudit zijn op basis van de geldende audit standaarden. In dit hoofdstuk worden de bevindingen geanalyseerd uit het casestudy onderzoek aan de hand van de theoretische concepten uit de literatuurstudie. Daarnaast zijn een drietal interviews uitgevoerd met experts in jaarrekeningcontrole, cloud technologie en het auditen van cloud service organisaties. Tevens wordt een antwoord gegeven op deelvraag twee van deze scriptie. ‘Op welke wijze kan de accountant in de praktijk omgaan met de geldende richtlijnen en cloud risico’s wanneer hij te maken krijgt een cloud applicatie tijdens de jaarrekeningcontrole?’
5.1 Analyse bevindingen 5.2 Conclusies 5.3 Beantwoording deelvraag 2
5.1 Analyse bevindingen In dit onderdeel worden de belangrijkste bevindingen van het casestudy onderzoek beschreven en geanalyseerd aan de hand van de uitkomsten van het literatuuronderzoek. Daarbij worden ook de uitkomsten uit de gesprekken met de experts meegenomen in een confrontatie tussen de theorie en de praktijk. 5.1.1 Verwerven van inzicht Een belangrijke observatie die naar voren komt in het casestudie onderzoek is de noodzaak voor de auditor om een goed inzicht te verwerven in de audit situatie. Dit omvat een goed begrip van de diensten en beheersingsprocessen van de CSP, de verantwoordelijkheden van de gebruikersorganisatie, de bestaande relevante processen van de gebruikersorganisatie en de impact op de ingeschatte risico’s van de jaarrekening. Zonder dit inzicht loopt de auditor mogelijk het risico om verkeerde beslissingen te nemen en dit kan ertoe leiden dat er onvoldoende controle-informatie beschikbaar is om de beweringen uit de financiële rapportages te ondersteunen. Het verwerven van voldoende inzicht is een investering die zowel tijd kost voor de IT auditor alswel voor de controlecliënt. Deze investering kan het beste plaatsvinden tijdens de planningsfase van de controleopdracht. Op deze manier kan er tijdig ingespeeld worden op eventuele bevindingen die de algehele aanpak van de controle mogelijk beïnvloeden. Volgens de experts gebeurt dit in de praktijk te weinig. Men ziet dat wanneer een serviceorganisatie is geïdentificeerd en een derdenverklaring beschikbaar is, deze verklaring bijna achteloos wordt gedocumenteerd als zijnde voldoende controle-informatie voor de dienstverlening van de serviceorganisatie. Er wordt dan nagelaten om een goed begrip te verkrijgen van de aard en impact van de dienstverlening op de interne beheersing van gebruikende entiteit en de flow van de transacties van en naar de gebruikersorganisatie. Ook 50
wordt er niet voldoende geëvalueerd op welke manieren in te spelen op risico’s op een afwijking van materieel belang. Dit is voor auditors geen nieuws, want ook het AFM is tot eenzelfde conclusie gekomen in het ‘Rapport naar aanleiding van AFM onderzoek naar kwaliteit accountantscontrole en stelsel van kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders’. Hieruit blijkt dat bij 60% van de geselecteerde dossiers die het AFM heeft beoordeeld waar de accountant gebruik heeft gemaakt van de interne beheersing bij serviceorganisaties, dat ernstige bevindingen zijn geconstateerd, en bij 40% sprake was van minder ernstige bevindingen. Met andere woorden, de accountant heeft zich onvoldoende kritisch opgesteld ten opzichte van een door de cliënt ingeschakelde serviceorganisatie en zodoende onvoldoende zekerheid verkregen dat hij kan steunen op de interne beheersingsmaatregelen bij de serviceorganisatie. Daarnaast heeft volgens het AFM de externe accountant niet beoordeeld of de accountant van de serviceorganisatie voldoende deskundig en onafhankelijk is en of de accountant van de serviceorganisatie de voor hem relevante interne beheersingsmaatregelen in zijn controle heeft betrokken. Waar tijdens het theoretisch onderzoek bleek dat het verwerven van inzicht belangrijk is voor het goed uitvoeren van een audit op externe dienstverleners, blijkt uit de interviews en het rapport van het AFM dat dit in de praktijk vaak niet goed wordt uitgevoerd. Dit punt wordt meegenomen in het volgende hoofdstuk met de aanbevelingen.
5.1.2 Beoordelen van een derdenverklaring (type 2 rapport) In beide casestudies zoals uitgevoerd in hoofdstuk 4 was er sprake van een derdenverklaring in de vorm van een ISAE 3402 type 2 rapport. Dit rapport kan door de accountant gebruikt worden om te steunen op de interne beheersingsmaatregelen bij de externe serviceorganisatie. Men verwacht een kritische houding bij de evaluatie van zulks een rapportage. In de eerste casus bleek dat het type 2 rapport niet geschikt was als controle-informatie en daarom moest er een andere manier gevonden worden om voldoende comfort te verkrijgen over de beweringen in de financiële rapportage. Het is van belang dat dit tijdig opgemerkt wordt omdat dit een grote impact kan hebben op de werkzaamheden die het accountantsteam moet uitvoeren. In casus twee is de rapportage van de auditor van de serviceorganisatie kritisch beoordeeld. Hierbij zijn meerdere punten naar voren gekomen die opvolging nodig hadden en actie vergden van zowel de cloud service provider, de gebruikersorganisatie en het accountantsteam zelf. Van de experts is vernomen dat er in de praktijk soms onvoldoende aandacht wordt besteed aan het beoordelen van derdenverklaringen. Er zijn voorbeelden waar klakkeloos het type 2 rapport in het dossier wordt gedocumenteerd en geconcludeerd dat de accountant kan steunen op de dienstverlening van de serviceorganisatie, terwijl bij nader inzien de verklaring niet op de betreffende diensten betrekking had. Of dat de derdenverklaring niet op de gehele controleperiode betrekking had en dat er geen follow-up is gepleegd over de periode die niet gecoverd werd door de rapportage. Ook het AFM komt in zijn review van audit dossiers met een voorbeeld waar ernstige tekortkomingen in de interne beheersing bij de service organisatie bleken te zijn volgens de ISAE 51
3402 rapportage van de accountant van de serviceorganisatie. Maar waar de accountant vervolgens geen adequate evaluatie heeft uitgevoerd of de impact op de jaarrekeningcontrole bepaald. Deze kwesties worden meegenomen bij de aanbevelingen in het volgende hoofdstuk.
5.1.3 Flexibele locatie van de data en software Een belangrijke eigenschap van cloud is dat data zich ‘vrij’ beweegt binnen de cloud. Bij verwerking van gevoelige informatie, waaronder persoonsgegevens is in Nederland de Wet Bescherming Persoonsgegevens (Wbp) van toepassing. De Wbp stelt vorm en eisen aan de afspraken die tussen de CSP en de gebruikersorganisatie worden gemaakt. Een van die eisen is dat persoonsgegevens vertrouwd worden behandeld en dat beveiligingsverplichtingen worden nagekomen door de serviceprovider. Voor de jaarrekening betreft dit een compliance risico, namelijk het niet voldoen aan wet- en regelgeving. Voor het management van de gebruikersorganisatie is dit ook een risico, want die blijft eindverantwoordelijk voor de verwerking van de data. Als de gebruiker zijn personeelsgegevens door een serviceorganisatie laat verwerken en vervolgens blijkt dat dit niet volgens de privacywetgeving gebeurt, kunnen daar gevolgen tegenover staan in de vorm van boetes voor de cliënt. In het geval dat privacy gevoelige informatie in het buitenland wordt opgeslagen, iets dat in het geval van public cloud technologie van toepassing is, moet de CSP zelfs aan alle regels in alle verschillende landen voldoen. Sterker nog, privacy gevoelige landen mag niet in landen buiten de EU worden opgeslagen tenzij sprake is van een passend beschermingsniveau in dat land. Men kan zich voorstellen wanneer klantgegevens in een public cloud omgeving staan en over de hele wereld kunnen verblijven, het een moeilijke opgave is om aan te tonen voor de gebruiker dat hij compliant is. Uit de expert interviews blijkt dat het management van de gebruikersorganisatie vaak niet op de hoogte is van zijn verantwoordelijkheid om aan de Wbp te voldoen. Een belangrijke reden om diensten uit te besteden voor het management is juist dat de serviceorganisatie juist beter in staat is om aan de geldende regelgeving te voldoen. Hier ligt een mogelijkheid voor de accountant om het management bewust te maken van het feit dat zij te allen tijde verantwoordelijk is over eigen data ook al is deze in beheer bij een CSP. Als auditor zie je graag dat de gebruikersorganisatie ‘in control’ is van zijn data en ook weet in welke landen zijn data verblijft. De auditor zou bij elke engagement waar cloud technologie is betrokken even stil moeten staan bij dit risico en in het dossier zijn werkzaamheden en evaluatie van zijn bevindingen op dit punt willen vastleggen. In de praktijk blijkt dit niet altijd voldoende uit de documentatie in het controledossier.
5.1.4 Delen van middelen met andere gebruikers Multi-tenancy is het delen van middelen, diensten en software door verschillende gebruikers. Dit houdt in het delen van fysieke middelen alswel het delen van administratieve diensten. In een multi-tenancy omgeving komt de nadruk veel meer te liggen op de logische scheiding tussen de verschillende tenants, dan op fysieke scheiding. Wanneer een auditor een cloud applicatie 52
tegenkomt zal hij inzicht willen verwerven in de technische aspecten van het multi-tenancy en de bijgaande risico’s en de beheersmaatregelen die de serviceorganisatie hiervoor in plaats heeft. Tijdens de beoordeling van het type 2 rapport in casus twee hebben we onvoldoende inzicht verkregen uit de rapportage om te kunnen bepalen of dit risico voldoende wordt beheerd door de CSP. Er zijn wel generieke IT beheersingsdoelstellingen en controls beschreven in de rapportage die de bovenstaande risico’s zouden kunnen afdekken, maar de omschrijving hiervan is onvoldoende specifiek om hier voldoende comfort over te krijgen. Uit de interviews blijkt dat in de praktijk blijkt dat de (IT-)auditor weinig aandacht besteed aan de risico’s rondom multi-tenancy. Vaak wordt dit gezien als een security issue en daarom lijkt de impact op de jaarrekeningcontrole van minder belang. Echter vervuiling van data door onvoldoende scheiding tussen de virtuele layers van de tenants kan wel degelijk een risico voor de jaarrekening vormen. Ook zijn er voorbeelden in de praktijk bekend waarbij door menselijke fouten deze scheiding tijdelijk lek was met als gevolg dat gebruikers data te zien kregen die niet voor hen bestemd was. Op basis hiervan kunnen we stellen dat wanneer cloud-omgevingen van toepassing is, de risico’s omtrent multi-tenancy geëvalueerd horen te zijn. Dit wordt meegenomen in de aanbevelingen in hoofdstuk 6.
5.1.5 Snelheid en gemak van aanpassen infrastructuur Dit risico heeft betrekking op het identificeren van alle cloud applicaties in scope van de jaarrekeningcontrole. De identificatie van cloud services die relevant zijn voor de audit kan een moeilijker zijn omdat cloud diensten veel makkelijker buiten de IT afdeling om ingekocht kunnen worden. De IT afdeling is niet meer nodig om de applicatie te installeren en onderhouden. Dit heeft tot gevolg dat IT afdeling niet meer kan meedenken over de IT-risico’s die deze applicaties met zich meebrengen of betrokken wordt bij de contractuele afspraken die hieromtrent gemaakt worden met de CSP. Uit de interviews met de experts alsmede het interview met de medewerker IT bij een van de casussen blijkt dat dit wel degelijk een issue is dat speelt bij diverse organisatie. De IT afdeling wordt tot zijn eigen frustratie niet betrokken door de inkopers van SaaS applicaties omdat het IT aspect van deze diensten is uitbesteed aan de CSP. Het komt in de praktijk voor dat cloud applicaties pas door de IT afdeling opgemerkt worden door middel van security monitoring wanneer de SaaS applicatie gebruikt wordt door de gebruikers van de eigen organisatie. Of dat IT pas op het laatst moment ingeschakeld wordt als toegang tot de firewall nodig is. Hier zien we een taak weggelegd voor de auditor om het management bewust te maken van de risico’s die schuilen achter het ongecontroleerd aanschaffen van cloud applicaties zonder de betrokkenheid van de IT afdeling of een interne IT auditor.
5.1.6 Complexe structuur cloud service providers Cloud Service Providers hebben vaak onderdelen van hun dienstverlening uitbesteed aan onderaannemers, de zogenaamde subcontractors. Als deze subcontractors diensten verlenen die relevant zijn voor de processen rondom de financiële rapportage bij de audit cliënt dient de accountant hierover voldoende zekerheid te verkrijgen om te kunnen steunen op de rapportages 53
van deze applicaties. In de tweede casus uit het casestudy onderzoek is door middel van inspectie van het ISAE rapport vastgesteld dat er sprake was van subcontractors in scope voor de jaarrekeningcontrole. Ook is de conclusie getrokken dat de beschikbare ISAE type 2 verklaring onvoldoende zekerheid bood om te kunnen steunen op de dienstverlening en het nodig was voor de IT auditor om follow uit te voeren. Zowel uit de expert interviews als uit het AFM rapport (2014) blijkt dat hier in de praktijk soms te kort door de bocht wordt gegaan. Zowel cliënten als accountants zijn niet altijd voldoende scherp op de interne beheersingsmaatregelen bij de subcontractors. Dit sluit aan bij het beeld dat het AFM rapport schets waar ISAE rapportages soms klakkeloos in het controledossier worden gedocumenteerd zonder kritische evaluatie. Meer bewustwording zowel bij de klant als bij de accountant is nodig om deze risico’s beter te kunnen behandelen.
5.1.7 Afwijking beheersmaatregelen cloud omgeving met het IT governance framework Een auditor verwacht dat een applicatie in de cloud is geïntegreerd in het IT governance framework voor zover dat mogelijk is. Als de CSP niet afdoende beheersmaatregelen in plaats heeft om de risico’s in het IT governance framework van de gebruiker af te dekken verwacht de auditor dat het resterende risico door de klant zal worden geëvalueerd en indien nodig eventueel aanvullende beheersmaatregelen genomen worden. In beide casestudies zagen we dat de match tussen het bestaande IT governance framework en de beheersmaatregelen van de CSP niet gemaakt is door de gebruikersorganisatie. Dat wil zeggen dat de gebruikersorganisatie geen monitoring uitvoert op de beheersingsmaatregelen van de (sub)serviceorganisatie. In casus 1 is volgens de systeembeheerder simpelweg geen governance framework voorhanden omdat de gebruikersorganisatie te klein is en er geen middelen voor dit doel worden vrijgemaakt. In casus 2 is er wel een it governance framework maar de cloud applicaties maken hier geen onderdeel van uit. Dit heeft tot gevolg dat wanneer er dingen misgaan bij de CSP, dit niet of te laat onder de aandacht van de gebruikersorganisatie kan komen. Uit de expert interviews blijkt dat bovenstaande bevinding geen uitzondering is in de praktijk. Veel cliënten hebben juist de keuze gemaakt voor het gebruik van serviceorganisaties omdat deze beter zijn in het beheersen van processen en risico’s dan de gebruikersorganisatie zelf. Echter is management soms niet voldoende bewust dat zij zelf nog steeds aansprakelijk zijn voor als er iets mis gaat. Bijvoorbeeld compliance aan de Wpg zoals hierboven besproken, als de serviceorganisatie niet goed om gaat met persoonsgegevens, kan de gebruikersorganisatie hiervoor aansprakelijk worden gesteld. Maar ook andere risico’s kunnen een rol spelen, bijvoorbeeld onvoldoende controle over het doorvoeren van software matige changes kunnen een impact hebben op de integriteit van de data van de gebruikersorganisatie. De accountant kan zijn waarde toevoegen door het management bewust te maken van deze risico’s door bijvoorbeeld een opmerking in de managementletter te plaatsen.
54
5.2 Conclusies analyse casestudy onderzoek In dit casestudy onderzoek zijn twee casussen uit de controlepraktijk gedocumenteerd. Door middel van het uitvoeren van een audit op basis van de COS 402 is in de praktijk ervaring opgedaan welke issues een accountant kan tegenkomen bij een audit van een CSP in scope van de jaarrekeningcontrole. Daarbij heb ik specifiek aandacht besteed aan de cloud specifieke risico’s. Deze praktijk ervaring heb ik aangevuld met expert interviews die dagelijks met cloud en serviceorganisaties werken. In dit hoofdstuk heb ik een analyse gemaakt tussen alle opgedane kennis in de literatuurstudie en de ervaringen in de praktijk casussen. De belangrijkste conclusies zijn: I.
II.
III.
IV. V.
Er is veelal sprake van een grote diversiteit aan applicaties, verantwoordelijkheden en beschikbare controle-informatie. Om tot een goed oordeel te komen is een degelijk inzicht in de aard van de dienstverlening en de interne beheersingsprocessen bij zowel de CSP als bij de gebruikersorganisatie noodzakelijk. In de praktijk is er ruimte voor verbetering op dit punt Wanneer een derdenverklaring (type 2) beschikbaar wordt gesteld door de CSP, is er behoefte aan een kritische en gestructureerde evaluatie van dit rapport om te bepalen in hoeverre de accountant kan steunen op de werkzaamheden van de service accountant als onderdeel van de interne beheersingsmaatregelen bij de controlecliënt. Indien nodig zal de accountant additionele controle-informatie bij de CSP op willen vragen, bijvoorbeeld over diensten van de subcontractors of technische specificaties van cloud gerelateerde risico beheersing. Gevoelige informatie is onderhevig aan complexe wetgeving. De locatie van data in de cloud is vaak flexibel en dit zorgt voor een verhoogd risico op non-compliance wanneer gevoelige informatie in de cloud wordt opgeslagen. Uiteindelijk blijft het management van de cliënt verantwoordelijk voor wat er met de data gebeurt, en niet de CSP. Het management is hier niet altijd voldoende van bewust, en dit zorgt ervoor dat klanten niet actief monitoren wat er met hun gevoelige data gebeurt. Dit issue wordt nog belangrijker met het oog op nieuwe EU privacy wetgeving en de introductie van een zogenaamde ‘meldplicht datalekken’ die binnen afzienbare tijd in werking zal treden. Multi-tenancy is een risico dat bij de beoordeling van de interne beheersing van CSPs onderbelicht is. De controle cliënt zelf heeft te weinig aandacht voor de beheersingsmaatregelen bij de CSP en dit kan resulteren in ‘lekken’ in het eigen interne beheersingsframework.
5.3 Beantwoording deelvraag 2 Hoofdstuk 4 en 5 begon met deelvraag 2: “Op welke wijze kan de accountant in de praktijk omgaan met de geldende richtlijnen en cloud risico’s wanneer hij te maken krijgt een cloud applicatie tijdens de jaarrekeningcontrole?”. Het is niet eenvoudig om eenduidig antwoord te geven op deze vraag. Er is een breed scala aan cloud applicaties die op diverse manieren de bedrijfsprocessen beïnvloeden. De belangrijkste houvast voor de accountant is de controlestandaard COS 402 ‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’. Deze controlestandaard beschrijft de minimale eisen 55
aan werkzaamheden van de accountant voor. Echter betreft dit een generieke standaard die betrekking heeft op alle serviceorganisaties en geen rekening houdt met specifieke risico’s van een serviceorganisatie en de manier waarop de dienstverlening is geïntegreerd in de bedrijfsvoering van de gebruikersorganisatie. Het is dus zaak om bij elk individueel geval goed na te denken over de specifieke risico’s die per serviceorganisatie kunnen verschillen. In geval van dit casestudy onderzoek blijkt dat een cloud service provider specifieke technische- en compliance risico’s met zich meebrengt. Om de risico’s goed in te kunnen schatten is het zaak om voldoende inzicht te verwerven in de dienstverlening en de beheersingsprocessen. Bij voorkeur zal de accountant een IT-auditor inschakelen die ervaring heeft met het auditen van CSPs en kennis heeft van de COS 402. Maar ook de IT auditor blijkt in de praktijk nog onvoldoende werkzaamheden uit te voeren om de gewenste zekerheid te verkrijgen volgens de standaard die de toezichthouder stelt aan de controle-informatie en de documentatie hiervan. In hoofdstuk zes zullen we enkele aanbevelingen doen die de accountant kan gebruiken als handvat wanneer hij in de praktijk geconfronteerd wordt met de dienstverlening van een CSP.
56
Hoofdstuk 6 Aanbevelingen In dit hoofdstuk wordt de derde deelvraag van dit onderzoek behandeld: “In het geval van uitbesteding van applicaties naar de cloud, welke controlemaatregelen kunnen worden aanbevolen?” In het vorige hoofdstuk is een analyse uitgevoerd op de bevindingen in de praktijk en het theoretisch kader uit de literatuur en is er geconcludeerd dat er ruimte is om de controle van cloud serviceorganisatie in de praktijk te verbeteren. Aan de hand van de vijf belangrijkste bevindingen uit het casestudy onderzoek zijn vijf aanbevelingen opgesteld met als doel de controle van een CSP te verbeteren. Deze aanbevelingen bevatten ook aanvullende controlemaatregelen die de accountant kan uitvoeren in dit kader.
Aanbeveling 1: Vragenlijst ‘Verwerven van Inzicht in de Diensten van de CSP’ Binnen de controlepraktijk van externe dienstverleners is sprake van een grote diversiteit aan applicaties, beheersingsprocessen, verantwoordelijkheden en beschikbare controle-informatie. Om tot een goed oordeel te komen is een degelijk inzicht in de aard van de dienstverlening en de interne beheersingsprocessen bij zowel de CSP als bij de gebruikersorganisatie noodzakelijk. In de praktijk blijkt dat de accountant in veel gevallen niet voldoende controle-informatie heeft verworven mede vanwege onbekendheid met de materie. Er lijkt behoefte aan ‘handvaten’ die de auditor ondersteuning kan bieden bij het verwerven van inzicht rondom het uitbesteden van diensten en processen aan een CSP. Op basis van het literatuuronderzoek, de casestudy en de aanvullende interviews is een vragenlijst samengesteld die de auditor kan gebruiken als geheugensteun bij het evalueren van de risico’s wanneer hij een cloud applicatie tegenkomt. Deze lijst is geen vrijbrief voor de accountant om zelf niet meer na te denken.
Welk proces gebruikt de organisatie om alle cloud applicaties en Cloud Service Providers in gebruik binnen de organisatie te identificeren? En wie kan overeenkomsten aangaan met CSPs? Wordt IT governance hierbij betrokken? Is er een proces dat de performance van de CSP monitoort aan de hand van de SLA? Zijn de risico’s die met cloud gepaard gaan geïdentificeerd, beschreven en geëvalueerd? Monitoort de organisatie de beheersmaatregelen bij de CSP aan de hand van de eigen beheersdoelstellingen? Heeft de organisatie de impact van deze risico’s bepaald op de bestaande ITGCs en de ITACs? Heeft de organisatie inzichtelijk waar de transacties worden uitgevoerd? Inclusief de flow van de data en informatie die door welke bedrijfsprocessen heen gaan en data die tussen de eigen organisatie en de CSP over en weer gaan. Een review van de contracten van de service organisaties en van de rapportages van de CSP kan hierbij helpen. Is de organisatie in staat om data en informatie bij de CSP op te vragen? Als het audit team besluit om een substantive steekproef op de data van de CSP uit te voeren. Kan de organisatie in dat geval de benodigde informatie bij de CSP opvragen? Zijn er restricties op de transfer van data? 57
Weet de gebruikersorganisatie hoe de serviceorganisatie omgaat met persoonsgegevens en andere gevoelige informatie? Aangezien deze data tijdens het verwerken rond kan gaan van datacenter naar datacenter in verschillende landen en jurisdicties. Heeft de klant een governanceraamwerk geïmplementeerd dat de beslissingen en controls rondom CSP adresseert? Wat is de impact van het gebruik van CSP op de IT afdeling? Is er voldoende kennis en kunde in de organisatie om de implementatie en interactie met de CSP af te handelen? Heeft de gebruikersorganisatie aanvullende beheersingsmaatregelen geïmplementeerd aangaande de gebruikerscontrols? Bijvoorbeeld processen en controls die de toegang van eigen medewerkers beheersen? Heeft de entiteit de impact van subservice organisatie geëvalueerd en de type 2 rapporten van deze onderaannemers opgevraagd en beoordeeld?
Aanbeveling 2: Kritisch beoordelen van derdenverklaringen Een ISAE type 2 derdenverklaring wordt steeds vaker door de accountant gebruikt om te beoordelen of hij kan steunen op de interne beheersingsmaatregelen van de externe serviceprovider. Het is belangrijk dat de accountant dit rapport op een gestructureerde en kritische manier beoordeeld. Op basis van de het casestudy onderzoek zijn een aantal kritische punten naar voren gekomen die de accountant altijd in acht dient te nemen:
Beoordeel of de accountant van de serviceorganisatie vakbekwaam is en onafhankelijk van de serviceorganisatie. Beoordeel of de standaarden op basis waarvan het type 2 rapport is uitgebracht, adequaat zijn. Beoordeel of de scoping van de dienstverlening relevant is voor de controle van de cliënt en of welke werkzaamheden betrekking hebben op subcontractors die een deel van de dienstverlening van de serviceorganisatie op zich nemen. Beoordeel of de rapportage geldig is voor een periode die passend is voor de doeleinden. Geef ook specifiek aandacht aan de periode die niet gedekt wordt door de rapportage en vraag indien nodig additionele informatie op bij de serviceorganisatie. Beoordeel of aanvullende beheersingsmaatregelen bij de gebruikersorganisatie relevant zijn. Beoordeel of de perioden waarin de testwerkzaamheden hebben plaatsgevonden voor de werking van de controls adequaat zijn. Maak een aansluiting tussen de controledoelstellingen en bijbehorende controls in het dossier (SOLL) en de beheersingsdoelstellingen en controls in de type 2 rapportage (IST). Evalueer eventuele verschillen tussen SOLL en IST en bevindingen van de accountant van de serviceorganisatie. Beoordeel de impact op de mate waarin de accountant kan steunen op de interne beheersingsmaatregelen en definieer eventuele mitigerende controls of aanvullende controlewerkzaamheden om voldoende comfort te krijgen. Houd bij de controledoelstellingenrekening met cloud specifieke risico’s zoals de flexibele locatie van data en multi-tenancy. 58
Aanbeveling 3: Locatie van de data en privacy wetgeving Nieuwe privacy wetgeving vanuit de EU en de introductie van een meldplicht ‘datalekken’ die binnen afzienbare tijd in werking zal treden, kan serieuze gevolgen hebben, in de vorm van boetes of reputatieschade, voor organisaties niet compliant zijn. Het uitbesteden van de opslag van persoonlijke gegevens is geen vrijbrief voor het management van de gebruikersorganisatie, want het management is te allen tijde zelf verantwoordelijk voor het naleven van de Wpb. Het is aan te bevelen om in een tijdig stadium hierover de discussie aan te gaan met het management zodat deze bewust wordt van de risico’s.
Aanbeveling 4: Aandacht voor multitenancy Multi-tenancy is een risico dat bij de beoordeling van de interne beheersing van CSPs onderbelicht is. Het is aan te bevelen dat de accountant tijdens de planningsfase dit risico bespreekt met zijn cliënt en met de CSP. Indien nodig kan de cliënt alvast additionele documentatie opvragen bij de CSP.
Aanbeveling 5: IT governance en CSP De algemene teneur is dat controle cliënt zelf te weinig aandacht heeft voor de beheersingsmaatregelen bij de CSP. In de praktijk ziet men dat de externe dienstverlener niet is opgenomen in het interne IT beheersingsframework van de gebruikersorganisatie. Wanneer de gebruikersorganisatie zelf niet proactief de beheersingsdoelstellingen en uitkomsten van audits van de externe serviceverlener monitoort kan dit voor onaangename verrassingen zorgen wanneer er tijdens de jaarrekeningcontrole bevindingen boven water komen. Het is zaak voor de accountant om in een tijdig stadium hierover met het management in gesprek te gaan zodat indien nodig de cliënt nog mitigerende maatregelen kan treffen en de interne beheersingsmaatregelen van de CSP kan opnemen in de het eigen IT beheersingsframework.
59
Bijlagen BIJLAGE A. Cloud Computing Deployment en Service Delivery Modellen
Service Delivery Modellen Intrastructure as a Service (IaaS) IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden aangeboden via het internet. De hardware laag die onder meer servers, netwerkapparatuur en de storageapparatuur bevat, is eigendom van de service provider. De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en dataopslag hij wil beschikken en welk besturingssysteem hierop moet draaien. Vervolgens wordt deze configuratie gevirtualiseerd aangeboden. Het opschalen van recources is, doordat de recources gevirtualiseerd zijn, eenvoudig en meestal geheel automatisch (zonder tussenkomst van de service provider) te realiseren. 60
Platform as a Service (PaaS) PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting voorzieningen als platform wordt aangeboden via het internet. Als toevoeging op IaaS worden zaken als databases, portals en Enterprise Service Bus (ESB) vooraf geconfigureerd door de service provider. Vaak gebruiken de afnemers de PaaS diensten voor ontwikkel en testwerkzaamheden. Tevens wordt PaaS toegepast voor Hybrid omgevingen waarbij de afnemer over integratiefaciliteiten beschikt voor het koppelen van een eigen omgeving aan de Cloud omgeving.
Software as a service (SaaS) SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet. Deze laag draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd ondergebracht bij één service provider. Het kan voorkomen dat de SaaS aanbieder onderliggende lagen afneemt bij andere providers (bijvoorbeeld Amazon VPC).
Cloud Computing Deployment Modellen Er worden vier verschillende deployment modellen onderkend bij Cloud Computing:
Private cloud Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of door een derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de middelen kunnen zijn.
Community Cloud Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen als een Private Cloud.
Public Cloud De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze infrastructuur is eigendom van de leverancier en de afnemers van de dienst zijn geen eigenaar van de middelen.
Hybrid Cloud Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren (private, community, public) worden gekoppeld.
Essentiele Karakteristieken van Cloud Computing gebaseerd op diensten De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier zijn van elkaar gescheiden via een „service interface'. Die interface verbergt de implementatiedetails en maakt een geautomatiseerde respons mogelijk.
Schaalbaar en elastisch
61
De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of omlaag worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en elastisch.
Schaalbaarheid Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen. Doordat Cloud Computing als een dienst wordt geleverd kan onderscheid gemaakt worden tussen functionaliteit en techniek. De klant ziet de functionaliteit en de aanbieder bepaalt de techniek. Door deze scheiding is de aanbieder in staat om standaardisatie verder door te voeren. De virtualisatie software zorgt ervoor dat er eenvoudig virtuele hardware componenten aan de infrastructuur kunnen worden toegevoegd, zodat de klant on-demand meer resources tot zijn beschikking krijgt. Door het te delen met meerdere afnemers wordt de overcapaciteit of tekorten met de gehele groep van afnemers gedeeld. De verschillende tijdszones zorgen ervoor dat de kantoortijdpieken niet gelijk vallen.
Elasticiteit Dit is een kenmerk van het economische model: het betekent dat het er niet of nauwelijks economische sancties staan op het veranderen van de hoeveelheid capaciteit die wordt afgenomen.
Gedeeld met meerdere afnemers Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief goedkoop kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk delivery model gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en respectievelijk de applicatie gedeeld.
Betalen per gebruikseenheid Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in termen van bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de apparatuur.
Internettechnologie De dienst wordt geleverd via breedband gebruik makend van internetformaten en protocollen, zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of locatie. Bij sommige Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie een deel van de service of roulerend) geleverd.
62
BIJLAGE B. Het cloud concept uitgelegd vanuit het business perspectief. Iedereen die in recente jaren gebruik heeft gemaakt van e-mailaccounts zoals Yahoo of Gmail, heeft ook indirect gebruik gemaakt van cloud computing. Het is locatie-onafhankelijke, op webgebaseerde computing en maakt gebruik van virtuele servers op aanvraagbasis. Gebruikers betalen voor verbruik en zodoende biedt het cloud computing model elasticiteit in zowel diensten als ook in uitbreidbaarheid van gebruik.Schattingen tonen aan dat een traditioneel stand-alone GG systeem vrijwel nooit meer dan 20%, en zo laag als 5%, van haar processorkracht verbruikt op elk gegeven ogenblik (Amburst et all, 2011). Al sinds de jaren 60 voorspellen vooruitstrevende denkers dat computing uiteindelijk georganiseerd zal worden als een dienst van openbaar nut, naast stroom, gas, water en telefonie (Gary Anthes, "Security in the Cloud," Communications of the ACM, November 2010). Wanneer personen bijvoorbeeld stroom nodig hebben, betalen ze volgens een “pay as they go” principe. Op deze manier is er ongelimiteerde toegang tot een ogenschijnlijk ongelimiteerde voorraad van de voorziening, terwijl er enkel betaald wordt voor het daadwerkelijke verbruik. Cloud computing biedt service providers de mogelijkheid om hun computing middelen te delen met veel abonnees, die de bezettingsgraad verbetert en ook de kosten vermindert. Sommige experts voorspellen dat binnen vijf tot tien jaar zo’n 90% van de wereldwijde computing en dataopslag via de cloud plaats zal vinden, terwijl cloud computing applicaties een voorspelde vijfvoudige groei zullen meemaken in de komende vijf jaar (Hawser, 2013).
Business voordelen van Cloud Hoewel de belofte van financiële besparingen als aantrekkelijk lokmiddel geldt voor cloud computing, liggen de beste kansen voor de cloud waarschijnlijk bij bedrijven die processen willen stroomlijnen en innovatie willen vergroten. Op deze wijze wordt de productiviteit verhoogd en worden bedrijfsprocessen getransformeerd met middelen die voorheen, zonder de cloud, te duur waren. Organisaties kunnen zich richten op hun core business, zonder zich zorgen te hoeven maken over de schaalbaarheid van infrastructuur. Het oplossen van pieken in bedrijfseisen qua uitvoering kan makkelijk worden bereikt door middel van cloud computing – wat vertaald wordt naar betrouwbare back-ups, meer tevreden klanten, een verhoogde schaalbaarheid en nog hogere marges. Een paar van de belangrijkste zakelijke voordelen van de cloud zijn:
Kostenbeheersing: De cloud biedt bedrijven de optie van schaalbaarheid, zonder de serieuze financiële verplichtingen die normaliter verplicht zijn om infrastructuur aan te schaffen en te onderhouden. Met cloud diensten zijn er vrijwel geen kosten qua kapitaalvoorschot. Diensten en opslag zijn beschikbaar op aanvraag en hanteren de prijs van een ‘pay-as-you-go’ dienst. Bovendien kan het cloud model helpen bij kostenbesparingen, zoals geld/middelverkwisting. Besparen op ongebruikte serverruimte biedt bedrijven de mogelijkheid om kosten te beheren qua bestaande technologie-eisen en om te experimenteren met nieuwe technologieën en diensten, zonder dat een grote investering noodzakelijk is. Bedrijven zullen hun huidige kosten moeten vergelijken met de mogelijke kosten van de cloud en modellen voor TCO moeten overwegen om te kunnen begrijpen of cloud diensten inderdaad het bedrijf kosten kan besparen. 63
Urgentie: Early adopters (vroege instappers) van cloud computing noemden het vermogen om een dienst te verkrijgen en te gebruiken binnen één dag. Dit kan worden vergeleken met traditionele IT projecten, waarvan de implementatie van de middelen (bestellen, configureren, operationaliseren) weken, zo niet maanden, kan duren. Dit heeft een fundamentale weerslag op de behendbaarheid van een bedrijf en kostenbesparingen gerelateerd aan tijdvertragingen. Beschikbaarheid: Cloud providers hebben de infrastructuur en bandbreedte om aan zakelijke eisen zoals high-speed toegang, opslag en applicaties te voldoen. Aangezien deze providers vaak redundante paden hebben, brengt dat de mogelijkheid van load-balancing met zich mee om er zorg voor te dragen dat systemen niet overbelast raken en diensten niet vertraagd zijn. Dus terwijl beschikbaarheid kan worden beloofd, dienen klanten er wel zorg voor te dragen dat ze voorzieningen hebben tegen dienstonderbrekingen. Schaalbaarheid: Met ongeremde capaciteit bieden cloud diensten een verhoogde flexibiliteit en schaalbaarheid voor veranderende IT behoeften. Het leveren van voorzieningen en de implementatie gebeurt op aanvraag, zodat verkeersdrukte goed kan worden opgevangen en de tijd voor de implementatie van nieuwe diensten kan worden verkort. Efficiëntie: Het herschikken van operationele activiteiten zoals information management naar de cloud, biedt bedrijven een unieke kans om de focus te verleggen naar innovatie, research en ontwikkeling. Dit maakt bedrijfs-en productgroei mogelijk en kan mogelijkerwijs nog gunstiger zijn dan de financiële voordelen van de cloud. Veerkracht: Cloud providers hebben mirror oplossingen die gebruikt kunnen worden in rampscenarios en ook om verkeer te load-balancen. Of er nu een natuurramp is waardoor een site in een andere geografische locatie nodig is, of er veel verkeer ontstaat, cloud providers verklaren dat ze de veerkracht en capaciteit zullen hebben om beschikbaarheid te garanderen doorheen een onverwachte gebeurtenis.
Het uitgangspunt van de cloud is dat door delen van information management en IT operations te outsourcen, bedrijfsmedewerkers vrij zullen zijn om processen te verbeteren, productiviteit te verhogen en te innoveren terwijl de cloud op een slimmere, snellere en goedkopere manier de operationele activiteiten waarborgt. Ervan uitgaande dat dit het geval is, zullen aanzienlijke veranderingen aan bestaande bedrijfsprocessen gepaard moeten gaan met de kansen die cloud diensten bieden.
64
BIJLAGE C. Cloud uitgelegd vanuit het IT perspectief De op grote schaal commerciële voorziening van IT diensten via het internet, vanuit gedeelde pools van IT middelen, is echter enkel economisch gangbaar geworden dankzij een aantal relatief recente ontwikkelingen. Allereerst zijn de bestaande technologieën, van welke virtualisatie, webdiensten, gedeelde gegevenscache en grid computing de belangrijkste zijn, gedurende de laatste vijf jaar verfijnd, gestandaardiseerd en wijd toegepast. Ten tweede zijn publieke breedbandnetwerken overvloedig geworden en zijn ze direct beschikbaar tegen een redelijke prijs. Ten derde hebben sommige providers de schaal van hun IT middelen enorm vergroot, dat ze vandaag de dag tot sleutelspelers op de markt van cloud computing heeft gemaakt. Hieronder een aantal kernbegrippen in de technologie die in cloud-computing een essentiële rol spelen.
Virtualisatie Het proces van het toevoegen van een ‘gast-applicatie’ en data op een ’virtuele server’, erkennende dat de gast-applicatie uiteindelijk afscheid zal nemen van deze fysieke server.
Webdiensten Een webservice is een communicatiemethode tussen twee elektronische toestellen over het wereldwijde web. Een webservice is een softwarefunctie die aangeboden wordt vanuit een netwerkadres op het internet of de cloud; een service die ‘altijd aan’ is volgens het concept van utility computing.
Gedeelde Gegevenscache Een cache (uitgesproken als CASH) is een plaats om iets tijdelijk op te slaan. Computers gebruiken caches doorheen verschillende operationele niveaus, zoals het cache geheugen en de schijfcache. Gedeelde gegevenscaching kan ook voor internet content worden geïmplementeerd door het naar meerdere servers te verspreiden die periodiek worden ververst.
Grid computing Onder Grid Computing wordt de collectie van computermiddelen vanuit verschillende locaties verstaan om zodoende een gemeenschappelijk doel te bereiken. De Grid kan worden gezien als een distributiesysteem met niet-interactieve werklasten dat een groot aantal bestanden met zich meebrengt. Wat Grid Computing van meer conventionele high-performance computing systemen zoals cluster computing onderscheidt, is dat grids vaak losser aan elkaar gekoppeld zijn, heterogener zijn en geografisch verspreid zijn. Alhoewel een enkele grid toegewijd kan zijn aan een specifieke applicatie, wordt een grid normaliter toegepast voor verschillende doeleinden. Grids worden vaak gebouwd met standaard grid middleware software libraries. Buiten deze bestaande technologieën combineer cloud computing ook verschillende technische innovaties van de laatste 10 tot 15 jaar die haar fundamentele technische bouwstenen vormen, zoals:
SOA – een bibliotheek met bewezen, functionele software applet die samen tot een nuttige applicatie kunnen worden verbonden. Application Programming Interfaces (API) – Tags om applets over het internet te sturen. 65
XML – Identifier tags die aan informatie zijn bevestigd (data, pagina’s, foto’s, bestanden, velden, etc.) zodat de informatie in staat is om naar aangewezen applicaties op het internet te worden verstuurd.
Simplistisch gesproken zou iemand hetzelfde naar SOA kunnen kijken als naar het ontwerpen van een ketting. De kraaltjes zijn de SOA applets, terwijl het koord het internet is dat de applets samenvoegt. Dit is meestal een vrij complexe, matrix-type ketting, verweven met verschillende applet selecties, afhankelijk van de specifieke output-waarden van de vorige applet. API en XML worden gebruikt om webgebaseerde SOA applicaties te verbinden. Hoewel de voortvloeiende SOA applicatie meer werkende code nodig heeft dan een soortgelijke applicatie die perfect van de grond af is ontworpen, is het gemak van het ontwerp samen met de kostbesparing op ontwikkelingstijd door het maken van een op “kralen-gebaseerde” SOA applicatie iets dat de extra lineaire kosten ver overstijgt. Verder zijn er nog vele componenten en termen die gebruikt worden in cloud computing die kunnen helpen om de interne werking van cloud technologie te begrijpen. Enkele van deze termen zijn:
Hypervisor— Een computerhulpmiddel dat verscheidene software applicaties, die op verschillende besturingssystemen draaien, toestaat om naast elkaar te bestaan op dezelfde server en op hetzelfde moment. Dit betekent dat Windows, Java, Linux, C++, Simple Object Access Protocol (SOAP) en op Pearl-gebaseerde applicaties gelijktijdig op dezelfde machine kunnen draaien. De hypervisor is de activerende technologie voor server virtualisatie. Dynamische partitionering— De variabele toewijzing van CPU kracht en geheugen naar meerdere applicaties en data op een server. Het staat ook bekend als logische partitionering (LPAR). Dynamische partitionering biedt variabele CPU- en servergeheugencapaciteit aan de verschillende, tegelijkertijd-opererende applicaties indien nodig. Dit is belangrijk vanwege de variabele processorvereisten die ondervonden zijn met batchtaken en real-time processing. Meerdere gelijktijdige applicaties kunnen ongeveer gelijke CPU cycles en geheugenporties nodig hebben, maar in sommige gevallen kan één applicatie een veel grotere dosis processorsnelheid en geheugenruimte vereisen om output vertragingen te voorkomen. Dynamische partitionering herschikt processor en geheugencapaciteit waar het nodig wordt geacht. OS, applicatie- en data migratie— Het proces van het migreren van data, de applicatie en de onderliggende OS naar een andere server. Dynamische partitionering herschikt de processorkracht en geheugencapaciteit van de server automatisch en onmiddellijk waar het nodig wordt geacht. Wanneer de hypervisor echter opmerkt dat de eisen van de verschillende applicaties voor de paardenkracht van de host server te hoog liggen, bestaan er hulpmiddelen om data, de applicatie en de onderliggende OS op een andere server, die als beschikbaar is aangemerkt, onder te brengen Cloud cliënt verbruiksmeting– Het vermogen om het verbruik van de CPU, input/output en geheugenverbruik per klant, per applicatie te meten. Dit ‘measured service’ hulpmiddel maakt het mogelijk voor CSP’s die de servers beheren om hun klanten gebruikskosten aan te rekenen, gebaseerd op het daadwerkelijke verbruik van de processor. 66
BIJLAGE D. Evolutie van de Cloud Cloud computing allesbehalve nieuw. Het is gebouwd op bestaande infrastructuur en processen. Zoals aangetoond op figuur 2.1, heeft cloud computing veel overeenkomsten met de computer processing methodes van de jaren 60 en 70. Veertig jaar geleden was computing bijvoorbeeld gecentraliseerd binnen bedrijven met grootschalige operaties die interfaces gebruikten met mainframe computers. User interfaces waren hoofdzakelijk beperkt tot ‘domme’ terminals of ponskaarten. De jaren 80 bracht ons middelgrote computers en mini-computers, dat het mogelijk maakte om computer processing te verspreiden en om makkelijker toegang ertoe te verkrijgen. Met het aannemen van het Windows® OS in de jaren 90 werd computer processing verder verspreid via client-server- of enkel cliënt- applicaties, naar vrijwel iedere desktop op kantoor, fabriek of magazijn binnen een bedrijf.
Vandaag de dag brengt cloud computing gebruikers terug naar gecentraliseerde verwerking. Diensten worden verleend door hosts op het internet. Doorheen het wereldwijde web wordt cloud computing gezien als het nieuwe mainframe. De evolutie van de cloud kan worden gezien als de progressieve integratie van het internet met computer processing, dataopslag en het ophalen van gegevens. Figuur 2.2 illustreert het online perspectief van de evolutie van cloud computing.
67
Eerste blootstellingen van gebruikers aan de cloud kwamen opzetten toen e-mail werd aangeboden aan internet-verbonden computergebruikers in het begin van 1990, dit staat nu bekend als Internet-Service-Provider (ISP) 1.0 (figuur 2.2). In het ISP 2.0 stadium evolueerde één-op-één berichtenuitwisselingen tot groepsuitwisselingen via websites. Grafische informatie (content pagina’s opgeslagen op internet-verbonden computers) leverde allerlei soorten informatie van websitebeheerders aan internetgebruikers. Dit was eerst ‘vaste’ of statische informatie, maar veranderde al snel naar dynamische of real-time informatie op het gebied van weer, verkeer of nieuws. Dynamische website informatie toonde ook huidige marketing informatie, voorraden, productprijzen, en leveringsinformatie voor zowel consumenten als bedrijven De servers die deze websites beheerden, waren of geplaatst op het terrein van de ondersteunende organisatie met voldoende internetbandbreedte, dan wel op colocatie bij ISP’s, dat, dankzij hun business model, ruim voldoende bandbreedte in hun bezit hadden om website/browser interactie op adequate wijze toe te laten. ISP 3.0 is het stadium in de cloud computing evolutie dat outsourced serverlocaties aanbiedt (colocatie). Dit vond plaats in de latere jaren 90 waar co-locatie klanten ‘third-party best-practice expertise’ in het managen van informatieverwerking verschafte. Klantgebruikers navigeerden vanaf hun desktops door het internet om interne applicaties te openen die extern gehost werden. Co-locatie gaf klanten die e-commerce websites hadden ontwikkeld ook de mogelijkheid om online shopping diensten aan te bieden zonder de lange, vervelende wachttijden van 68
paginadownloads, dankzij voldoende bandbreedte. In zowel ISP 2.0 en 3.0 werd aan hostgebruikers gedeelde internet bandbreedte aangeboden door de co-locatie service providers, bijvoorbeeld ‘resource pooling’ (bronnenpools). ISP 4.0 arriveerde aan het begin van de 21e eeuw. Op dat moment werd de directe voorganger van het huidige SaaS service model aangeboden aan bedrijven door Application Service Providers (ASP’s). ASP’s leverden klanten traditionele software applicaties voor één klant, meestal op één server. Door het gebruik van een ASP hoefde een bedrijf geen software-acquisitiekosten meer te betalen naast de normale jaarlijkse gelden, die konden oplopen tot zo’n 18-20% voor technische support, softwareonderhoud en upgrades. ASP klanten huurden louter het gebruik van een applicatie en de servercapaciteit van de ASP, en waren verbonden via het web. ISP’s waren ook verantwoordelijk voor het onderhouden van hoge niveaus van uptime, ook wel vaak “drie negens” (99,9%) of “vier negens” (99,99%) genoemd, etc. ASP’s van goede kwaliteit handhaafden op zijn minst dubbele toegangspunten naar het internet via verschillende Netwerk Service Providers (NSP’s), dankzij twee fysiek gescheiden kabels, wat zorg droeg voor blijvende connectiveit mocht een NSP wegvallen. Veel ASP’s handhaafden bijgewerkte applicatieversies en wat we nu “patch management” noemen – applicatie-upgrades en beveiliging- of bugfixes. ASP’s profileerden zich op de markt met de boodschap dat ze klanten voorzagen van betere applicatiebeschikbaarheid- en prestatie, tegen kosten die ver onder een daadwerkelijke aanschaf plus support van een interne bedrijfsapplicatie lagen. ASP’s waren alweer een andere portie in de evolutie naar de cloud computing ‘resource pooling’ van vandaag. ISP 5.0 is de volgende evolutie in cloud computing en vertegenwoordigt de huidige stand van zaken. Veel ASP’s zijn geëvolueerd naar SaaS als webgebaseerde SOA applicaties voor gebruik door meerdere huurders die tegelijkertijd dezelfde applicatie draaien op dezelfde server(s). Dankzij het gebruik van Extensible Markup Language (XML) tags verklaren SaaS providers dat klantgegevens van elkaar kunnen worden gescheiden, ook al delen alle klantgegevens hetzelfde geheugen. Er wordt van SaaS providers verwacht dat ze alle vereiste beveiligingsmiddelen leveren en de applicaties en OS patches beheren wanneer dat nodig mocht zijn. Daarnaast zijn er kostbesparingen vanwege een verminderd verbruik van zowel de server, stroom als koeling die kunnen worden doorgegeven aan de klant, omdat SaaS providers de maximale serverbezetting gebruiken op basis van het cloud computing model.
69
Referenties:
AFM, (2014). “Uitkomsten Onderzoek Kwaliteit Wettelijke Controles Big-4 accountantsorganisaties.” Amsterdam: www.afm.nl Armburst et al., “Above the Clouds: A Berkely View of Cloud Computing,”Technical Report No.UCB/ EEXS-2009-28, 2009). Blokdijk, H. (2011). “Rijkwijdte COS 402: Verontrustende Conclusie.” www.deaccountant.nl Chung, M., (2011). “Assurance in the Cloud, the impact of cloud computing on financial statements.” Compact.nl CSA, (2014). “Cloud Computing Service Delivery and Deployment Model. ”Cloud Security Alliance: https://cloudsecurityalliance.org CSA, (2014). “Cloud Control Matrix v3.0.1.” Cloud Security alliance: www.cloudsecurityallince.org/research/ccm CSA, (2014). “Security Guidance and Critical Areas of Focus in cloud Computing V2.1.”, Cloud Secruity Allicance: www.cloudsecurityalliance.org/csaguide.pdf Fijneman R., Roos Lindgren E., Ho K.H., (2006). “IT-auditing en de Praktijk.” Den Haag: SDU Uitgevers Hawser, A., (2009). "Cloud Control: Businesses Looking for Cost-effective Data and GG Infrastructure Solutions Are Increasingly Finding the Answer Is in the Cloud," Global Finance. IIA, (2012), “ISAE 3402 en de internal auditor, Praktijkhandleiding.” Naarden: www.iia.nl KAM, (2012). “KAM alert Cloud Services.” Amstelveen: KPMG. Luftman, J. N., H. S. Zadeh, B. Derksen, M. Santana, E. H. Rigoni and Z. D. Huang (2012). “Key information technology and management issues 2011–12: an international study.” Journal of Information Technology 27. Mather, T., Subra, K., Shahed L., (2011). “Cloud Security and Privacy.” USA: O’Reilly Media, Inc. NBA (Nederlandse Beroepsvereniging Accountants), (2015).”Handleiding Regelgeving Accountancy”, Amsterdam: NBA, www.nba.nl/HRAweb/HRA1/201503/index.html NV COS 402,(2015). “Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie.” NB A (HRA): Amsterdam NV COS 3402,(2015). “Assurance-rapporten betreffende interne beheersingsmaatregelen bij een serviceorganisatie.” NB A (HRA): Amsterdam Mell, P., Grance, T., (2011). “The NIST definition of Cloud Computing.” US Department of Commerce; National Institute of Standards and Technology. Ryan, M.D. (2011). "Cloud Computing Privacy Concerns on Our Doorstep." University of Birmingham. Schellevis, W., Van Dijk, V., (2014) Jaarrekeningcontrole in het MKB: IT audit geintegreerd in de controle-aanpak, Amsterdam: Norea Vaassen, E.H.J., Bollen, L.H.H., Hartmann, F.G.H., Meeuwissen, R.H.M., Vluggen, M.P.M. (2005). Informatie en control: basisboek. Groningen, Wolters Noordhoff. Yin. R.K, (2014). “Case Study Research: Design & Methods (Applied Social Research Methods).” Sage: Los Angeles.
70
