Risicobeheersing en de rol van internal IT-auditing bij uitbesteding Amand Veltmeijer
Vrije Universiteit Amsterdam Postdoctorale opleiding IT Audit Scriptie oktober 2013, versie 1.1
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Voorwoord Deze scriptie is geschreven als afsluiting van de postdoctorale opleiding IT Audit aan de Vrije Universiteit te Amsterdam. Het onderzoek dat in deze scriptie is vastgelegd betreft een actueel vraagstuk binnen zowel de organisatie waar ik zelf als IT en Information Security Officer werkzaam ben als de gehele accountancybranche. De ontwikkelingen binnen de IT maken het voor veel IT Security Officers een uitdaging om die zaken op te pakken die er daadwerkelijk toe doen. Binnen de accountantsorganisaties is de invloed van de IT-ontwikkelingen nog ingrijpender dan bij andere ondernemingen door de huidige discussies en ontwikkelingen in het accountancyvakgebied. Het onderzoek is ingegeven door de lastige risicoafwegingen die ik van dag tot dag moet maken in de uitvoering van mijn assurancerol. Het persoonlijke doel van het onderzoek is dan ook om meer duidelijkheid te verkrijgen over het beheersingssysteem van de organisatie en de ITauditrol daarbinnen, om zodoende meer grip te krijgen op de essentiële aspecten bij beheersing van IT-risico’s. Om deze duidelijkheid en antwoorden op de daartoe opgestelde onderzoeksvragen te verkrijgen is literatuuronderzoek uitgevoerd en zijn interviews afgenomen met experts van de IAD’s van Deloitte, KPMG en PwC, met experts van de internal audit-beroepsvereniging IIA en van de Accounting- en Assuranceopleiding ESAA van de Erasmus Universiteit Rotterdam. Hierbij wil ik hen van harte bedanken voor de verhelderende en open gesprekken en de onafhankelijke en vaak ook ontnuchterende kijk op zaken die ze mij gaven. Daarnaast heb ik een groot aantal gesprekken gevoerd met directe collega’s die ik hierbij ook van harte wil bedanken. Ten slotte wil ik hierbij mijn afstudeerbegeleiders van de VU Abbas Shahim en René Matthijsse, en mijn bedrijfscoach van KPMG Jaap van Beek van harte bedanken voor de prettige en ondersteunende gesprekken die ik met hen mocht voeren. En last but not least wil ik mijn vrouw en kinderen bedanken voor het geduld dat ze met mij hadden gedurende de vele weekenden dat ik met dit onderzoek bezig was en er geen tijd voor hen overbleef. Juni 2013 (versie 1.0) 1, Amand Veltmeijer
1
In versie 1.1 van oktober 2013 zijn errata verwerkt.
i
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Inhoudsopgave 1
Managementsamenvatting
1
2
Inleiding
3
2.1 2.2 2.3 2.4
Onderzoeksvraag Scope Onderzoeksaanpak Leeswijzer
6 6 6 8
3
Literatuuronderzoek
10
3.1 3.2 3.2.1 3.2.2 3.2.3 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.4 3.4.1 3.4.2
Bedrijfsdoelstellingen – Accountancywetgeving Outsourcing en IT-ontwikkelingen Sourcing Internet en Cloud services IT-ontwikkelingen Internal IT-auditing IT-auditing Internal auditing IIA-grondbeginselen Ontwikkelingen binnen corporate governance Het drielagen-defensiemodel IT-risicomanagement Terminologie Governance en risicomanagementraamwerken
11 12 12 13 14 17 17 18 20 22 24 27 28 30
4
Interviews, bevindingen en analyses
32
4.1 4.1.1 4.1.2 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7 4.3 4.3.1 4.3.2
IT-ontwikkelingen IT-gerelateerde risico’s Conclusies Internal IT-auditing Organisatie van IT Bestuur en IAD IAD en IT-auditing IT-auditingaspecten Beheersingsorganisatie Grondbeginselen Internal Auditing Conclusies Enterprise Risk Management Kenmerken van het IT-risicomanagementraamwerk Conclusies
32 36 40 40 40 41 42 43 45 50 51 51 54 58
5
Conclusies
59
ii
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
6
Beantwoording onderzoeksvraag
60
6.1 6.2
Deelvragen Centrale onderzoeksvraag
60 62
A
IT-auditingaspecten
64
B
Governance- en risicomanagementraamwerken
69
B.1 B.2 B.3 B.4 B.5 B.6
C
COSO-raamwerken OECD Principles ISO/IEC-standaarden ISF Information Security Governance NIST SP800-standaarden ISACA’s Business Framework
Referenties
69 74 75 82 85 92
104
iii
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
1
Managementsamenvatting Als gevolg van de brede maatschappelijke discussie over de dienstverlening van accountants en als gevolg van de financieel-economische crisis moeten de accountantskantoren hun diensten tegen lagere kosten aanbieden, moet de kwaliteitsbeheersing verbeteren, moeten de diensten worden verbeterd en uitgebreid en zal een grotere inspanning moeten worden geleverd voor verwerving van opdrachten. De kantoren zullen meer toegevoegde waarde moeten leveren. Om aan de bedrijfsdoelstellingen te kunnen blijven voldoen is continue aanpassing, innovatie, en kwaliteitsverbetering noodzakelijk en om kosten te reduceren worden werkzaamheden uitbesteed. Informatietechnologie is hierbij een belangrijke Enabler. Als gevolg hiervan vinden er vele IT-ontwikkelingen plaats. De veranderingen in de IT-omgeving van de kantoren zijn omvangrijker dan bij andere ondernemingen en het belang van IT voor realisatie van de bedrijfsdoelstellingen neemt sterk toe. Door middel van literatuurstudie en interviews met experts is onderzoek verricht naar de rol van de interne IT-auditfunctie (IT-IAF) binnen accountantskantoren als gevolg van deze ontwikkelingen en de bijdrage van de IT-IAF aan de bedrijfsdoelstellingen. In het onderzoek zijn interviews afgenomen met experts binnen IAD’s van Deloitte, KPMG en PwC en vertegenwoordigers van de internal audit-beroepsgroep IIA en de Accounting- en Assuranceopleiding ESAA van de Erasmus Universiteit Rotterdam. Verder is er literatuuronderzoek verricht naar verschillende IT-ontwikkelingen, naar de afzonderlijke deelvakgebieden internal audit en IT-audit, en naar verschillende raamwerken als hulpmiddel voor de interne IT-auditor. Het onderzoek bevestigt dat als gevolg van de hiervoor genoemde ontwikkelingen er veranderingen plaatsvinden in de IT-omgeving van de kantoren die voorheen ondenkbaar waren. Als gevolg daarvan verandert het IT-risicoprofiel sterk. Van de geconstateerde risico’s zijn een niet goed functionerende IT-governance en een niet goed functionerend ITrisicomanagementproces de belangrijkste risico’s. Beheersing van deze risico’s vormt een voorwaarde voor beheersing van de overige geconstateerde risico’s. Geconcludeerd kan worden dat het interne beheersingssysteem voor IT meer gelijkenis zal moeten vertonen met systemen bij andere commerciële en internationaal opererende ondernemingen. Dit vereist een interne IT-auditfunctie van gelijkwaardig volwassenheidsniveau (maturity level) als bij deze ondernemingen. Het onderzoek bevestigt de noodzaak hiertoe. Het blijkt dat de rol en betekenis van de interne auditfunctie (IAF) binnen de kantoren toeneemt maar dat de interne IT-auditfunctie (IT-IAF) nog te weinig aanwezig is. De rol van de IT-IAF beperkt zich nog te veel tot de controlerol ten behoeve van de financiële rapportage. Ook de rol van de IT-IAF zal op vergelijkbare wijze ingevuld moeten worden als bij andere commerciële ondernemingen. In het algemeen neemt het belang van IT voor ondernemingen toe. Door genoemde ontwikkelingen geldt dit in nog sterkere mate voor accountantskantoren. De IT-IAF zal het interne beheersingssysteem voor IT naar een hoger volwassenheidsniveau moeten brengen. De rol van de IT-IAF in het beheersingssysteem zal veel breder moeten zijn om IT-gerelateerde bedrijfsrisico’s (onzekerheden) optimaal te kunnen beheersen. Deze rol omvat adviestaken en uitgebreidere beoordelende taken en controletaken als gevolg van bredere jaarrapportage (Integrated Reporting), de noodzaak tot inzicht in huidige risico’s (operationele audits) en toekomstige risico’s (risicoprofiel en strategieontwikkeling).
1
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Het blijkt dat het door de kantoren gehanteerde organisatiemodel voor interne beheersing van oudsher sterk afwijkt van het drielagen-defensiemodel. Met de toenemende rol van de IAF neemt het denken in lagen wel toe maar implementatie van het model voor beheersing van ITrisico’s wordt bemoeilijkt door de bestaande structuren voor beheersing van beroepsrisico’s, de invloed daarop van toezichthouders en het ontbreken van een wettelijke vereiste voor een IAF binnen accountantsorganisaties. Door haar kennis, ervaring en onafhankelijke positie kan de IT-IAF een goede bijdrage leveren aan de realisatie van bedrijfsdoelstellingen door als interne partij samen te werken met tweedeen eerstelijnsfuncties. Door een juiste scoping en afbakening van advieswerkzaamheden blijft haar onafhankelijke positie gewaarborgd. Als hulpmiddel voor gebruik binnen het IT-beheersingssysteem dient de IT-IAF gebruik te maken van een raamwerk dat op principes is gebaseerd, dat duidelijke relaties aangeeft tussen bedrijfsdoelstellingen en IT-doelstellingen, dat alle middelen in beschouwing neemt die bijdragen aan doelstellingen (holistisch), dat alle IT-activiteiten binnen de organisatie beschouwt en dat een risicomanagementproces omvat gericht op risico’s én kansen, en waarin duidelijkheid over de risicoacceptatiegraad wordt vereist.
2
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
2
Inleiding Ontwikkeling van de accountantsdienstverlening Vanaf het begin van deze eeuw wordt de dienstverlening van accountantskantoren in toenemende mate breed maatschappelijk bediscussieerd. De rol van de accountant wordt kritisch bekeken, vooral die van de grote accountantskantoren Deloitte, Ernst&Young, KPMG en PwC. De schandalen rond bedrijven als Worldcom en Enron in 2002 en Parmalat en Ahold in 2003 de vormden de aanleiding hiervoor. Door de financieel-economische crisis is de discussie vanaf 2008 versterkt en staan de kantoren regelmatig in de schijnwerpers. Kritische vragen die gesteld worden treffen essentiële pijlers van het accountantsberoep dat is verankerd in de wetgeving, de Wet toezicht accountantsorganisaties (Wta). De betekenis van de accountantsverklaring in de jaarrekening wordt ter discussie gesteld. Een gevolg van de brede maatschappelijke discussie en de crisis is dat cliënten (of klanten 2) de kwaliteit en kosten van de dienstverlening kritisch bekijken. Binnen de beroepsgroep is en wordt gediscussieerd over noodzakelijke veranderingen. De kantoren beseffen dat de “kwaliteitsbeheersing en een professioneel-kritische houding verbetering behoeven” (Majoor, 2010). In de nieuwe Wet op het accountantsberoep (Wab) worden ook beperkingen opgelegd aan niet-controlewerkzaamheden bij controlecliënten en een verplichte kantoorroulatie. Als gevolg van deze maatschappelijke ontwikkelingen moet de accountant zijn diensten tegen lagere kosten aanbieden, moet zijn kwaliteitsbeheersing verbeteren, moeten de diensten die hij levert worden verbeterd en uitgebreid en zal hij een grotere inspanning moeten leveren voor verwerving van opdrachten. De kantoren zullen meer toegevoegde waarde moeten leveren (zie o.a. ING Economisch Bureau, oktober 2012). De accountants kijken dan ook kritisch naar hun kosten, de efficiëntie, en in het algemeen de kwaliteit, van hun processen. Dit geldt niet alleen voor de interne ondersteunende processen maar ook voor de primaire bedrijfsprocessen. Sinds decennia is de opzet en uitvoering van het financiële controleproces in hoofdlijnen ongewijzigd. Als gevolg van de veranderende omstandigheden zullen de bedrijfsprocessen worden aangepast en meer gelijkenis vertonen met processen bij andere commerciële en internationaal opererende ondernemingen. De processen zullen net als de bedrijfsprocessen bij andere commerciële ondernemingen continu aan verandering onderhevig zijn. Continue aanpassing en innovatie, maar ook kwaliteitsverbetering en robuustheid zijn een noodzaak om te overleven, ook voor de grote accountantskantoren. Reactie van accountantsorganisaties Momenteel worden binnen de accountantskantoren wijzigingen doorgevoerd die voorheen ondenkbaar waren, zoals het uitbesteden en offshoren van controleactiviteiten, en worden er initiatieven opgezet om invulling te geven aan veranderingen in de markt en in de maatschappij. Daarnaast leveren de kantoren nieuwe en additionele adviesdiensten en ondersteunende diensten op financieel en niet-financieel gebied om de financiële bedrijfsdoelstellingen te kunnen blijven realiseren.
2 In accountantsliteratuur wordt veelal gesproken over cliënten, maar in veel referenties worden de termen klant en cliënt door elkaar gebruikt. In dit document wordt de term cliënt gebruikt.
3
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Als naar de diensten wordt gekeken die de grote kantoren momenteel aanbieden lijkt het in eerste instantie alsof deze sterk verschillen per kantoor, maar onder de hoofdindelingen van diensten komen veel vergelijkbare termen terug. De meer van oudsher geboden diensten zijn audit, assurance, compliance, sustainability en transactions services. Mede onder invloed van genoemde ontwikkelingen worden nieuwe diensten opgezet en worden nieuwe markten ontgonnen, zoals Integrated Reporting en Big Data. Bij de verschillende kantoren is er ook bij deze nieuwe diensten een sterke overlap te constateren bijvoorbeeld op het gebied van duurzaamheid en innovatie. Uit de jaarverslagen en overige publieke informatie blijkt dat ook in de doelstellingen van de verschillende kantoren een sterke overlap is te constateren. De primaire doelstelling van de kantoren blijft als commerciële onderneming het uitvoeren van diensten om winst te genereren. Daarnaast worden echter doelstellingen aangegeven als innovatie, duurzaamheid, kwaliteit focus / verbetering / excellence, marktfocus, verantwoord ondernemen, community of choice / leadership, diversiteit/samenwerking. De betekenis van informatietechnologie en de interne IT-auditfunctie Voor elke organisatie geldt dat het belang van IT voor realisatie van haar doelstellingen blijft toenemen. Realisatie van bedrijfsdoelstellingen wordt sterker afhankelijk van IT. Door de hiervoor geschetste ontwikkelingen geldt dit in nog sterkere mate voor accountantskantoren. Het gebruik van IT en van nieuwe technieken neemt sterk toe. Bedrijfsprocessen worden meer en meer gedreven door, en afhankelijk van IT. De IT-omgeving van de kantoren verandert snel en sterk. IT is een belangrijke ‘Enabler’ voor realisatie van de veranderde eisen voor kwaliteitsverbetering en kostenreductie. Deze realisatie vindt plaats door meer en intensiever gebruik van IT in primaire processen en ondersteunende processen. Met het toenemen van het belang van IT voor realisatie van de bedrijfsdoelstelling neemt ook het belang toe van ITauditing binnen het interne controlesysteem, de interne IT-auditfunctie. Van oudsher was de belangrijkste taak van de interne IT-auditfunctie het toetsen van de geautomatiseerde systemen in het kader van de interne controle voor het financiële jaarverslag. Door de veranderingen zal de interne IT-auditfunctie een wezenlijker onderdeel dienen te zijn van het interne beheersingssysteem van accountantskantoren. De vraag is dan ook wat de nieuwe rol is van de interne IT-audit binnen het interne beheersingssysteem. IT-ontwikkelingen en uitbesteding De vereiste kwaliteitsverbeteringen en kostenreducties worden voor een aanzienlijk deel bereikt door processen uit te besteden die geen of weinig toegevoegde waarde bieden voor de organisatie. Niet primaire processen zoals veel IT-processen, worden uitbesteed; een voorbeeld hiervan is het gebruik van shared service centra voor ondersteunende diensten. Tevens worden primaire processen waarvoor dat mogelijk is uitbesteed, bijvoorbeeld het uitbesteden van eenvoudige of repeterende controletaken naar lagelonenlanden. Voor uitbesteding van deze processen is IT veelal ook een belangrijke Enabler. Voor realisatie van de primaire bedrijfsdoelstelling – toegevoegde waarde leveren aan de stakeholders – is innovatie belangrijk. Innovatie van de diensten en van de processen is dan ook een belangrijk aandachtspunt van de kantoren. Ook bij innovatie is IT een belangrijke Enabler. Daarbij wordt op andere of intensievere wijze gebruikgemaakt van bestaande (geoutsourcete) IT of door invoering van nieuwe technieken. Invoering van nieuwe technieken gaat veelal gepaard
4
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
met een of andere vorm van uitbesteding, bijvoorbeeld doordat voor de nieuwe applicaties (of apps) gebruik wordt gemaakt van (private) clouds of andere internetdiensten. Eerder is uitbesteding van controle activiteiten al aangegeven als voorbeeld van de huidige veranderingen. Hetzelfde geldt voor uitbesteding van IT. In tegenstelling tot het beleid van voor de geschetste ontwikkelingen (5-10 jaar geleden) is uitbesteding van IT door accountantskantoren nu meer gebruikelijk geworden, vergelijkbaar met het uitbesteden van deze IT-diensten bij andere commerciële organisaties. De veranderingen in de IT-omgeving van de kantoren komen dus voort uit verschillende ontwikkelingen waarbij uitbesteding een belangrijke IT-ontwikkeling is. Uitbesteding van ITdiensten en -processen is een belangrijke bron van risico’s, IT-gerelateerde risico’s. Uitbesteding is dan ook een belangrijk aspect van het interne beheersingssysteem waar ITauditing zich op moet richten. In het onderzoek ligt de focus op deze uitbestedingsrisico’s. Andere ontwikkelingen in de IT-omgeving van de organisatie worden wel meegenomen om te kunnen beoordelen of deze van invloed zijn op de rol van de interne IT-auditfunctie. Risicomanagementraamwerk Internal IT-auditing is onderdeel van het interne beheersingssysteem voor IT. Aan interne beheersingssystemen van organisaties worden sinds het begin van deze eeuw eisen gesteld vanuit de wetgeving voor corporate governance die is opgesteld naar aanleiding van financiële schandalen. Deze wetgeving is op haar beurt weer sterk gebaseerd op raamwerken voor interne controle en voor risicomanagement; COSO ICF (1992), COSO ERM (2004) en de OECD Principles (2004). Huidige raamwerken voor ondersteuning bij beheersing van IT-risico’s bouwen voort op deze basisraamwerken. Risicomanagementraamwerken zijn een belangrijk hulpmiddel voor het systematisch en gestructureerd opzetten, invoeren en onderhouden van het interne beheersingssysteem. Daarom omvat dit onderzoek ook de keuzes voor een geschikt risicomanagementraamwerk waarmee een organisatie een eigen specifiek raamwerk kan opzetten als hulpmiddel voor de interne ITauditfunctie. Om de onderzoeksvraag waaraan een risicomanagementraamwerk dient te voldoen te kunnen beantwoorden zijn naast genoemde basisraamwerken de meest relevante raamwerken onderzocht van de organisaties ISO, NIST, ISF en ISACA. De resultaten zijn weergegeven in paragraaf 3.4. Beschrijvingen van de specifieke raamwerken zijn weergegeven in bijlage B.
5
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
2.1
Onderzoeksvraag Op basis van de hiervoor aangegeven ontwikkelingen en aandachtspunten is de onderzoeksvraag als volgt bepaald: Welke rol kan internal IT-auditing vervullen voor risicomanagement van een grote accountantsorganisatie in geval van uitbesteding? Om een antwoord te kunnen geven op de onderzoeksvraag is deze opgesplitst in de volgende deelvragen zijn: 1) Welke veranderingen heeft het uitbesteden tot gevolg voor de IT-omgeving en het risicomanagement daarbij? 2) Welke bijdrage kan internal IT-auditing leveren aan het risicomanagement van een groot accountantskantoor? 3) Waaraan dient het risicomanagement te voldoen om de IT-gerelateerde bedrijfsrisico’s evenwichtig (integraal) te kunnen beheersen?
2.2
Scope Het onderzoek richt zich op de interne IT-auditfunctie bij grote accountantsorganisaties. In het onderzoek zijn expliciet 3 van de Big-4 accountantskantoren in Nederland meegenomen. De resultaten zouden ook van toepassing kunnen zijn op andere accountantskantoren of andere organisatie,s maar deze zijn niet in het onderzoek meegenomen. Het onderzoek richt zich verder op die aspecten van risicobeheersing die van belang zijn voor de interne IT-auditfunctie bij de ontwikkelingen zoals hiervoor geschetst. Daarbij wordt specifiek gekeken naar de wijzigingen in de IT-omgeving als gevolg van uitbesteding van bedrijfsprocessen en ondersteunende processen en wijzigingen ten opzichte van de situatie van voor de financieel-economische crisis. In het onderzoek worden andere functies binnen het beheersingssysteem meegenomen voor zover ze van belang zijn voor het bepalen van de rol van internal IT-auditing. De rol van andere assurancefuncties, zoals de IT-securityfuncties, valt buiten de scope van dit onderzoek. In het onderzoek worden de meest bekende raamwerken beschouwd die ondersteuning kunnen bieden voor de interne IT-auditfunctie.
2.3
Onderzoeksaanpak Om antwoord te kunnen geven op de onderzoekvragen dient duidelijkheid verkregen te worden over en inzicht verkregen te worden in de gebieden die in de vraagstelling worden benoemd. Dit zijn: •
de veranderingen in de IT-omgeving van accountants;
•
het vakgebied van internal auditing en IT-auditing;
•
Enterprise Risk Management-raamwerken.
6
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Middels een literatuurstudie is het gewenste inzicht en duidelijkheid verkregen op deze gebieden. De resultaten daarvan zijn beschreven in hoofdstuk 3. Begonnen is met een literatuurstudie van de veranderingen in de IT-omgeving en van internal IT-auditing, en een oriënterende studie van bestaande governance- en risk managementraamwerken (zie figuur 2.1).
Figuur 2.1 – Onderzoeksaanpak Daarna zijn gesprekken gevoerd met experts uit de Internal Audit-afdeling van drie grote accountantskantoren (Deloitte, KPMG en PwC), de beroepsvereniging van internal auditors (IIA) en de universitaire Accounting- en Assuranceopleiding (ESAA) aan de Erasmus Universiteit Rotterdam. De onderzoeker is zelf al jaren werkzaam binnen één van de grote accountantskantoren als de IT en Information Security Officer. Vanuit die functie is hij direct betrokken bij IT, risk management en interne auditwerkzaamheden binnen de eigen organisatie. Vanuit die rol heeft hij ook voorafgaand aan en tijdens het onderzoek diverse gesprekken gevoerd met assurancefuncties en andere experts binnen de eigen organisatie. Hierdoor konden de gesprekken met externen al in een vroeg stadium worden gevoerd (oktober tot en met december 2012). De gesprekken zijn gebruikt om een beeld te krijgen van de huidige situatie ten aanzien van ontwikkelingen en de onderzoeksgebieden bij de grote accountantskantoren en om inzichten, meningen en visies van buiten de eigen organisatie te verkrijgen. De gesprekken zijn tevens gebruikt om de scope van het onderzoek nog duidelijker te krijgen en waar mogelijk verder af te bakenen. Na de gesprekken is de literatuurstudie verder uitgevoerd en zijn de resultaten daarvan uitwerkt. Vervolgens zijn de resultaten van de gesprekken en van de literatuurstudie geëvalueerd, vastgelegd, zijn daar conclusies uit getrokken en zijn de onderzoeksvragen beantwoord.
7
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
2.4
Leeswijzer Hoofdstuk 3 - Literatuuronderzoek In hoofdstuk 3 zijn de resultaten weergegeven van de literatuurstudies naar de aangegeven onderwerpen: ontwikkelingen binnen de IT-omgeving, de vakgebieden IT-auditing en internal auditing en Enterprise Risk Management-raamwerken. De beschrijvingen worden voorafgegaan door een korte beschouwing van vereisten aan het interne beheersingssysteem vanuit de wetgeving (paragraaf 3.1). Het accountantsberoep is immers bij wet bepaald. Naast de genoemde commerciële doelstelling is het voldoen aan de accountancywetgeving dan ook een essentiële bedrijfsdoelstelling. Alle activiteiten binnen de organisatie, ook die van de interne IT-auditfunctie hebben tot doel deze bedrijfsdoelstellingen te realiseren. In paragraaf 3.2 worden ontwikkelingen binnen de IT-omgeving besproken. Primair ligt de nadruk op uitbesteding. De ontwikkelingen die daaraan gerelateerd zijn worden eerst benoemd; sourcing en internet en Cloud services. Andere IT-ontwikkelingen die ook veranderingen van de IT-omgeving tot gevolg hebben, maar niet specifiek gerelateerd zijn aan de geschetste ontwikkeling bij accountantskantoren worden daarna benoemd. In paragraaf 3.3 zijn de resultaten weergegeven van het onderzoek naar de afzonderlijke vakgebieden IT-auditing (gedetailleerd weergegeven in bijlage A) en internal auditing. In paragraaf 3.4 zijn de resultaten beschreven van onderzoek naar bestaande raamwerken die ondersteuning kunnen bieden aan de interne IT-auditfunctie bij beheersing van IT-risico’s. Dit zijn raamwerken voor interne controle, voor risicobeheersing en voor (IT/Risk) governance. Hoofdstuk 4 – Interviews, bevindingen en analyses In hoofdstuk 4 zijn de resultaten uit de interviews opgenomen, worden beschouwingen gegeven per ontwerp, worden deelvragen beantwoord en per onderdeel conclusies getrokken. Paragraaf 4.1 geeft de situatie ten aanzien van genoemde IT-ontwikkelingen bij de kantoren en benoemt IT-gerelateerde risico’s. Paragraaf 4.2 beschrijft internal (IT-)auditing bij de kantoren in dezelfde termen zoals benoemd in paragraaf 3.3 (en bijlage A) met specifieke aandacht voor de organisatie van IT, de IAD, interne IT-auditing, de beheersingsorganisatie en grondbeginselen van de IIA (IIA, 2008). In paragraaf 4.3 worden kenmerken benoemd waar een risicobeheersingsraamwerk aan dient te voldoen om IT-gerelateerde bedrijfsrisico’s evenwichtig en integraal te kunnen beheersen. Hoofdstuk 5 – Conclusies In hoofdstuk 5 worden de resultaten en deelconclusies gecombineerd en worden de eindconclusies getrokken. Hoofdstuk 6 – Beantwoording onderzoeksvraag In hoofdstuk 6 wordt uitgebreid antwoord gegeven op de deelvragen. Aan deze beantwoordingen wordt vervolgens gerefereerd in de definitieve beantwoording van de onderzoeksvraag.
8
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Bijlage A – IT-auditingaspecten In bijlage A zijn de belangrijkste aspecten van IT-auditing samengevat vanuit Fijneman R. et al. (2011). Bijlage B – Governance- en risk management-raamwerken In bijlage B (punt B.1 tot en met B.5) zijn uitgebreidere beschrijvingen weergegeven van de verschillende governance- en risicomanagementraamwerken. In bijlage B (punt B.6) worden enkele aspecten benoemd voor het opzetten van een risicomanagementraamwerk op basis van de onderzoeksgegevens. Dit valt buiten de scope van het onderzoek maar is opgenomen ter verduidelijking van het gebruik van de onderzoeksgegevens binnen het COBIT5-raamwerk.
Figuur 2.2 – Leeswijzer.
9
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
3
Literatuuronderzoek In dit hoofdstuk worden de resultaten van de volgende literatuuronderzoeken weergegeven die zijn uitgevoerd om de onderzoeksvraag en deelvragen te beantwoorden. Bedrijfsdoelstellingen – Accountancywetgeving De onderzoeksvraag omvat de bijdrage van de interne IT-auditor aan realisatie van de bedrijfsdoelstellingen. Bedrijfsdoelstellingen zijn ook het doel van risicobeheersing en staan centraal binnen het ondersteunende risicomanagementraamwerk zoals dat is aangegeven in de onderzoeksvraag. Voor accountants is het voldoen aan de accountancywetgeving een essentiële bedrijfsdoelstelling. Daarom worden in paragraaf 3.1 vanuit deze wetgeving de vereisten benoemd voor het stelsel van kwaliteitsbeheersing. Outsourcing en IT-ontwikkelingen Als gevolg van de brede maatschappelijke discussie over de dienstverlening en als gevolg van de financieel-economische crisis is het voor de kantoren noodzakelijk continu processen aan te passen, te innoveren, kwaliteitsverbetering door te voeren en kosten te reduceren. Informatietechnologie is daarbij een belangrijke Enabler. Daarom is onderzoek uitgevoerd naar belangrijke IT-ontwikkelingen. De resultaten daarvan zijn in paragraaf 3.2 weergegeven. Voor beantwoording van de onderzoeksvraag ligt de nadruk op uitbesteding. De ontwikkelingen die daaraan gerelateerd zijn worden eerst benoemd: sourcing en internet en Cloud services. Andere IT-ontwikkelingen die ook veranderingen van de IT-omgeving tot gevolg hebben maar niet specifiek gerelateerd zijn aan geschetste ontwikkeling bij accountantskantoren worden daarna benoemd. Internal IT-auditing Om de onderzoeksvraag naar de rol van internal IT-auditing te kunnen beantwoorden is onderzoek verricht naar de afzonderlijke vakgebieden IT-auditing en internal auditing. Voor ITauditing zijn de belangrijkste aspecten samengevat in bijlage A vanuit Fijneman R. et al. (2011). Voor een beschrijving van de positie, rol en activiteiten van internal audit is gebruikgemaakt van de Position Paper van de IIA (2008), aangevuld met aspecten uit andere literatuur waaronder Sawyer’s Internal Auditing (2005). Raamwerken voor IT-risicobeheersing Internal IT-auditing is onderdeel van het interne beheersingssysteem voor IT. De interne beheersingssystemen van organisaties zijn sinds het begin van deze eeuw aangepast aan vereisten vanuit de wetgeving voor corporate governance die is opgesteld naar aanleiding van financiële schandalen rond bedrijven als Worldcom en Enron in 2002 en Parmalat en Ahold in 2003. Deze wetgeving is op haar beurt weer sterk gebaseerd op raamwerken voor interne controle en voor risicomanagement; COSO ICF (1992), COSO ERM (2004) en de OECD Principles (2004). Raamwerken voor ondersteuning bij beheersing van IT-risico’s bouwen voort op deze basis raamwerken.
10
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Om de onderzoeksvraag te kunnen beantwoorden waaraan een risicomanagementraamwerk dient te voldoen zijn daarom deze raamwerken ook onderzocht. Daarnaast zijn de meest relevante raamwerken onderzocht van de organisaties ISO , NIST, ISF en ISACA. De resultaten zijn weergegeven in paragraaf 3.4. Beschrijvingen van de specifieke raamwerken zijn weergegeven in bijlage B.
3.1
Bedrijfsdoelstellingen – Accountancywetgeving Accountantskantoren zijn niet-beursgenoteerde ondernemingen en vallen daarom niet onder de SOx-wetgeving of de Nederlandse corporate governance code (Monitoring Commissie Corporate Governance Code, 2009) en zijn niet verplicht hun systeem voor interne beheersing conform deze wetten in te richten (zie ook Commissie Corporate Governance (2003), Houwelingen (2005) en Nederlandse Vereniging van Banken (2009)). Echter, omdat veel cliënten van accountantskantoren wel deze verplichtingen hebben leggen zij zichzelf veelal wel vergelijkbare eisen op. Binnen de eigen interne controlesystemen zijn onderdelen sterk gebaseerd op vereisten uit de SOx-wetgeving. Ook wetgeving die specifiek voor hun cliënten geldt, zoals de Code Banken (Nederlandse Vereniging van Banken, 2009), zal invloed hebben op de interne controlesystemen van accountantskantoren. Het interne beheersingssysteem van accountantskantoren in Nederland dient wel invulling te geven aan vereisten vanuit de van toepassing zijnde wetgeving. Dit zijn naast de algemene wetgevingen, zoals de privacywetgeving en de Wet op de computercriminaliteit, de specifieke accountancywetgeving, de Wta (Wet toezicht accountantsorganisaties) en Bta (Besluit toezicht accountantsorganisaties), en de daaraan gelieerde uitwerkingen en bepalingen, en voor een belangrijk deel ook de Wft (Wet op het financieel toezicht). De Wta en Bta zijn specifiek van toepassing voor accountantsdiensten zelf en de Wft voor financiële adviesdiensten. In de genoemde wetten wordt gesproken over een stelsel van kwaliteitsbeheersing. De interne controle is een belangrijk element van het kwaliteitssysteem. Wetsartikelen met betrekking tot kwaliteitsbeheersing zijn onder andere: Wta Art.18, lid 1. 1. De accountantsorganisatie beschikt over een stelsel van kwaliteitsbeheersing. 2. Het stelsel van kwaliteitsbeheersing is zodanig ingericht dat de werkzaamheden betreffende een wettelijke controle te allen tijde plaatsvinden onder de verantwoordelijkheid van een externe accountant. 3. Bij of krachtens algemene maatregel van bestuur worden met het oog op de bevordering van het vertrouwen in de financiële markten, de waarborging van het publieke belang van de accountantsverklaring en het toezicht op de naleving van de bij of krachtens deze wet gestelde regels, regels gesteld ten aanzien van de kwaliteitsbeheersing en het stelsel van kwaliteitsbeheersing.
De maatregelen van bestuur zoals genoemd in Art.18 lid 3 zijn onder andere uitgewerkt in: Bta Art. 8. 1.Een accountantsorganisatie voert een beleid ten aanzien van het stelsel van kwaliteitsbeheersing. 2.Het stelsel van kwaliteitsbeheersing bevat procedures, beschrijvingen en standaarden als bedoeld in de artikelen 11, tweede lid, en 16, die ten doel hebben de naleving door de accountantsorganisatie te waarborgen van de bij en krachtens de artikelen 14 tot en met 24 van de wet gestelde regels. 3.De accountantsorganisatie legt het in het eerste lid bedoelde beleid en het stelsel van kwaliteitsbeheersing schriftelijk vast. 4.De accountantsorganisatie bewaart het stelsel van kwaliteitsbeheersing en de schriftelijke vastlegging van het beleid, bedoeld in het eerste lid gedurende ten minste zeven jaren nadat zij zijn vastgelegd.
11
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
5.De accountantsorganisatie deelt het in het eerste lid bedoelde beleid en het stelsel van kwaliteitsbeheersing mede aan haar medewerkers en maakt dit voor hen toegankelijk.
Door de toenemende betekenis van IT voor de organisatie en voor het interne beheersingssysteem neemt het belang toe voor accountantskantoren om aan te tonen dat hun kwaliteitssysteem voor IT goed functioneert en dat ze daarmee ‘in control’ zijn over het gebruik en beheer van hun IT, de geautomatiseerde informatieverwerking.
3.2
Outsourcing en IT-ontwikkelingen In de inleiding is aangegeven dat diensten die accountantskantoren leveren en de activiteiten die ze daarvoor uitvoeren sterk aan verandering onderhevig zijn als gevolg van de brede maatschappelijke discussie en de financieel-economische crisis. Nieuwe diensten worden aangeboden en activiteiten worden meer en meer uitbesteed. De onderzoeksvraag richt zich op de veranderingen van de IT-omgeving als gevolg van het uitbesteden. Behalve door het uitbesteden van bestaande activiteiten verandert de IT-omgeving echter ook sterk als gevolg van de nieuwe diensten en het gebruik van IT daarbinnen. Deze nieuwe diensten en nieuwe IT gaan veelal ook weer gepaard met uitbesteding. Tevens vormen de nieuwe ontwikkelingen IT-gerelateerde risico’s die specifiek zijn voor de huidige ontwikkelingen binnen de kantoren. Daarom worden in dit hoofdstuk niet alleen ontwikkelingen beschreven die direct gerelateerd aan outsourcing of een directe outsourcing Enabler zijn (paragraaf 3.2.1 en 3.2.2), maar ook enkele nieuwe diensten (paragraaf 3.2.3).
3.2.1
Sourcing Onder de noemer sourcing vallen een aantal ontwikkelingen die de laatste jaren binnen accountantskantoren plaatsvinden en zich naar verwachting ook de komende jaren zich zullen voortzetten (o.a. Dijken-Eeuwijk, M. van, 2009). Een ontwikkeling die al langer gaande is, is het gebruik van shared services. In het verleden hadden accountantskantoren sterk nationaal ingerichte processen, deels ingegeven door de nationale wet- en regelgeving en door de wens om nationaal onafhankelijk te blijven binnen het internationale samenwerkingsverband. Inmiddels hebben alle kantoren verschillende interne ontwikkelingen doorgemaakt waarbij firma’s uit verschillende landen binnen de organisatie zich als doel stelden de ondersteunende diensten te integreren en waar mogelijk via shared service centra internationaal aan te bieden. Tevens zijn er binnen vrijwel alle kantoren initiatieven gaande om ook primaire processen, (controlewerkzaamheden) centraal aan te bieden binnen de internationale organisatie. Daar waar het in het verleden vanuit wet- en regelgeving en eigen regelgeving niet mogelijk werd geacht controleactiviteiten te outsourcen – of co-sourcen, of off-shoren – worden nu controleactiviteiten ook in andere landen uitgevoerd. In verband met wet- en regelgeving zijn dit voor controle activiteiten firma’s in andere landen binnen dezelfde internationale organisatie. Outsourcing van activiteiten van andere (advies)activiteiten wordt op dezelfde wijze benaderd als dat organisaties binnen andere branches dat doen. Als laatste – maar voor de vraagstelling zeker niet minst belangrijke – moet het sourcen van activiteiten binnen ondersteunende processen worden benoemd. In het verleden werden veel ondersteunende processen geheel intern verzorgd. Voor een belangrijk deel werd dit ingegeven
12
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
door de gedachte dat daarmee de directe controle op de activiteiten een optimale invulling gaf aan de verplichting vanuit wet- en regelgeving om ‘in control’ te zijn over de eigen informatievoorziening. Door de huidige ontwikkelingen zijn accountantskantoren genoodzaakt om voor de ondersteunende processen en activiteiten binnen de primaire processen dezelfde keuzes te maken als andere commerciële organisaties. Binnen de kantoren zijn de verschillende vormen van sourcing de laatste jaren sterk toegenomen: outsourcen, co-sourcen, off-shoring en inhuur. Informatietechnologie maakt het veelal mogelijk dat tot de verschillende vormen van sourcing kan worden overgegaan. Daarnaast neemt ook het aantal activiteiten toe dat weliswaar intern plaatsvindt maar door externe medewerkers of partijen wordt uitgevoerd. Extern personeel werkt nauw samen met eigen personeel. De interne controles zijn niet of nauwelijks aangepast aan deze gewijzigde situatie. Wet- en regelgeving en de eigen regelgeving stellen eisen aan de (interne) controle over de sourcing activiteiten, zeker daar waar diensten grensoverschrijdend zijn.
3.2.2
Internet en Cloud services Het internet en het aanbieden van allerlei IT-services via internet is niet nieuw. Wel zijn er een groot aantal nieuwe services die via internet kunnen worden aangeboden. Het afnemen van allerlei diensten via internet is vergeleken met enkele jaren geleden zeer laagdrempelig. De bredere, letterlijk wereldomvattende, mogelijkheden en het gebruik van internet hebben tot gevolg gehad dat het internet voor bepaalde diensten als één groot netwerk kan worden beschouwd, aangeduid als The Cloud, naar analogie van lokale netwerken die schematisch als een wolk worden aangegeven. Er zijn vele definities van Cloud services mogelijk maar kenmerkende eigenschap is dat gebruik wordt gemaakt van hardware en software die via de internetaansluiting op aanvraag beschikbaar is net zoals elektriciteit via het stopcontact beschikbaar is. Niet ter zake doende technische en beheerdetails zijn voor de gebruiker onzichtbaar en de eigen virtuele hardware- en softwarediensten zijn eenvoudig schaalbaar. Vanuit riskmanagementperspectief zijn Cloud services niet geheel nieuwe risico’s voor een organisatie. De IT-aspecten van de diensten zijn in basis ook niet nieuw, alleen betreft het veelal een specifieke invulling met een andere verdeling van risico’s. Cloud computing, zoals het gebruik van de virtuele hardware en software wordt genoemd, is in principe enkel een specifieke wijze van outsourcing en/of hosting zoals organisaties dat al langer kennen. Cloud services veranderen wel het risicoprofiel (zie o.a. COSO, June 2012). De term Cloud wordt in vele verschillende contexten gebruikt, van een netwerk van wereldwijde datacentra voor publieke diensten tot aan een fysiek gescheiden private server bij een leverancier. Voor bepaling van de risico’s is het van groot belang de specifieke kenmerken van de verschillende Clouddiensten goed te onderkennen. Er zijn vele soorten Cloud computing- diensten. De meest bekende zijn wel IaaS, PaaS en SaaS. Een volledige opsomming geeft nog eens duidelijk aan dat het in principe alle IT-diensten kunnen zijn die voorheen over lokale netwerken of op lokale systemen beschikbaar waren (bron: wikipedia.org): IaaS – Infrastructure as a service
PaaS – Platform as a service
SaaS – Software as a service
NaaS – Network as a service
STaaS – Storage as a service
SECaaS – Security as a service
DaaS – Data as a service, Desktop as a service
DBaaS – Database as a service
TEaaS – Test environment as a service
APIaaS – API as a service
13
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
BaaS – Backend as a service
IPaaS – Integrated platform as a service
IDEaaS – Integrated development environment as a service
De ontwikkelingen van diensten die via internet beschikbaar zijn en van invloed zijn op de risicobeheersing voor organisaties beperkten zich echter niet tot deze IT-infrastructurele diensten. Ook ontwikkeling van internetapplicatiediensten heeft een grote invloed op het risicoprofiel van organisaties. Voorbeelden zijn de verschillende social media waarvan het gebruik een risico-uitdaging is voor organisaties. Binnen accountantskantoren vindt volop ontwikkeling plaats om deze diensten in te zetten voor realisatie van de bedrijfsdoelstellingen. Een ander voorbeeld van een nieuwe ontwikkeling waar veel aandacht voor is bij initiatieven om met gebruikmaking van IT de doelstellingen te realiseren is Crowd sourcing. Bij Crowd sourcing worden activiteiten uitbesteed aan een gedistribueerde groep van veelal onbekende mensen, bijvoorbeeld door op internetfora naar oplossingen te vragen voor problemen.
3.2.3
IT-ontwikkelingen Big Data Onder Big Data worden gegevensverzamelingen verstaan die zeer omvangrijk zijn en zeer complex waardoor verwerking met gebruikelijke applicaties en databasesystemen zeer moeilijk is. De ontwikkelingen in de IT maken het mogelijk om steeds grotere hoeveelheden gegevens te verwerken en te gebruiken. Dit zijn ontwikkelingen op het gebied van gegevensopslag, ontsluiting van systemen, zoekmethoden, distributie van gegevens, analysemethoden en presentatiewijzen. Belangrijkste doelen die met Big Data-ontwikkelingen worden gesteld zijn het inzichtelijk maken van (gemeenschappelijke) trends over verschillende datasets heen. In het geval van accountants kan daarbij worden gedacht aan trends in de financiële rapportages van cliënten binnen een bepaald branche, waarvan de resultaten weer kunnen worden meegenomen in advieswerkzaamheden voor cliënten. Een ander voorbeeld is het efficiënter en effectiever inrichten van de eigen controlewerkzaamheden door statistieken en trends te analyseren over alle elektronische dossiers heen. De analyse zou bijvoorbeeld duidelijk kunnen maken dat bepaalde werkzaamheden relatief veel tijd kosten maar tegelijkertijd sterk repeterend zijn en dus minder de specifieke kennis vergen waarvoor de cliënt juist bij dat betreffende kantoor de opdracht gunt. Bij juiste invulling van vereisten vanuit wet- en regelgeving zouden deze werkzaamheden vervolgens uitbesteed kunnen worden. Een bruggetje naar een andere trend die ook door accountantskantoren wordt omarmd: uitbesteding, of in bredere zin, (re)sourcing van activiteiten. Het Nieuwe Werken Onder Het Nieuwe Werken wordt over het algemeen verstaan de wijze waarop men in de 21e eeuw invulling geeft aan het werken, in een organisatievorm die zich onderscheidt van de meer traditionele vorm op gebieden als de onafhankelijkheid van plaats en tijd, de wijze van samenwerken en gebruikmaking van elkaars kennis en ervaring, het consequent sturen op
14
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
resultaat en flexibiliteit van de arbeidsrelatie. Ook het gebruik van social media kan hiertoe worden gerekend (Reezigt, 2012). Het Nieuwe Werken wordt in grote mate mogelijk gemaakt door nieuwe technieken waardoor we op elk moment en overal verbonden kunnen zijn met elkaar, overal en op vele manieren toegang hebben tot de services en gegevens van de organisatie en tot een grote hoeveelheid nieuwe IT-diensten (‘any-time, any-place’ en ‘any-device’). Daarbij kan worden gedacht aan: breedband/glasvezel tot de voordeur, Infrastructure-, Platform- en Software-as-a-Service, Cloud services, mobile devices en de scheiding tussen privé en zakelijk, of beter gezegd het verdwijnen daarvan. Het Nieuwe Werken heeft ook een grote invloed op het ‘wat’ en ‘hoe’ van de interne controle van internal IT-auditing. We kunnen de controlemaatregelen allang niet meer baseren op aannames zoals de kantooruren van 9 tot 5, netwerkkoppelingen via dedicated datalijnen als enige datakoppelingen, of controle van dataexport enkel en alleen via floppy-disks en PSTNverbindingen (telefoonlijnen)-controles. XBRL en SBR Een ontwikkeling waar organisaties in de financiële dienstverlening gebruik van kunnen maken om de processen efficiënter en effectiever in laten verlopen zijn die rond het gebruik van XBRL (eXtensible Business Reporting Language. XBRL International 2012) en in Nederland met name die van het SBR (Standard Business Reporting)-Programma van de overheid (Nederlandse Overheid, 2012). XBRL is een wereldwijde standaard gebaseerd op de XML (eXtensible Markup Language)standaard waarin syntaxregels zijn gedefinieerd voor de opmaak van teksten zodat deze zowel voor machines interpreteerbaar zijn én door mensen kunnen worden gelezen. De bekendste opmaaktaal is HTML (Hyper Text Markup Language), evenals XML opgesteld door het World Wide Web Consortium. XBRL is een brede standaard en beschrijft op generieke wijze hoe vanuit algemene regels voor syntax en semantiek financiële gegevens kunnen worden vastgelegd. Additionele standaards zijn nodig om aan te geven hoe – en met welk doel – deze gegeven vervolgens worden gerapporteerd. Momenteel zijn hiervoor de internationale standaarden XBRL FR (Financial Reporting) en XBRL GL (General Ledger) opgesteld. Met XBRL FR kunnen externe financiële rapportages worden opgesteld en uitgewisseld, zoals de rapportage opgesteld door accountants in het kader van de controle op het financieel jaarverslag. XBRL FR werd als eerste uitgewerkt en gebruikt, en wordt veelal bedoeld als wordt gesproken over XBRL. De standaard voor vastlegging en rapportage van grootboekgegevens (XBRL GL) biedt de mogelijkheid om alle gegevens uit het grootboek vast te leggen en te rapporteren. Op basis van de XBRL (FR)-standaard heeft de Nederlandse overheid de Nederlandse Taxonomie gedefinieerd in de NTA (Nederlandse Taxonomie Architectuur (NTA)) en de FRIS NL (Financial Reporting Instance Standaard) die voor alle Nederlandse XBRL instances (ingevulde rapportages op basis van XBRL) moet worden gebruikt. Binnen de FRIS NLstandaard zijn er voor elk domein specifieke eisen voor XBRL instances vastgelegd. Domeinen zijn gebieden waarop een uitvragende partij – een partij voor wie de rapportage wordt opgesteld – aanvullende eisen stelt. Op dit moment zijn de volgende domeinen gedefinieerd: •
FRIS BD (Belastingdienst) voor het doen van fiscale aangiftes en opgaven.
15
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
•
FRIS CBS (Centraal Bureau voor de Statistiek) voor het aanleveren van statistiekberichten.
•
FRIS KvK ten behoeve van het deponeren van een jaarrekening bij het Handelsregister van de Kamer van Koophandel.
Het is evident dat internationale en nationale standaardisering van financiële gegevens veel voordelen oplevert, de effectiviteit en efficiency verhoogt en invulling kan geven aan de veranderende doelstellingen van accountants. Voordelen zijn onder andere (zie ook Stichting XBRL Nederland (2012 en 2006), ‘Waarom XBRL belangrijk is voor accountants’): •
hogere kwaliteit van informatie door koppeling van systemen, minder handmatige verwerkingen, automatische validaties en audit trails;
•
betere en sneller uitwisseling, mede doordat het mogelijk is specifieke items uit te wisselen, dit in principe realtime kan plaatsvinden en door geautomatiseerde vastlegging een hogere transparantie wordt verkregen;
•
betere analyses: grondiger, altijd op de volledig beschikbare dataset, op vele verschillende wijzen, vaker, eenvoudiger en tegen geringere kosten;
•
betere (interne) communicatie en efficiëntere bedrijfsprocessen door koppeling van eigen systemen en die van andere partijen.
De gevolgen van toepassing van XBRL voor accountantskantoren is dat huidige (controle) processen aangepast zullen moeten worden, dat meer gebruik zal worden gemaakt van geautomatiseerde verwerkingen en elektronische dossiervorming en dat het belang van een goede beveiliging van informatiesystemen toeneemt, inclusief tijdige beschikbaarheid en de (interne) controle daarop. Integrated Reporting In de inleiding is aangegeven dat de kantoren hun dienstverlening gaan verbreden. In dat kader is ook de ontwikkeling van Integrated Reporting van belang. Als gevolg van de financiële schandalen is er meer zekerheid gewenst in de jaarverslagen van ondernemingen. Wereldwijd wordt gewerkt aan verbeterde normen voor jaarverslaggeving, de Integrated Reporting (Fédération des Experts comptables Européens, 2012). In deze nieuwe normen zal ook gerapporteerd worden over niet-financieel kapitaal van de onderneming: “Intellectual, Natural, Human, Social and Manufactured Capital” (IIRC, 2011). Ondernemingen rapporteren nu al in toenemende mate over niet-financiële zaken in hun jaarverslag. Ook accountantskantoren zelf volgen deze ontwikkeling, zie Deloitte (augustus 2012) en KPMG N.V. (december 2012). Een bestuur zal in de toekomst niet meer kunnen volstaan met enkel een verklaring van de accountant over het waarheidsgetrouw zijn van het financieel jaarverslag. De accountant zal moeten rapporteren over meerdere kapitaalvormen of rapportages van derden over nietfinancieel kapitaal zullen op juiste wijze moeten worden opgenomen in een overkoepelende verklaring. De accountant zal verklaringen over andere kapitaalvormen in juiste verhouding en samenhang met het financieel kapitaal moeten kunnen plaatsen. De accountant zal verplicht worden tot opbouw van kennis en expertise over andere kapitaalvormen en tot samenwerking met andere experts en auditors (de bredere professionalisering).
16
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De ontwikkeling naar Integrated Reporting is niet direct gerelateerd aan de rol of de werkzaamheden van internal IT-auditing, maar net zoals de accountants andere en bredere expertise zullen moeten kunnen gebruiken in het kader van het geïntegreerde jaarverslag, zo zal internal auditing ook zijn werkveld moeten verbreden om toe te zien op de interne beheersing van niet-financiële zaken waar het bestuur een verklaring over aflegt in het geïntegreerde jaarverslag. Dossiers Voor verwerking van de controledossiers maken de kantoren gebruik van hun eigen, grotendeels internationaal gestandaardiseerde, systemen. Controleprocessen zullen continu verder geautomatiseerd worden en verschillende ondersteunende functies zullen in deze systemen worden geïntegreerd. De specifieke ontwikkelingen zoals hiervoor genoemd zullen ook van invloed zijn op de ontwikkeling van deze systemen.
3.3
Internal IT-auditing
3.3.1
IT-auditing Voor beschrijving van het werkgebied IT-auditing is veel literatuur beschikbaar en zijn goede richtlijnen, gedragcodes en reglementen voor de beroepsgroep beschikbaar. Voor een korte beschrijving van de voor de vraagstelling relevante aspecten van IT-auditing is een beschrijving van het vakgebied nodig die de kernaspecten en hun onderlinge samenhang beschrijft, overeenkomstig de richtlijnen van NOREA 3. Hiervoor wordt als leidraad uitgegaan van de hoofdstukken Inleiding, Beginselen en Organisatie van IT-auditing in het boek Grondslagen ITauditing (Fijneman R. et al., 2011) aangevuld met andere literatuur vanuit beroepsgroepen, VUcollegemateriaal en specifieke artikelen. De IT-auditingaspecten zijn weergegeven in bijlage A. Definitie Vanuit beroepsgroepen wordt er geen exacte, breed gedragen, definitie gegeven van een ITaudit. Wel wordt een omschrijving gegeven van de vakgebieden auditing en IT-auditing. Voor auditing is dat (Fijneman R. et al., 2011): Auditing is de functie of het proces om een bepaald object van onderzoek (subject matter) te onderzoeken, met als doel een conclusie te vormen over één of meer eigenschapen ervan. Om conform internationale (Angelsaksische) definities te blijven dient bij uitvoering van een audit gesproken te worden over een assuranceopdracht. De term ‘audit’ is daarbij voorbehouden aan jaarrekeningcontroles. Een assuranceopdracht wordt als volgt gedefinieerd: An assurance engagement is an engagement in which a practitioner expresses a conclusion designed to enhance the degree of confidence of the intended users other than the responsible party about the outcome of the evaluation or measurement of a subject matter against criteria. Een IT-audit kan dus worden aangeduid als een assurance engagement waarbij het onderzoeksobject (subject matter) IT-gerelateerd is, oftewel een IT-object zijnde een onderdeel 3
Nederlandse Orde van Register EDP-Auditors, de beroepsvereniging van IT-auditors in Nederland.
17
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
van de geautomatiseerde informatievoorzieningen die door een organisatie worden gebruikt voor realisatie van haar bedrijfsdoelstellingen. Echter, in tegenstelling tot de financiële audit worden IT-gerelateerde non-assurance engagements zoals adviseringsonderzoeken ook vaak aangeduid als IT-audit. IT-auditing wordt ook aangeduid als een managementinstrument voor het beoordelen en adviseren over realisatie, beheer en gebruik van IT. Het is tevens een instrument om het verschil in kennis tussen de leiding van een organisatie en de IT/automatisering te overbruggen of te verkleinen. Het vakgebied IT-auditing wordt als volgt gedefinieerd (Handboek EDP Auditing, NOREA): IT-auditing is het vakgebied dat zich bezighoudt met het beoordelen van, danwel adviseren over één of meer kwaliteitsaspecten van (onderdelen van) de informatievoorziening in een omgeving waar wordt gebruikgemaakt van informatietechnologie. Deze definities vormen de basis voor nadere invulling van de rol van internal IT-auditing. Ze bevatten de elementen die voor een IT-audit van belang zijn: •
Het betreft drie partijen.
•
Er is een IT-gerelateerd onderzoeksobject.
•
Er dienen toepasbare normen/criteria te zijn.
Deze en andere elementen, waaronder de toereikendheid van assurance-informatie en de auditrapportage, worden in bijlage A beschreven.
3.3.2
Internal auditing In de Position Paper van de IIA van 2005 worden 16 standpunten onderbouwd voor een goede uitoefening en positionering van de interne auditfunctie (IAF). In de 2008-versie zijn deze standpunten als grondbeginselen opgenomen (paragraaf 3.3.3) en wordt een beeld gegeven van de gewenste dienstverlening van de IAF geactualiseerd naar de veranderende eisen aan de governance van organisaties (paragraaf 3.3.4). Verdere literatuur die in het onderzoek is gebruikt betreft: Sawyer (2005), de Korte (2012) en Doughty (2011). Internal audit-diensten worden ook door de kantoren zelf aangeboden (Deloitte, september 2012; KPMG N.V., december 2012; PwC, september 2012). Definities De internationaal aanvaarde definitie van internal auditing is (IIA): Internal auditing is an independent, objectivec) assurance and consultinge) activityb) designed to add valuea) and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluateb) and improve the effectiveness of risk management, control and governanced) processes. Toelichting op de vet aangegeven termen en om tot een definitie van internal IT-auditing te komen:
18
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
a)
In vergelijking met de definities in de voorgaande paragraaf komt zoals verwacht in deze definitie het interne karakter van de IAF naar voren door het benadrukken van verbeteringen en toegevoegde waarde voor de (interne) bedrijfsprocessen.
b)
Waar bij de auditfunctie of het auditproces het onderzoek naar kwaliteitsaspecten van een object centraal staat, worden bij internal auditing de activiteit en werkwijze ter evaluatie en verbetering van de effectiviteit van processen van interne controle (risicomanagement, besturings- en toezichtsprocessen) als primair doel gesteld.
c)
De termen ‘onafhankelijk’ (en ‘objectief’) lijken in eerste instantie niets toe te voegen vergeleken met de auditdefinitie, omdat dit al vereisten zijn voor de auditor (en ITauditor). In het kader van de interne functie van internal auditing wordt hiermee echter expliciet aangegeven dat de interne auditor onafhankelijk (en objectief) zijn activiteiten verricht en dus niet aangestuurd (en/of beïnvloed) dient te worden door andere organisatieonderdelen of lijnverantwoordelijken/managers. De onafhankelijkheid van de interne auditor ten opzichte van het bestuur kan worden vergeleken met die van de auditor ten opzichte van de opdrachtgever in de definitie van auditing. Het bestuur (de opdrachtgever) geeft de IAF middels het jaarplan of specifieke opdrachten (de engagement) de opdracht om tot een oordeel te komen over het interne controlesysteem (het onderzoeksobject). Hoe de onafhankelijkheid ten opzichte van bestuursleden gerealiseerd dient te worden wordt in de Grondbeginselen voor Internal Auditing aangegeven.
d)
In de definitie wordt over ‘risk management, control and governance’ gesproken. IIAdefinities hiervan zijn: Control: Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. Risk Management: A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives. Governance: The combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives.
Gecombineerd met de in paragraaf 3.4 en bijlage B gegeven beschrijving van interne beheersing kan deze combinatie van termen worden aangeduid als het stelsel van processen voor, of het systeem van, interne beheersing. Een Nederlandstalige definitie van internal auditing kan dan als volgt luiden: Internal auditing is de functie of het proces om onafhankelijk (en objectief) te oordelen en te adviseren over (interne) bedrijfsprocessen met als doel deze te verbeteren en er waarde aan toe te voegen. Het ondersteunt een organisatie bij realisatie van haar doelstellingen door de effectiviteit van het interne beheersingssysteem op een systematische en gedisciplineerde wijze te evalueren en te verbeteren. e)
Het belang van informatietechnologie voor organisaties, en daarmee het belang van ITauditing binnen het interne controlesysteem (internal IT-auditing), wordt door alle IC-, ERM- en auditingstandaarden onderkend. Voor een definitie van internal IT-auditing is het gebruik van de termen ‘assurance and consulting’ van belang. Het gebruik van deze termen in de IIA-definitie komt voort uit het feit dat audit in de Angelsaksische literatuur is voorbehouden aan controles in kader van de jaarrekening. In de definitie van IT-auditing worden als activiteit het ‘beoordelen van, danwel adviseren
19
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
over’ genoemd. Daarmee sluit de definitie van internal auditing aan bij de definities van IT-auditing. Internal IT-auditing kan dan ook als volgt worden gedefinieerd. Internal IT-auditing is de functie of het proces binnen internal auditing dat zich bezighoudt met het beoordelen en adviseren over IT-gerelateerde bedrijfsprocessen. IT-audits Internal auditing-activiteiten bestaan voor een groot deel uit het verrichten van interne audits, inclusief IT-audits. Onderzoeken naar kwaliteitsaspecten van (IT-)objecten kunnen echter ook door andere functies dan internal auditing worden uitgevoerd. Als deze onderzoeken ITgerelateerde objecten betreffen, zullen ze als IT-audits aangeduid kunnen worden ongeacht of dit oordelende of adviserende onderzoeken zijn (of assurance-, advies- of OSW-opdrachten). Doordat de term ‘audit’ in de (Angelsaksische) definities is gekoppeld aan een assuranceopdracht kan voor andere gebieden dan IT niet zondermeer worden gesteld dat onderzoeken als audit kunnen worden aangemerkt. Dit is van belang bij de interne afstemming over de betekenis van IT-audits en de rol van internal IT-auditing. Voor niet-financiële onderzoeken zullen verantwoordelijke onderdelen of andere assurancefuncties zelf onderzoeken laten uitvoeren waarbij internal auditing het algehele systeem van interne controle waarbinnen deze onderzoeken plaatsvinden onderzoekt. Jaarrekeningcontrole Voor onderzoeken in het kader van de jaarrekening wordt de rol van internal auditing duidelijk vastgelegd in auditing- en internal audit-standaarden. Werkzaamheden van internal auditing – vroeger ook in de rol van interne accountant – kunnen ondersteunend zijn voor de externe accountant. Voor deze of andere interne financiële onderzoeken zal het primaat blijven liggen bij de interne accountant binnen internal auditing. Externe auditor Net als van oudsher gold voor onderzoeken van internal auditing in het kader van de jaarrekening, zullen niet-financiële audits uitgevoerd door internal auditing ondersteunend kunnen zijn voor de externe auditor die de waarheidsgetrouwheid van het jaarverslag dient te beoordelen, inclusief de niet-financiële aspecten van dit jaarverslag (zie ook paragraaf 3.2.3, Integrated Reporting).
3.3.3
IIA-grondbeginselen De door IIA beschreven grondbeginselen van internal auditing zijn: Functie en taak van internal audit 1.
De functie van internal audit bestaat uit het geven van aanvullende zekerheid aan de bestuurder en het management van een organisatie over de effectiviteit en de beheersing van de bedrijfsvoering.
20
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
2.
De taak van de internal audit-functie is het evalueren van de beheersing van de bedrijfsvoering door het uitvoeren van audits, het rapporteren en adviseren hierover aan het verantwoordelijke management en de auditcommissie, en het afleggen van verantwoording aan de bestuurder.
Deskundigheid en professionaliteit 3.
De internal audit-functie voldoet aan de normen en standaarden van een of meer in Nederland erkende en gezaghebbende beroepsorganisaties.
4.
Binnen de internal audit-functie is voldoende specialistische kennis aanwezig.
5.
De internal audit-functie ontwikkelt en onderhoudt een kwaliteitsbeheersingssysteem dat doorlopend de naleving van de normen en standaarden van de beroepsorganisaties bewaakt.
Positionering en objectiviteit 6.
De bestuurder van de organisatie benoemt het hoofd van de internal audit-functie.
7.
Na bespreking met de auditcommissie stelt de bestuurder de taakopdracht van de internal audit-functie vast. Deze taakopdracht is gebaseerd op het risicoprofiel van de organisatie en is in samenhang met de taak van de externe accountant bepaald.
8.
De taakopdracht van de internal auditor is door de bestuurder in een audit charter vastgelegd en binnen de organisatie aan het management bekendgemaakt, nadat de auditcommissie hierin door de bestuurder is gekend. In dit charter zijn ook de zaken geregeld die voor de uitvoering van de taakopdracht van belang zijn.
9.
De internal auditor woont de vergaderingen van de auditcommissie bij en op uitnodiging de vergaderingen van de raad van commissarissen. Hij heeft de bevoegdheid om in voorkomend geval in overleg te treden met de voorzitter van de auditcommissie en/of de raad van commissarissen.
10.
De internal auditor zal de daadwerkelijke invoering van zijn aanbeveling bevorderen, zonder daarbij in zijn adviserende rol afbreuk te doen aan zijn objectiviteit.
Toezicht op de internal audit-functie 11.
De internal auditor legt periodiek zijn auditplanning en realisatie ter beoordeling en ter goedkeuring aan de bestuurder voor.
12.
De auditcommissie behandelt de planning, realisatie en rapportage van de internal auditor in aanwezigheid van de bestuurder en de internal auditor.
13.
De opdrachtgever van de externe accountantscontrole vraagt aan de externe accountant om in zijn managementletter expliciet aandacht te schenken aan de taakuitoefening van de internal audit-functie.
De relatie met andere interne assurancefuncties 14.
Het behoort tot de taak van de internal audit-functie om de opzet en werking van verbijzonderde assurancefuncties te beoordelen.
21
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De samenwerking tussen de internal auditor en de externe accountant 15.
De externe accountant en de internal auditor werken, met inachtneming van hun specifieke taakopdracht, optimaal samen.
De interne certificering 16.
3.3.4
De bestuurder van de organisatie bepaalt in welke mate de internal auditor betrokken is bij de financial audit. Deze betrokkenheid kan zover gaan dat de internal auditor als (register)accountant een interne accountantsverklaring afgeeft.
Ontwikkelingen binnen corporate governance In deze paragraaf worden de voor de onderzoeksvraag relevante ontwikkelingen binnen corporate governace besproken aan de hand van het document De Internal Auditor in Nederland; Position Paper Update 2008 van de IIA. De ontwikkelingen die de IIA constateert, en op grond waarvan een update nodig was van de Position Paper uit 2008, komen overeen met ontwikkelingen van governance- en risicomanagementraamwerken (bijlage B). Hierbij een opsomming van de punten die de IIA aanreikt: •
toename van de dynamiek en complexiteit van de bedrijfsvoering, met name de toename in nationale en internationale samenwerkingsverbanden en opkomende markten en verschillende culturen;
•
grotere afhankelijkheid van IT en gebruik van verschillende sourcing modellen voor IT;
•
de complexer wordende wet- en regelgeving en de sterke vraag vanuit de maatschappij om daar aan te voldoen, inclusief het maatschappelijk verantwoord ondernemen;
•
een sterkere concurrentie die vraagt om efficiëntie, korte levertijden en klantgerichtheid;
•
de eis naar grote transparantie, inclusief verantwoording over niet-financiële aspecten van interne beheersing.
De eisen die aan de governance van organisaties, en daarmee aan de dienstverlening door de interne auditfunctie (IAF), worden gesteld nemen toe. De van oorsprong op de financiële, en later operationele, processen gerichte werkzaamheden van de IAF veranderen. Bestuurders wordt in toenemende mate gevraagd niet-financiële systemen te evalueren en daarover te rapporteren. De IAF dient proactiever te zijn en dient meer te kijken naar het managen van risico’s en bijbehorende controls, ook niet-financiële risico’s, inclusief soft controls (sociaalorganisatorische controls). Andere nieuwe werkgebieden die worden genoemd zijn project- en programmamanagement, integriteit en compliance, human resource en duurzaam ondernemen. Als gevolg hiervan wijzigt ook de auditaanpak. Nieuwe vormen van auditing worden aangeduid met risk based-auditing, waarbij de onderzoeken worden afgestemd op specifieke risico’s en zorgpunten, en integrated auditing, waarbij de bedrijfsdoelstellingen als uitgangspunt worden genomen (in tegenstelling tot de financiële rapportage) en waarbij resultaten van audits per discipline (zoals IT-audits) worden gecombineerd. Een onderdeel van interne beheersing waarover de IAF moet oordelen en dat meer nadruk heeft gekregen is het proces van risicomanagement. Naast het beoordelen van de efficiëntie van bestaande risicomanagementmaatregelen dient de IAF de vraag te beantwoorden of de
22
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
maatregelen voldoende zekerheden bieden en of de juiste risico’s worden beheerst. Tevens dient de IAF te adviseren over verbeteringen. Deze wijziging van focus wordt door de IIA gerelateerd aan de noodzaak van control (risk) self assessments in de eerste (en tweede) defensielaag (zie paragraaf 3.3.5). De expertise van de IAF wordt ook breder gebruikt. Zij oordeelt en adviseert niet alleen over operationele processen en of deze conform gestelde eisen zijn verricht, maar ook over tactische en strategische processen waarbij niet over uitvoering van processen in een afgesloten periode of op een bepaald moment wordt geoordeeld, maar ook over verwachtingen op korte en lange termijn en welke aanpassingen op grond daarvan moeten plaatsvinden aan het interne beheersingssysteem. In antwoord op de geconstateerde toename in de afhankelijkheid van IT onderkent de IIA in de nieuwe Position Paper nu ook IT-audits als één van de meest voorkomende audits uitgevoerd door de IAF (naast de operationele, compliance en financiële audits). Verder wordt in de Nederlandse corporate governance code (Commissie Corporate Governance, 2009) en door NIVRA (2010) aangegeven dan de internal audit-functie IT moet beoordelen. De Code geldt weliswaar voor banken en niet voor accountantskantoren, maar zal toch invloed hebben op het interne beheersingssysteem. In de essentiële rol die de IAF heeft ten aanzien van aan andere partijen (tabel 3.1) is een kleine nuance te signaleren vergeleken met de grondbeginselen. Zo levert de IAF in essentie additionele zekerheid aan de auditcommissie, terwijl dit in Grondbeginsel 2 ook advieswerkzaamheden zijn. Speler Raad van Commissarissen Auditcommissie Raad van Bestuur Lijnmanagement Assurancefuncties Externe accountant Toezichthouders
Essentie rol IAF Assurance Assurance Assurance en advies Assurance en advies Afstemming Afstemming Afstemming
Tabel 3.1 – IAF-dienstverlening aan governancespelers. De IAF treedt steeds vaker in de rol van adviseur op het gebied van interne beheersing. In dat kader wordt erop gewezen dat de IAF haar onafhankelijke en objectieve positie dient te bewaren. Zo mag zij niet binnen een jaar auditwerkzaamheden verrichten over activiteiten waar zij advieswerkzaamheden heeft uitgevoerd. De kerntaken (assurancetaken) en wel of niet toegestane adviestaken worden in een tabel opgesomd (zie tabel 3.2).
23
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Tabel 3.2 – IAF-taken (IIA). In de Position Paper wordt het drielagen-defensiemodel kort beschreven en wordt de IAF in de derde laag gepositioneerd (‘third line of defense’). Gezien het belang van dit model voor de onderzoeksvraag wordt het drielagenmodel nader toegelicht in de volgende paragraaf aan de hand van IIA Position Paper ‘The Three Lines of Defense in Effective Risk Management and Control’ (IIA, 2013). De onafhankelijkheid en objectiviteit van de IAF dient te worden gewaarborgd door de IAF ‘zo hoog mogelijk’ in de organisatie te positioneren en de vaststelling van (jaar)planrapportage uit te voeren conform de IIA-grondbeginselen.
3.3.5
Het drielagen-defensiemodel In literatuur en in gevoerde gesprekken wordt het drielagen-defensiemodel genoemd als hulpmiddel om meer duidelijkheid te creëren over de verschillende rollen en verantwoordelijkheden binnen het interne beheersings- en controlesysteem (Eng: risk management and control) van organisaties. Zie onder andere: IIA (2013) en Doughty, Ken (2011). Voor beantwoording van de onderzoeksvraag – de rol van IT-auditing – kan dit model een goed hulpmiddel zijn om de rol van IT-auditing te positioneren ten opzichte van andere functies binnen het systeem en als effectief middel om over deze rol te communiceren met alle belanghebbenden in de organisatie en om werkzaamheden te coördineren. Het model wordt in deze paragraaf toegelicht aan de hand van de IIA Position Paper ‘The Three Lines of Defense in Effective Risk Management and Control’ (IIA, 2013). In de Position Paper wordt als reden voor beschrijving van het model aangegeven dat verantwoordelijkheden binnen het interne beheersings- en controlesysteem in toenemende mate worden verspreid over verschillende specialistische functies op dit gebied. Het model ondersteunt het toewijzen van specifieke rollen, inrichting van een effectieve en efficiënte afstemming en het voorkomen van duplicatie van werkzaamheden of het voorkomen van blinde vlekken binnen het systeem.
24
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Verder wordt aangegeven dat bestaande modellen en raamwerken weinig zeggen over het toekennen van verplichtingen aan, en coördinatie tussen de verschillende functies. Wel wordt in de (latere) raamwerken aangegeven dat verantwoordelijkheden moeten worden bepaald (zie de voorbeeld RACI-matrices binnen COBIT5 for Information Security) maar een eenduidige definitie van taken en verantwoordelijkheden binnen het gehele interne beheersingssysteem wordt in geen enkel raamwerk benoemd, ook niet in de IIA Position Paper over het drielagenmodel. Met het drielagenmodel wordt wel een nadere invulling gegeven aan de structuur waarbinnen de verschillende specifieke rollen kunnen opereren. Het model wordt grafisch weergegeven als in figuur 3.1.
Figuur 3.1– Het drielagen-defensiemodel uit IIA’s Position Paper (2013).
De door IIA gegeven beschrijving van de drie lagen is hieronder weergegeven. Deze beschrijving komt in hoofdlijnen overeen met beschrijvingen in andere literatuur (zoals in Doughty 2011). De noodzaak voor 3 lagen (in plaats van bijvoorbeeld 2 lagen) wordt niet volledig verduidelijkt. Aangegeven wordt dat in uitzonderingssituaties lagen kunnen worden gecombineerd. De volgende aanbevelingen worden gedaan ten aanzien van op te volgen werkwijzen: •
Interne beheersingsprocessen dienen conform het drielagenmodel te worden gestructureerd.
•
Voor elke laag binnen het model dienen beleid en roldefinities beschikbaar te zijn.
•
Er dient duidelijk coördinatie te zijn tussen de verschillende lagen.
•
De functies binnen de verschillende lagen dienen op juiste wijze informatie te delen.
•
Combinatie van en coördinatie tussen de verschillende lagen mag niet ten koste gaan van de effectiviteit.
•
Als functies in verschillende lagen worden gecombineerd dient het management hierover te worden geadviseerd. Als de internal audit-laag niet is gerealiseerd, dient het management dit toe te lichten aan de belanghebbenden.
25
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De door de IIA aangeduide lagen zijn: Operational Management – 1st Line of Defense In deze laag vindt beheersing plaats door operationeel management als eigenaars en beheerders van de risico’s. Operationeel management is verantwoordelijk voor het onderhouden van effectieve beheersingsmaatregelen, uitvoeren van procedures en het corrigeren van (geconstateerde) tekortkomingen in de beheersing. Binnen deze laag valt ook de verantwoordelijkheid voor ontwerp, implementatie en supervisie op uitvoering van gedetailleerde procedures. Risk Management and Compliance-functies – 2nd Line of Defense Deze functies worden aangeduid als oversight functions die een mate van onafhankelijkheid hebben maar van nature managementfuncties zijn die direct kunnen interveniëren in het aanpassen en ontwikkelen van het interne beheersings- en controlesysteem. Functietypen (en hun taak) die worden genoemd zijn: •
Risk management Function: Faciliteren en toezien op de implementatie en het assisteren van de risico-eigenaren, en het organisatiebreed rapporten over risico’s.
•
Compliance Function: Toezien op specifieke risico’s zoals op wet- en regelgeving gebaseerde risico’s, en directe rapportage aan het bestuur.
•
Controlership Function: Toezien op en rapporteren over financiële risico’s.
Verder wordt een opsomming gegeven van mogelijke verantwoordelijkheden waarvan de meeste direct gerelateerd zijn aan risicomanagement. Eén verantwoordelijkheid dient hier separaat te worden benoemd omdat deze sterk gerelateerd is aan de werkzaamheden van de derde laag van internal audit, te weten: Monitoring the adequacy and effectiveness of internal control, accuracy and completeness of reporting, compliance with laws and regulations, and timely remediation of deficiencies. Internal Audit – 3rd Line of Defense De internal audit-functie biedt het bestuur en het management zekerheid over de effectiviteit van de besturing van de organisatie en het interne beheersingssysteem, inclusief de wijze waarop functies in de eerste en tweede laag de interne beheersingsdoelstellingen realiseren. In de Position Paper worden voorbeelden genoemd van onderwerpen waarover aan het management wordt gerapporteerd. Deze omvatten een breed scala aan doelstellingen, alle elementen van interne beheersing en alle onderdelen van de organisatie. External Audit en Authority - 4th and 5th Line of Defense Van externe auditor en toezichthoudende instanties wordt ook wel aangegeven dat deze in extra lagen kunnen worden gepositioneerd zoals laag 4 voor de externe auditor en laag 5 voor de toezichthoudende instanties.
26
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Voor accountantskantoren wordt laag 5 voornamelijk ingevuld door de AFM in Nederland met coördinatie binnen Europa door de ESMA (European Securities and Markets Authority), en door de SEC (Securities and Exchange Commission) en de PCAOB (Public Company Accounting Oversight Board) in de US.
3.4
IT-risicomanagement Voor uitvoering van zijn taken en voor realisatie van bedrijfsdoelstellingen maakt het management van organisaties gebruik van verschillende ondersteunende raamwerken en modellen. Een raamwerk biedt een structuur voor inrichting en gebruik van componenten en hun onderlinge relaties. In het geval van interne beheersing zijn deze componenten organisatieaspecten zoals bedrijfsdoelstellingen, processen, activiteiten en organisatieonderdelen, maar afhankelijk van de scope en de mate van uitwerking in (deel)raamwerken kunnen dat ook functies zijn of zelfs ook IT-componenten. Een raamwerk kan worden aangeduid als een model (zoals in Derksen, B. et al. (2006), ‘Modellen die werken; kwaliteit in bedrijf en informatievoorziening’). In dit onderzoek wordt de term ‘raamwerken’ aangehouden – net als in de meeste literatuur over interne beheersing – en niet ‘modellen’ omdat de raamwerken voor interne beheersing veelal verschillende soorten componenten bevatten zoals processen, doelstelling en principes, en omdat de raamwerken duidelijk een leeg chassis aanreiken zonder specifieke invullingen. De term modellen wordt in dit onderzoek gebruikt als sprake is van nadere invulling van een specifieke component van het interne beheersingssysteem. Voorbeeld van dit laatste zijn de verschillende risicomanagementprocesmodellen. In een raamwerk voor interne beheersing worden dus structuren en relaties voor het interne beheersingssysteem beschreven. In de literatuur zijn vele raamwerken beschreven die kunnen worden gebruikt binnen de interne controleprocessen, elk met een nader aangeduid doel of aspect van interne beheersing. Zo zijn er raamwerken voor sturing op het kwaliteitsproces en kwaliteitsverbetering, raamwerken voor besturing en toezicht (governance), raamwerken voor beschrijving van een specifiek aandachtsgebied binnen governance en management van een organisatie, zoals voor informatieen IT-voorzieningen, en raamwerken voor (IT-)beheerprocessen. Voor dit onderzoek zijn de raamwerken en modellen relevant die internal IT-auditing ondersteunen bij haar werkzaamheden. Dit zijn zowel algemene risk governance- en (Enterprise) Risk Management-raamwerken en -modellen en raamwerken en modellen specifiek gericht op besturing, toezicht en beheer van IT: de IT-governance-, IT-management- en information security-raamwerken. Daartoe zijn in bijlage B bestaande raamwerken voor interne beheersingsystemen binnen een organisatie beschreven. Naast de algemene governance-, interne controle- en Enterprise Risk Management- raamwerken als COSO-IC, COSO-ERM, ISO 31000 en de NIST SP800-30 zijn dat ook raamwerken die zich specifieker richten op governance en management van informatiebeveiliging (ISO 27005, ISF, NIST SP800-39) en IT (ISO 38500, NIST SP800-37, COBIT5). Binnen de verschillende raamwerken en de vertalingen daarvan worden termen gebruikt waarvan de betekenis niet binnen elke literatuurbron hetzelfde is. De gehanteerde terminologie is niet altijd eenduidig. Daarom wordt hierna de gebruikte terminologie toegelicht.
27
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
3.4.1
Terminologie De in literatuur gehanteerde terminologie is niet altijd eenduidig. Dit komt voor een belangrijk deel door de term ‘control’ welke alleen al in het Engels verschillende betekenissen heeft en waarvan de Nederlandse betekenis afhankelijk is van het werkgebied waarover men spreekt en waarover bij vertaling de nodige verwarring kan ontstaan met de betekenis van het Nederlandse werkwoord controleren. Hieronder worden de Nederlandse termen weergegeven die in dit document worden gebruikt voor vertaling van de Engelse termen, of andersom de betekenis van de in dit document gebruikte Nederlandse termen in het Engels. Indien wordt afgeweken van deze definities wordt dit expliciet aangegeven. In praktijk worden in de Engelstalige literatuur vaak combinaties van gerelateerde termen gebruikt zoals ‘Governance and Control’, ‘Risk Management and Control’ en ‘Governance Risk and Compliance. Daarom kan niet alleen worden volstaan met een vertaling van afzonderlijke termen maar worden ook gebruikte combinaties toegelicht.
Engels
Nederlands
Governance
Besturing en toezicht
Control
Toezicht
Internal Control Governance and Control Risk Management
Interne beheersing Besturing en (interne) beheersing Risicomanagement
Risk Management and Control
(Interne) beheersing, of Risicomanagement en toezicht
Enterprise Risk Management (ERM)
ERM of ondernemingsrisicomanagement
Tabel 3.3 – In het onderzoek gehanteerde vertalingen van Engelse termen. Toelichting Governance wordt door internal auditors beschreven als de verantwoordelijkheid die het management heeft naar alle belanghebbenden (stakeholders) ‘for providing authorative direction and control of the organisation’ (Sawyer, 2005), of volgens de IIA: ‘The combination of processes and structures implemented by the board to inform, direct, manage, and monitor the activities of the organization toward the achievement of its objectives’. Het Nederlandse ‘besturing’ omvat niet noodzakelijk de controlerende taak aangeduid met ‘monitoring’ of ‘control’. De vertaling ‘Besturing en toezicht’ benadert de IIA-definitie. Control wordt in het Engels als het werkwoord ‘controleren’ – of binnen het auditingvakgebied ook als ‘toezien op‘ – gebruikt en omvat als zodanig alle activiteiten die erop toezien dat wat
28
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
moet gebeuren ook daadwerkelijk gebeurt en voorkomen van wat niet is toegestaan. Het Engelse zelfstandig naamwoord ‘control’ kan voor het auditingvakgebied worden vertaald als ‘controle’ of ‘maatregel’, ofwel de middelen die controleren mogelijk maken. In algemene zin – zonder nadere aanduiding – wordt door auditors met ‘control’ het werkwoord toezien – de activiteit of het proces – bedoeld. Zo definieert Sawyer control als: ‘The employment of all the means devised in an enterprise to promote, direct, restrain, govern, and check upon its various activities for the purpose of seeing that enterprise objectives are met’, waarbij middelen (‘means’) alles kunnen omvatten, inclusief internal auditing zelf. In de definitie van ‘control’ van de IIA wordt daarnaast de rol van het management expliciet benoemd: ‘Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved.’ Hierdoor wordt ‘control’ zeer specifiek geïnterpreteerd in de organisatorische context waardoor snel verwarring kan ontstaan. Daarom wordt hier ‘control’ vertaald met ‘toezien op’ of ‘toezicht’. In andere betekenissen zoals in die van ‘maatregel’ wordt dit expliciet aangegeven. De term ‘internal control’ duidt specifiek op het gecontroleerd plaatsvinden van activiteiten en processen. De term ‘toezicht’ is hiervoor te beperkt en in de literatuur wordt deze term vrijwel altijd vertaald als ‘interne beheersing’. In de soms gebruikte term ‘interne beheersing en controle’ voegt de term ‘controle’ daarom niets toe als deze niet nader gespecificeerd wordt. Voor ‘control’ binnen ‘governance and control’ geldt hetzelfde als voor ‘control’ binnen ‘internal control’. Het duidt op het besturen en gecontroleerd laten plaatsvinden van activiteiten en processen, de (interne) beheersing. Daar waar bij vertaling van ‘governance’ specifiek ‘toezicht’ wordt toegevoegd is dit bij ‘governance and control’ al omvat in de vertaling van de term ‘control’ in ‘(interne) beheersing’. Vertaling van ‘risk management’ door risicomanagement ligt voor de hand, maar bij gebruik in relatie tot (corporate) governance en Internal Control moet wel goed worden gekeken naar wat de specifieke bron er mee bedoelt. Binnen (internal) auditing wordt een uniforme definitie gebruikt (IIA: A process to identify, assess, manage, and control potential events or situations to provide reasonable assurance regarding the achievement of the organization’s objectives) waarbij tussen de verschillende bronnen alleen kleine verschillen bestaan in de activiteiten die men specifiek benoemt. Zo benoemt Sawyer niet expliciet het ‘beoordelen’ (‘assess’). Ook de definitie van ISO (Guide 73: coordinated activities to direct and control an organization with regard to risk) en de Enterprise Risk Management-definitie van COSO II (COSO ERM, 2004) rechtvaardigen de algemene vertaling met ‘risicomanagement’. In de definitie van COSO II wordt naast ‘identificeren’ echter gesproken over ‘beheren’. De Nederlandse vertaling van ‘managen’ door ‘beheren’ – en dus ‘risk management’ door ‘risicobeheer’ – zou afbreuk doen aan het beheersingsaspect dat met risk management en met name ERM wordt bedoeld. Naar analogie van termen gebruikt voor deelgebieden van governance – zoals Information Security Governance (zie paragraaf 4.2.3. ISF, 2011) – zou kunnen worden gesproken over risk governance. Dit doet echter weer afbreuk aan het gebruik van het pure risicobeheerproces van Plan-Do-Check-Act dat ook veelal als onderdeel van ‘risk management’ wordt gezien. Met het COBIT5-raamwerk brengt ISACA hier meer duidelijkheid door een scheiding aan te brengen tussen governance (Direct-Evaluate-Monitor) en management (Plan-Build-Run-Monitor).
29
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
In de beschrijvingen van de verschillende raamwerken wordt de terminologie gebruikt van het specifieke raamwerk waarbij voor de duidelijkheid risk management recht-toe-recht-aan wordt vertaald met risicomanagement, en Enterprise Risk Management (ERM) met ERM of ondernemings-risicomanagement (Derksen B. et al., 2006). Internal control is een integraal onderdeel van ERM. Met de term ‘risk management and control’ wordt veelal het proces van ‘(interne) beheersing’ bedoeld, maar waar nodig wordt dit ook recht-toe-recht-aan vertaald met ‘risicomanagement en toezicht’. Het geheel van besturing van een organisatie, inrichting van assuranceprocessen en het toezicht wordt ook aangeduid als Governance Risk and Compliance. Er zijn vele definities van GRC (Shahim RE Dr. A., 2012). Voor de voor marketingdoeleinden geïntroduceerde term GRC zijn wel in de loop der jaren breder geaccepteerde definities verschenen waarbij hier de meest gebruikte van de OCEG (Open Compliance & Ethics Group) en de meer wetenschappelijk verantwoorde definitie van Racz (2010) worden gegeven. OCEG: GRC is a system of people, processes and technology that enables an organization to understand and prioritize stakeholder expectations; set business objectives congruent with values and risks; achieve objectives while optimizing risk profile and protecting value; operate within legal, contractual, internal, social and ethical boundaries; provide relevant, reliable and timely information to appropriate stakeholders; and enable the measurement of the performance and effectiveness of the system Racz: GRC is an integrated, holistic approach to organisation-wide governance, risk and compliance ensuring that an organisation acts ethically correct and in accordance with its risk appetite, internal policies and external regulations through the alignment of strategy, processes, technology and people, thereby improving efficiency and effectiveness.
Binnen dit onderzoek wordt compliance verder niet als afzonderlijk aspect beschouwd. Compliance is een doelstelling, een criterium en/of een risico binnen het stelsel van kwaliteitsbeheersing. De holistische benadering van governance, management en assurance zoals deze wordt beschreven door OCEG sluit aan bij de raamwerken zoals deze in de beschrijvingen in bijlage B worden gegeven. Daarom worden hier de omschrijving en het diagram van het Principled Performance-model van OCEG weergegeven.
Figuur 3.2 – OCEG’s diagram waarin de noodzakelijk holistische benadering van Governance Management en Assurance wordt aangegeven die noodzakelijk is om tot Principled Performance te komen. Principled Performance wordt omschreven als een benadering en werkwijze om de bedrijfsdoelstelling betrouwbaar te realiseren rekening houdend met onzekerheden en met integer handelen ten opzicht van zowel verplichtingen als vrijwillig (zelf) opgelegde beloftes.
3.4.2
Governance en risicomanagementraamwerken In bijlage B wordt een beschrijving van de volgende raamwerken gegeven:
30
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
•
Internal Control -
•
•
Het Internal Control-raamwerk (ICF) van COSO uit 1992 (ref. [COSO1992]) en het concept van de nieuwe versie uit 2011 (ref. [COSO2011]).
Risk Management -
Het Enterprise Risk Management (ERM)-raamwerk van COSO uit 2004, ref [COSO2004].
-
Risk Management-principes en -richtlijnen van ISO uit 2009 (ref. [ISO 31000].
-
Information Security Risk Management-standaard van ISO uit 2011 (ref. [ISO 27005]. Deze vervangt de eerste versie uit 2008).
-
Information Security Risk Management-richtlijnen van het NIST uit 2011 (ref. [NIST800-39]
(IT) (Risk) Governance -
IT Corporate Governance-standaard van ISO uit 2008 (ref. [ISO 38500]).
-
Het Information Security Governance-raamwerk van het ISF uit 2011 (ref. ISF2011]).
-
Het IT Governance en Management-raamwerk van ISACA uit 2012 (ref. [ISACA2012]).
31
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
4
Interviews, bevindingen en analyses In het onderzoek zijn interviews afgenomen met experts van de Internal Audit-afdeling van drie grote accountantskantoren (Deloitte, KPMG en PwC), de beroepsvereniging van internal auditors (IIA) en de universitaire Accounting- en Assuranceopleiding (ESAA) aan de Erasmus Universiteit Rotterdam. Verder zijn er vanuit de functie van de onderzoeker (IT en Information Security Officer) gesprekken gevoerd met diverse assurancefuncties binnen de eigen organisatie. De interviews zijn gebruikt om een beeld te krijgen van de huidige situatie ten aanzien van ontwikkelingen en de onderzoeksgebieden bij de grote accountantskantoren en om inzichten, meningen en visies van buiten de eigen organisatie te verkrijgen. In dit hoofdstuk worden per onderzoeksgebied beschouwingen gegeven van de gesprekken, worden analyses gegeven en wordt afgesloten met beantwoording van de onderzoeksvragen en met conclusies.
4.1
IT-ontwikkelingen Op de vele deelgebieden van het onderzoek is onder de geïnterviewden een grote mate van overeenstemming over de ontwikkelingen die gaande zijn. Zo worden de huidige ontwikkelingen voor de accountants beroepsgroep, de gevolgen daarvan voor de kantoren, de ontwikkelingen op het gebied van IT en de impact daarvan voor de bedrijfsprocessen door alle experts op vergelijkbare wijze verwoord. Ten aanzien van de bedrijfsprocessen kan dan ook vanuit gevoerde gesprekken worden bevestigd dat als gevolg van de veranderende omstandigheden de bedrijfsprocessen worden aangepast en meer gelijkenis vertonen met processen bij andere commerciële en internationaal opererende ondernemingen. Continue aanpassing en innovatie, maar ook kwaliteitsverbetering en robuustheid zijn een noodzaak om te overleven, ook voor de grote accountantskantoren. Ook ten aanzien van uitbesteding wordt in toenemende mate gelijkenis geconstateerd met andere commerciële ondernemingen. Bevestigd wordt dat meer en intensiever gebruik wordt gemaakt van informatietechnologie en dat nieuwe technieken sneller dan voorheen geadopteerd zullen worden, in de primaire processen én in de ondersteunende processen, en dat het belang van internal IT-auditing binnen het interne controlesysteem toeneemt en zal blijven toenemen. Tegelijkertijd wordt niet weersproken dat op dit moment internal IT-auditing in verhouding tot de bedrijfsrisico’s en de volwassenheid van andere interne controleprocessen nog achterloopt in haar ontwikkeling. Hierna wordt per ontwikkeling zoals benoemd in paragraaf 3.2 een beeld geschetst en een analyse gegeven van de ontwikkelingen binnen de grote accountantskantoren. In paragraaf 4.1.1 worden de risico’s aangegeven die voortkomen uit deze ontwikkelingen zoals deze uit het onderzoek zijn gebleken. Sourcing Binnen de grenzen van wat de wet aangeeft en wat toezichthouders toestaan worden bij de grote kantoren controleprocessen en andere primaire (advies)processen uitbesteed en/of lopen er initiatieven om tot (verdere) uitbesteding over te gaan. Het primaire doel van deze uitbesteding is om de kosten van de eigen diensten te reduceren en om bij lagere marges op de diensten de
32
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
omzet te kunnen verhogen. De uitbesteding heeft vele vormen en omvat ook off-shoring en resource sharing binnen de internationale organisatie. Hetzelfde geldt voor ondersteunende processen die meer centraal en in shared service centra binnen de internationale organisatie worden aangeboden. Ten aanzien van de centralisatie moet wel worden opgemerkt dat dit met name geldt voor de IT-infrastructuur, netwerken en standaardautomatisering. Voor businessunits en andere (niet-IT-)stafonderdelen is het eenvoudiger om IT-diensten van derden te betrekken met geringe of geen betrokkenheid van de eigen IT-organisatie. In dat opzicht is dus eerder sprake van decentralisatie van IT-diensten, vooral applicatie- en functioneelbeheerdiensten (zie ook Internet en Cloud services). Veel van de hiervoor en hierna genoemde ontwikkelingen gaan gepaard met uitbesteding. Zo vereist bijvoorbeeld Het Nieuwe Werken nieuwe IT-componenten, veelal een nieuwe ITinfrastructuur en beheerprocessen. In tegenstelling tot vroeger wordt beheer ervan voor een belangrijk deel uitbesteed. Daar waar in het verleden voor zekerheid werd gekozen en bijna alle informatieverwerkingen binnen, of onder directe controle van, de eigen organisatie en met gebruikmaking van eigen ITmiddelen plaatvonden, worden nu meer de grenzen opgezocht van wat mogelijk en toegestaan is. Daarbij is inzicht, kennis en onafhankelijke interne controle noodzakelijk om aan de goede kant van de grens te blijven opereren. De risico’s die het verantwoordelijk operationeel management daarbij neemt moeten onafhankelijk, met juiste kennis en op juiste wijze aan de bedrijfsleiding kenbaar worden gemaakt. Internet en Cloud services Ten aanzien van Cloud services wordt in het algemeen bevestigd dat bepaalde Cloudkenmerken specifiek zijn, maar dat de benadering niet anders is dan andere uitbesteding van ITdiensten. Bij alle kantoren worden de belangrijkste gegevens, de opdrachtendossiers, nog altijd onder directe eigen controle verwerkt. Wel worden in toenemende mate IT-diensten met minder gevoelige gegevens geoutsourcet en in private Clouds geplaatst, zoals HR-systemen. Ook onder het gebruik van publieke services zoals social media services vindt een sterke toename in gebruik plaats (zie ook ‘Het Nieuwe Werken’). De huidige wereldomvattende Cloud services bieden op dit moment nog onvoldoende waarborgen om zondermeer gebruikt te kunnen worden voor verwerking van vertrouwelijke controlegegevens, omdat daarmee niet voldaan kan worden aan de vereisten vanuit de wetgeving en hoe deze in praktijk door belanghebbenden wordt geïnterpreteerd. Als gevolg van de bredere discussie over de locatie van gegevens in de Cloud en de toegang tot deze gegevens vanuit andere locaties wordt verwacht dat Cloud service providers diensten gaan aanbieden die in dat opzicht aan regionale en lokale vereisten voldoen. Zo wordt voor minder gevoelige gegevensverwerkingen ook al tegemoetgekomen aan privacyvereisten door gebruik van regionale datacentra. Inzet van Cloud services voor dossiers en gegevens van vergelijkbare gevoeligheid wordt nog niet voorzien. Op grond van eigen ervaring wordt dit door de onderzoeker zelf voor de toekomst niet uitgesloten, maar dan in de vorm van een strikt private Cloud bij een Cloud provider. Bij discussie over gebruik van Cloud services kan internal IT-auditing een essentiële rol vervullen om de mythen rond Cloud computing te verduidelijken aan het management en de risico’s terug te brengen tot de basisrisico’s zoals die voor elke geoutsourcete IT-dienst gelden.
33
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Afhankelijk van de eisen en doelstellingen van de organisatie en de mogelijkheden en volwassenheid van de leverancier zal internal IT-auditing een remmende factor moeten zijn in adoptie van Cloud services om risico’s te vermijden of zal ze juist de ontwikkeling moeten stimuleren door op de kansen te wijzen die deze diensten bieden. Big Data In toenemende mate maken accountantskantoren gebruik van middelen om grote hoeveelheden data op slimme wijze te doorzoeken en te analyseren om zo de toegevoegde waarde van hun dienstverlening te vergroten. Er lopen initiatieven om deze dienstverlening te ontwikkelen of zij wordt al aangeboden met de huidige middelen. De ontwikkeling en toepassing daarvan binnen de kantoren is bevestigd in de interviews. Andere ontwikkelingen die in gesprekken werden genoemd en waarbij IT-middelen direct zichtbaar worden ingezet om de dienstverlening te verbeteren zijn continuous monitoring (of continuous auditing). Voorbeelden van deze dienstverlening zijn ook te vinden op de websites van de kantoren bij de dienstverlening die zij aanbieden. Bij al deze ontwikkelingen wordt informatietechnologie meer direct ingezet bij de primaire processen. De informatierisico’s als gevolg van deze inzet van IT nemen toe evenals het daarmee gepaard gaande belang van een goede risicobeheersing van deze ontwikkelingen. Het Nieuwe Werken Het Nieuwe Werken zoals beschreven in paragraaf 3.4 en Reezigt (2012) is een internationale ontwikkeling die voor alle organisaties van toepassing is. Ook accountantskantoren hebben de afgelopen jaren de mogelijkheden verkend en benut. Door de omstandigheden zoals beschreven in hoofdstuk 2 is er wel een sterke toename in het aantal initiatieven waar te nemen waarbij gebruik wordt gemaakt van nieuwe technieken die Het Nieuwe Werken mogelijk maken; onafhankelijk van plaats en tijd toegang hebben tot services en gegevens van de organisatie en altijd en overal verbonden zijn met elkaar waardoor privé en zakelijk in activiteiten en in het gebruik van IT met elkaar verweven raken. Het Nieuwe Werken heeft ook een grote invloed op het ‘wat’ en ‘hoe’ van de interne controle van internal IT-auditing. We kunnen de controlemaatregelen allang niet meer baseren op aannames zoals dat we met z’n allen van 9 tot 5 op een kantoor werkzaam zijn of dat netwerkkoppelingen via dedicated datalijnen de enige datakoppelingen zijn. Net als bij de andere ontwikkelingen die in versnelde en omvangrijkere mate worden omarmd door gebruikers en worden aangeboden door de kantoren is inzicht, kennis en onafhankelijke interne controle noodzakelijk om het management te informeren over de risico’s en kansen van deze nieuwe ontwikkelingen, de ontwikkelingen onafhankelijk te toetsen, de controleprocessen bij invoering ervan te beoordelen en het management erover te adviseren. XBRL en SBR De gevolgen van toepassing van XBRL voor accountantskantoren zijn dat huidige (controle)processen aangepast zullen moeten worden, dat meer gebruik zal worden gemaakt van geautomatiseerde verwerkingen en elektronische dossiervorming. De vraag werd echter al gesteld of de voordelen ook zondermeer van toepassing zijn voor grote accountantskantoren.
34
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Over het gebruik van XBRL schetsen de experts ook vergelijkbare situaties. De standaard biedt inderdaad de voordelen die worden aangegeven, maar veel voordelen van XBRL (XBRL Financial Reporting) worden al verzorgd door de pakketten die de accountants gebruiken of zijn ook al beschikbaar in de softwaresystemen die de accountants intern gebruiken. Voordelen van de toekomstige standaard XBRL General Ledger zijn ook (deels) al intern beschikbaar of worden met nieuwe technieken ontwikkeld. Binnen de dienstverlening aan het midden- en kleinbedrijf wordt wel intensiever gewerkt aan vernieuwing van IT-diensten via internet portals. Daarbij wordt wel intensiever gebruikgemaakt van XBRL. Voor wat betreft SBR wordt aangegeven dat uiteraard voldaan dient te worden aan de vereisten van de overheid. Dit zal voornamelijk verwerkt zijn in de software die daarvoor wordt gebruikt. De toegevoegde waarde van deze ontwikkeling voor de grote kantoren wordt op dit moment als beperkt aangegeven. De verwachtingen ten aanzien van XBRL in de toekomst zijn wel positief, maar op langere termijn. Integrated Reporting Alle grote kantoren zijn bezig met de ontwikkeling van een jaarverslag met daarin behalve een financiële rapportage ook rapportages over andere onderwerpen zoals gedefinieerd in de Integrated Reporting-standaard (zie Fédération des Experts comptables Européens (2012), IIRC (2011), NIVRA (2009), KPMG (2012). Beschouwingen over risico’s en kansen (onzekerheden) worden expliciet benoemd. Geconstateerd wordt dat beheersing van IT-risico’s voorzichtig zijn intrede doet in het jaarverslag van accountantskantoren. Het weergeven van een getrouw beeld over IT-governance en IT-risk management in het jaarverslag is een verantwoordelijkheid van internal IT-audit. Dossiers De kantoren hebben ieder hun eigen gestandaardiseerd systeem voor ondersteuning van de controleprocessen. Elk kantoor is op een ander moment in het verleden overgegaan op (grotendeels) elektronische dossiers. Het moment van overgang en uitgevoerde upgrades bepalen in grote mate de geavanceerdheid van de technieken die beschikbaar zijn. Daar waar bijvoorbeeld nog minder geavanceerde workflowsystemen worden gebruikt omdat men in het verleden eerder is overgegaan tot elektronische dossiers wordt nu gewerkt aan nieuwe systemen of upgrades. De algemene tendens waarbij meer en meer functionaliteit van workflowsystemen, documentmanagementsystemen en collaborationsystemen wordt gecombineerd is voor alle kantoren van toepassing. Het gebruik van elektronische dossiers en de automatisering van de primaire processen zijn niet specifiek voor de laatste financieel-economische ontwikkelingen binnen de kantoren. Wel zijn de ontwikkelingen versneld als gevolg van de discussies naar aanleiding van financiële schandalen begin deze eeuw. De automatisering van de primaire processen krijgt een sterke impuls door de geschetste ontwikkelingen. De dossiersystemen zijn binnen de kantoren grotendeels internationaal gestandaardiseerd. De meeste ontwikkelingen van de systemen vinden plaats bij andere onderdelen binnen de internationale organisatie. De ontwikkeling van deze systemen is dus door de nationale organisatie uitbesteed. De relatie leverancier-afnemer verschilt per kantoor, maar komt in het algemeen niet overeen met de relatie zoals met andere externe leveranciers.
35
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
4.1.1
IT-gerelateerde risico’s IT en uitbesteding Veel gegevensverwerkingen bij accountantskantoren werden van oudsher in-house en door eigen medewerkers uitgevoerd. Een reden hiervoor is dat hierdoor vereisten vanuit de wet kunnen worden toegepast waarop de positie, de rol en de verantwoordelijkheden van de accountant zijn gebaseerd. De eerste wetgeving dateert uit 1928 en de laatste, meest relevante in dit opzicht is de Wet toezicht accountantskantoren die in 2006 van kracht is geworden (zie ook paragraaf 4.2.1.1). Deze wetgeving schrijft stringente geheimhouding en een adequaat intern controlesysteem voor. De vereiste controles zijn eenvoudiger – met name directer – uit te voeren als deze binnenhuis plaatsvinden en door eigen medewerkers worden verricht. Voor de geautomatiseerde verwerkingen geldt in grote lijnen hetzelfde. Eerdere ontwikkelingen van uitbesteding binnen de IT-branche hadden geen grote impact op de accountantskantoren. De volledige digitalisering van dossiers en processen werd relatief laat ingevoerd vergeleken met andere branches en er was ook geen directe financiële noodzaak om tot veranderingen over te gaan. Door de huidige ontwikkelingen is die noodzaak er nu wel. Veranderingen en IT-risico’s Voor elk van de genoemde ontwikkelingen (paragraaf 3.2) zijn de veranderingen in de ITomgeving groot. Er zijn echter weinig geheel nieuwe IT-gerelateerde risico’s maar de kansen van de risico’s zijn anders verdeeld en ook de gevolgen veranderen door de omvang van data en het gebruik ervan. Daar komt bij dat er veel veranderingen in een korte tijd plaatsvinden. Per ontwikkeling dienen dan ook de specifieke risico’s via een gedetailleerde risicoanalyse inzichtelijk gemaakt te worden zoals voor Het Nieuwe Werken (Reezigt, 2012) en Cloud services (COSO, June 2012). Er zijn een aantal gemeenschappelijke risico’s te onderkennen die bij de huidige veranderingen van belang zijn. Deze worden hier toegelicht. Risico’s De hieronder geïdentificeerde risico’s zijn van toepassing op IT-ontwikkelingen bij uitbesteding. De titels hieronder zijn enkel bedoeld om structuur aan te brengen voor de leesbaarheid. Er zijn geen prioriteiten of wegingen aangebracht in de risico’s. Wel kan worden gesteld dat alle risico’s zich uiteindelijk vertalen in één van de informatierisico’s aangegeven onder Informatie. Verder ontstaan de risico’s als gevolg van het ontbreken van de juiste maatregelen (Beleid tot en met Interne controlemaatregelen) en in het bijzonder onvolledige risicomanagementprocessen en onduidelijkheden in de governance van IT. Informatie Alle informatierisico’s die voor de eigen interne verwerking van toepassing zijn, zijn evenzogoed toepasbaar in de uitbestede situatie. Informatierisico’s zijn moeilijk op juiste waarde te schatten zonder specifieke kennis van de uitbesteding en van de organisatie waardoor ze vertaald kunnen worden naar bedrijfsrisico’s. Een aantal risico’s worden specifiek benoemd omdat deze bij elke situatie spelen.
36
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Opslaglocatie: Vanuit wetgeving en specifieke bedrijfsrisico’s (bijvoorbeeld mogelijke gevolgen van de SOx-wetgeving en de Patriot Act, maar ook de privacywetgeving) is het van belang de risico’s van opslaglocatie van gegevens te bepalen. Logische toegangscontrole: De risico’s van ongeoorloofde toegang tot de gegevens dient in detail beoordeeld te worden voor alle partijen die mogelijkerwijze zich toegang kunnen verschaffen tot de gegevens. Data leakage: De risico’s van ongeautoriseerde toegang tot de gegevens dient beoordeeld te worden door alle gegevensverwerkingen gedurende de gehele informatielevenscyclus te beoordelen. Retention: Alle partijen die gegevens bewaren dienen te voldoen aan de bewaringsvereisten vanuit de verschillende wetgevingen. Communicatie: Ter beoordeling van de vertrouwelijkheidrisico’s dienen alle verschillende communicatiemogelijkheden tussen systemen, gebruikers en beheerders van de verschillende partijen beoordeeld te worden. Beschikbaarheid: Veelal is verbetering van de beschikbaarheid een argument om tot uitbesteding over te gaan. Bij toenemend gebruik van uitbesteding voor meer gevoelige systemen moeten echter ook dreigingen in de analyse worden meegenomen, bijvoorbeeld het wegvallen van verbindingen (internet, telefonie, intercontinentale verbindingen). Beleid Nieuwe technieken brengen nieuwe situaties met zich mee waarvoor nog geen beleid aanwezig is. Veranderingen in de organisatie en in processen als gevolg van uitbesteding vergen nieuwe richtlijnen en procedures. Zonder beleid en duidelijke richtlijnen is het aan de eigen gebruikers om het algemenere beleid voor de nieuwe situatie toe te passen. De mate van uitwerking van de nieuwe situatie in nieuw beleid en richtlijnen hangt af van de gebruikersgroep. Bij uitbesteding maken medewerkers van externe partijen gebruik van IT-middelen van de uitbestedende partij. Het spreekt voor zich dat bij gebruik van deze IT-middelen deze externe medewerkers (inhuur, zzp’ers én buitenlandse collega’s) gehouden zijn aan het beleid van de kantoren. Dit kan het beste contractueel worden vastgelegd in de uitbestedingsovereenkomsten. De samenwerkingsverbanden en de daarbij gebruikte IT worden echter steeds meer divers, complex en verweven waardoor het beleid (en wetgeving) dat effectief van toepassing is niet altijd duidelijk is. Privacy Bij uitbesteding is veelal sprake van partijen uit verschillende jurisdicties met elk hun eigen privacywetgeving. Met name de Europese wetgeving stelt eisen aan de verwerking van persoonsgebonden gegevens die sterk bepalend – veelal ook beperkend – kunnen werken in de mogelijkheden waarin IT kan worden gebruikt bij uitbesteding of bij
37
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
gebruik van nieuwe technieken. Door op tijd in ontwikkelingstrajecten rekening te houden met contractuele en beveiligingstechnische afspraken die voortkomen uit privacy vereisten kunnen risico’s geoptimaliseerd worden. Wet- en regelgeving Bij gebruik van nieuwe technieken ontstaan vaak nieuwe unieke situaties waarvoor nog geen duidelijke interpretatie beschikbaar is voor toepasbare wet- en regelgeving en eigen beleid en richtlijnen. Vaak kan daarover ook niet de gewenste duidelijkheid worden verstrekt door de juiste autoriteiten. Als dit wordt onderkend, dient in overleg tussen verschillende disciplines bepaald te worden of, en hoe, de regels toegepast kunnen worden en wat daarbij de risico’s zijn. Personeel Het personeel van de leverancier dient over vergelijkbare opleiding, kennis en ervaring te beschikken als nodig zou zijn bij het intern uitvoeren van de activiteiten. Tevens dient voldaan te worden aan dezelfde eisen ten aanzien van onafhankelijkheid en risicobewustzijn. Zonder goede afspraken hierover met de ander partijen is de kwaliteit van de processen onvoldoende gewaarborgd. Hetzelfde geldt voor uitvoering van pre- en in-employment screeningeisen. Vooraf dient beoordeeld te worden of de andere partij überhaupt aan de eigen screeningeisen kan voldoen en of afwijkingen daarvan acceptabel zijn. Zo zal er in India geen Verklaring Omtrent Gedrag (VOG) worden afgegeven door de lokale overheid. Verantwoordelijkheden voor uitvoering van de mogelijke screeningactiviteiten moeten duidelijk worden afgesproken. Het is de eigen gebruikers veelal niet bekend welke nieuwe technieken en uitbestede activiteiten schuilgaan achter (nieuwe) diensten. De gebruiker is zich er vaak ook niet van bewust waar zijn gegevens zich bevinden, welke datacommunicatie er plaatsvindt en wie er allemaal toegang hebben tot dezelfde dienst en informatie. Zonder goede afweging van de perceptie en awareness van de gebruiker kunnen gebruikers ongewild een groot risico vormen. Externe beheersing Bij uitbesteding is er geen directe controle over uitvoering van werkzaamheden. Vanuit de wetgeving (inclusief uitwerkingen daarvan in richtlijnen, zoals door het CBP (februari 2013), en in interpretaties door toezichthouders) blijft de uitbestedende partij verantwoordelijk voor de kwaliteitsbeheersing (Wta) dan wel voor een juiste verwerking (Wbp). De verantwoordelijke partij dient erop toe te zien dat de juiste beheersingsmaatregelen van toepassing zijn, ook voor werkzaamheden die worden uitbesteed aan subcontractors. Contractuele afspraken Bij uitbesteding heeft de organisatie geen directe sturingsmogelijkheden voor het gecontroleerd doorvoeren van wijzigingen in de dienstverlening. Alles wat men zou willen aanpassen moet contractueel mogelijk zijn. Dit geldt niet alleen voor de reguliere
38
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
IT-beheercriteria als beschikbaarheid die via een SLA onderdeel zijn van het contract, maar voor alle betrouwbaarheidseisen, performance-eisen en juridische eisen als vertrouwelijkheid, aansprakelijkheid, vrijwaring, escrowing, beveiligingsmaatregelen en niet in de laatste plaats controleerbaarheid. Dit laatste kan in de vorm van afspraken over beheersingsmaatregelen maar ook door auditrechten op te nemen in het contract, veelal conditioneel en afhankelijk van beschikbare audits uitgevoerd door onafhankelijke derden (bijvoorbeeld SOC 2-, ISAE 3402- of ISO 27001-certificeringen). Interne controlemaatregelen Het is bekend dat uitbesteding niet het interne beheer of de beheersingsproblemen oplost. Door uitbesteding worden de problemen wel duidelijker en de risico’s groter. Daar komt bij dat door de omvang en verschillende vormen van uitbestedingen er veel medewerkers van derden binnen de eigen IT-omgeving werkzaam zullen zijn. De netwerkperimeter verliest daarmee nog meer zijn functie als belangrijke beveiliging tegen de boze buitenwereld. De interne risico’s nemen toe en aanscherping van andere interne controlemaatregelen, of aanpassing van de informatie(beveiligings)architectuur, is noodzakelijk. IT-risicomanagement Er vinden veel ontwikkelingen tegelijkertijd plaats en nieuwe IT-services en overige ITmiddelen kunnen eenvoudig worden verworven zonder specifieke IT-kennis. Daar waar in het verleden bijna altijd de medewerking van een centrale IT-organisatie noodzakelijk was, kan iedereen in principe uit naam van de organisatie IT-diensten verwerven die met IT-middelen van de organisatie kunnen worden gebruikt. Zonder dat gebruikers het beseffen, vervullen ze IT-beheertaken die voorheen alleen door de centrale IT-organisatie werden verricht conform IT-beheerprocedures. Zonder de (risico)managementprocessen waarin duidelijk verantwoordelijkheden worden benoemd zullen deze IT-diensten niet aan de noodzakelijke eisen voldoen en een risico vormen voor de organisatie. De juiste risicomanagementprocessen waarin de toegevoegde waarde van de dienst wordt afgewogen tegenover de risico’s en de noodzakelijke inzet van middelen dienen aanwezig te zijn en te functioneren. Met het oog op de oorzaken van de huidige ontwikkelingen moet benadrukt worden dat deze risicomanagementprocessen niet een onnodige rem moeten vormen op de ontwikkelingen. De noodzakelijke eisen moeten worden ingebracht, maar niet het minimaliseren van risico’s moet het doel zijn maar het op juiste wijze afwegen van risico’s. Meer dan in het verleden moet worden gezocht naar mogelijkheden waarbij na afweging van risico’s de kansen kunnen worden benut. IT-governance De processen voor beheersing van IT-diensten en verwerving daarvan zullen vanuit algemene bedrijfsdoelstellingen moeten worden aangestuurd en gecontroleerd door het bestuur. Zonder deze aansturing en controle zullen doelstellingen van onderdelen onvoldoende op elkaar worden afgestemd en zal er geen goede balans zijn tussen opbrengsten, risico’s en inzet van middelen van de verschillende onderdelen. Er dient een
39
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
organisatiebreed beheersingssysteem aanwezig te zijn en te functioneren waarin risico’s op juiste wijze worden beheerst. Management dient daarin de risicoacceptatiegraad (risk appetite) aan te geven en de variaties die daarbij worden toegestaan (risk tolerance). Ten slotte wordt opgemerkt dat de buitenwereld veel aandacht heeft voor de financiële sector en niet in de laatste plaats voor de rol van de accountant zelf. Daardoor is elk IT-risico potentieel een groot bedrijfsrisico.
4.1.2
Conclusies Het onderzoek bevestigd dat er meer en intensiever gebruik wordt gemaakt van IT en dat het belang van IT voor de organisaties sterk toeneemt. Het belang van IT voor realisatie van de bedrijfsdoelstellingen zal ook zeker blijven toenemen. Tevens kan worden bevestigt dat het interne beheersingssysteem voor IT meer gelijkenis zal moeten vertonen met beheersingssystemen bij andere commerciële en internationaal opererende ondernemingen. Continue aanpassing, innovatie en kwaliteitsverbetering zijn een noodzaak om te overleven. Als gevolg van de brede maatschappelijke discussie en de financieel-economische crisis vinden er veranderingen plaats in de IT-omgeving van de kantoren die voorheen ondenkbaar waren. De veranderingen zijn niet alleen het directe gevolg van uitbesteding. Er vindt ook verregaande automatisering van processen plaats, nieuwe IT-diensten en technologie worden geïntroduceerd en bestaande technologie wordt op andere wijze gebruikt.
4.2
Internal IT-auditing In deze paragraaf worden op basis van de literatuurstudie, eigen ervaringen en afgenomen interviews bevindingen en analyses weergegeven ten aanzien van internal auditing en internal IT-auditing bij de grote accountantskantoren. Tevens wordt een beschouwing gegeven van de beheersorganisatie binnen de kantoren. De grondbeginselen van de IIA vormen de basis voor beschouwing van internal audit-aspecten. Allereerst worden de governance aspecten besproken die bij meerdere grondbeginselen van belang zijn (paragraaf 4.2.1 tot en met 4.2.5). De overige grondbeginselen worden in paragraaf 4.2.6 kort toegelicht.
4.2.1
Organisatie van IT In deze paragraaf wordt de organisatie van IT besproken binnen het interne beheersingssysteem. In paragraaf 4.1 is gewezen op het risico van decentralisatie van IT-diensten. In deze paragraaf wordt expliciet stilgestaan bij deze ontwikkeling. Deze paragraaf is tevens een nadere beschouwing van het IT-governancerisico. In de afgenomen interviews werden verschillende, schijnbaar tegenstrijdige, ontwikkelingen genoemd van zowel centralisatie als decentralisatie van IT-diensten. Als nader wordt gekeken naar de soort diensten die dit betreft, kan worden gesteld dat de centralisatie voornamelijk basisIT- en infrastructurele diensten betreft. Voorbeelden hiervan zijn centralisatie van netwerkdiensten, data center services, productmanagementsystemen en controleondersteunende workflow- of archiveringssystemen. Het betreft in veel situaties internationale centralisaties zoals ook benoemd in paragraaf 4.1 (Sourcing).
40
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De decentralisatie wordt voornamelijk veroorzaakt doordat IT-diensten meer en meer direct van derden kunnen worden verworven door andere organisatieonderdelen. Redenen hiervoor zijn dat dit effectiever en efficiënter verloopt en de centrale IT-organisatie onvoldoende in staat is de vraag naar (nieuwe) technieken te beantwoorden met diensten die onder eigen beheer of eigen regie worden verstrekt. Een oorzaak hiervan is weer de organisatiebrede eis tot kostenreductie en efficiëntieverhoging, ook voor de IT-organisatie. Bij decentralisatie van IT-diensten betreft het vaak ook landsgrens- en continentoverschrijdende diensten, zowel binnen de eigen internationale organisatie als daarbuiten. De IT-governancestructuren en risicomanagementprocessen voorzien in onvoldoende mate in een gecontroleerde invoering en gebruik van de decentraal verworven IT-diensten. Dat dit daadwerkelijk een groot risico betreft en ook als zodanig wordt onderkend blijkt uit het feit dat IT-governance en cybercrime de twee belangrijkste risicogebieden vormen in het ITrisicoprofiel van de eigen organisatie van de onderzoeker.
4.2.2
Bestuur en IAD In gesprekken met IAD’s van de kantoren werd vrijwel consequent over internal audit als dienst gesproken binnen de organisatie. Daarom wordt in deze paragraaf de term IAD gebruikt in plaats van de interne auditfunctie (IAF). De positie van de IAD binnen de grote accountantskantoren is in grote lijnen overeenkomstig de positie zoals deze voor internal audit richtlijnen wordt aangegeven door de IIA (2008) en in Sawyer et al. (2005). De IAD’s bij de kantoren bevinden zich in een groeifase waarbij vanuit de rol die men van oudsher had wordt toegewerkt naar een volwaardige IAD gelijk aan die bij andere commerciële organisaties. Een IAD wordt op dit moment voor de kantoren nog wel als onwennig aangeduid. Ten aanzien van de rapportage kan worden geconstateerd dat de IAD voornamelijk rapporteert aan het verantwoordelijk management, de raad van bestuur en daarbinnen overwegend de CEO. Een auditcommissie wordt door één van de kantoren als zodanig als separaat orgaan aangeduid. Bij andere kantoren wordt de auditcommissiefunctie overwogen. Afhankelijk van het onderzoek rapporteert de IAD daarnaast ook aan verantwoordelijk management. Naast audits in het kader van de jaarrekening vinden specifieke IT-audits nog weinig plaats vanuit de IAD’s. Wel worden in toenemende mate operationele IT-audits uitgevoerd. Daarbij wordt voornamelijk gerapporteerd aan de COO en afhankelijk van de specifieke portefeuilleverdeling soms aan de CFO. De rapportagelijnen voor IT en voor IT-audit verschillen per situatie en zijn afhankelijk van de persoonlijke en organisatorische invulling van de rollen CIO, COO, CFO en IAD. Hetzelfde geldt voor de rapportage van de CIO aan het bestuur. De verschillende internal IT-auditfuncties binnen de IAD’s bevinden zich ieder in een verschillende fase van groei naar volwassenheid. Voor zover de volwassenheid gerangschikt kan worden op basis van gevoerde gesprekken, zou op basis van belegging van de ITauditfunctie en taken die ze uitvoert de IT-auditfunctie van PwC als meest volwassen aangemerkt kunnen worden, gevolgd door die van KPMG en die van Deloitte. Dit is voornamelijk gebaseerd op de specifieke aandacht en capaciteit binnen de IAD voor internal ITauditing en zegt dus niets over de volwassenheid of kwaliteit van andere internal auditingactiviteiten die door de IAD’s of door andere assurancefuncties worden verricht.
41
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Positionering en objectiviteit – Grondbeginselen 6 tot en met 10 De grondbeginselen over de positie en objectiviteit van de IAD zijn zondermeer van toepassing voor de IAD binnen de grote accountantskantoren: de benoeming van het hoofd IAD, het vaststellen van de taakopdracht en het audit charter. De auditcommissie en ook de in de grondbeginselen genoemde raad van commissarissen hebben binnen de kantoren nog wel een minder duidelijke rol vergeleken met andere commerciële organisaties. Dit geldt met name voor de raad van commissarissen. Over grondbeginsel 10 (bevordering van de daadwerkelijke invoering van IAD-aanbevelingen) wordt in praktijk de nodige discussie gevoerd. De aanbevelingen komen wel duidelijker en prominenter op de agenda van het management te staan. Mogelijkheden om invoering van aanbevelingen te bevorderen zijn nog beperkt. De mogelijkheden beperken zich tot zuiver advies aan betrokkenen (het management, de auditcommissie en andere assurancefuncties) en het herhaald constateren van gebreken en risico’s waardoor bevindingen een hogere prioriteit krijgen. Als reden voor de beperkte mogelijkheden wordt onder andere aangevoerd dat de IAD ervoor moet waken om via zijn advieswerkzaamheden niet te veel bij de uitvoering betrokken te worden waardoor hij zijn objectiviteit zou kunnen verliezen. De opvolging van aanbevelingen hangt dus in sterke mate af van assurancefuncties in de eerste en tweede laag in het drielagenmodel. De beoordeling van de positie en het functioneren van deze lagen is een taak van internal audit. Om te voorkomen dat deze afhankelijkheden de opvolging belemmeren is het van belang de mogelijkheden van de verschillende assurancefuncties goed te bepalen.
4.2.3
IAD en IT-auditing De interne audit afdelingen van de grote accountantskantoren hadden tot voor kort voornamelijk een internal IT-auditing taak voor ondersteuning aan de externe auditor ten behoeven van de jaarlijkse financiële controle door de externe accountant. De IAD voert daarbij taken uit voor zover de IAD deze mag uitvoeren en niet door de externe accountant wil laten uitvoeren. Net als IAD’s bij andere commerciële organisaties voert de IAD meer en meer operationele audits uit ten behoeve van het bestuur. Deze tendens geldt in mindere mate ook ten aanzien van operationele IT-audits. IT had binnen het interne beheersingssysteem een zeer kleine rol. Deze is de afgelopen 5-10 jaar wel toegenomen door gebruik van elektronische documenten en dossiers in de primaire processen, maar was tot voor kort nog zeer gering. Door de gevolgen van IT-ontwikkelingen is bij alle kantoren een toegenomen aandacht en groei waar te nemen van IT-auditing binnen de IAD en het interne IT-kwaliteitsbeheersingssysteem. Op dit moment kan IT-auditing binnen het systeem nog als onvolwassen worden beschouwd. Naar verwachting zal het belang van de interne IT-auditing toenemen. Dit wordt ook zo aangegeven door alle gesprekspartners. Het toenemende belang komt ook voort uit de voorbeeldfunctie die de kantoren noodzakelijk vinden ten aanzien van hun cliënten. En andersom, cliënten vragen in toenemende mate naar de beheersing en beveiliging van de ITomgeving. Bij meerdere kantoren is een ontwikkeling te zien waarbij internal IT-auditingplannen worden opgezet waarbij driejaarlijks een breed IT-normenkader wordt getoetst en jaarlijks de belangrijkste IT-controls (key controls) worden getoetst.
42
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
4.2.4
IT-auditingaspecten Alle IT-auditing aspecten zoals benoemd in paragraaf 3.3.1 zijn van toepassing op internal ITauditing. Wel kan vanuit de interne aard van de werkzaamheden een andere of nadere invulling gegeven worden aan enkele aspecten. Deze worden hier besproken. Het tripartiete model De IAD voert werkzaamheden uit op basis van opdrachten van het bestuur, andere betrokkenen of op basis van zijn jaarplan. Opdrachtgever en gebruiker behoren dus altijd tot dezelfde organisatie. Veelal is het bestuur de opdrachtgever van de IAD en is het bestuur tevens vertegenwoordiger van de gebruikers. De opdrachtgever en gebruikers zijn dus direct of indirect dezelfde partij. Een zelfde situatie kan gelden voor andere eigenaren of beheerders van IT-voorzieningen binnen de organisatie (zoals de CIO of IT-managers) die zowel opdrachtgever als gebruiker van een IAD-rapport kunnen zijn. Assuranceopdrachten In algemene zin kan geen sprake zijn van een assuranceopdracht als opdrachtgever en gebruiker dezelfde partij vertegenwoordigen. Echter conform de NOREA-richtlijn voor assuranceopdrachten voor IT-auditors regel A.6 (NOREA) kan hiervan worden afgeweken als in de rapportage wordt vermeld dat het gebruik van het rapport beperkt is tot één en dezelfde partij en als aan alle andere voorwaarden van een assuranceopdracht wordt voldaan. Audit- en IT-auditopdrachten Volgens de Angelsaksische definities van audit dient er sprake te zijn van een assuranceopdracht. De term ‘audit’ is daarbij voorbehouden aan jaarrekeningcontroles. Het gebruik van de bredere betekenis van audit voor een IT-audit kan voor verwarring zorgen bij betrokkenen. De formulering van de IT-auditopdracht dient de noodzakelijke duidelijkheid te geven. De interne externe auditor Binnen de kantoren is het aannemelijk dat interne IT-audits die worden uitgevoerd door de IAD op vergelijkbare wijze worden uitgevoerd als dat externe IT-audits worden uitgevoerd bij cliënten. Reden is dat er veel kennis en ervaring beschikbaar is in de vorm van externe auditors die deze werkzaamheden verrichten bij cliënten, de interne externe auditor. Deze externe ITauditors worden ingezet voor interne IT-auditwerkzaamheden voor de IAD. Het is logisch dat ze daarvoor op dezelfde wijze te werk gaan als dat ze bij cliënten doen. Dit geldt voor de werkzaamheden die ze verrichten in het kader van de jaarrekeningcontrole door de externe accountant, maar ook voor opdrachten die enkel voor interne partijen worden uitgevoerd. Voor de controledoelstelling van de interne auditfunctie is dit geheel correct. De vraag is of een andere doelstelling – het verbeteren van het interne controlesysteem – niet beter kan worden gerealiseerd met een meer intern gerichte aanpak. Met een interne aanpak kan kennis en ervaring van de interne auditfunctie ook beter worden benut ter realisatie van bedrijfsbrede doelstellingen, met een bredere risicobeheersingsaanpak waarin ook kansen worden benut.
43
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Adviesopdrachten Door uitvoering van adviesopdrachten kan de kennis en ervaring van de interne externe auditor optimaal worden benut. Vanuit de doelstelling van internal audit zal men terughoudend zijn met het uitvoeren van adviesopdrachten onder eigen verantwoordelijkheid. Bij twijfel of het resultaat van een advies zijn toekomstige onafhankelijke oordeelsfunctie belemmert zal de interne externe auditor het zekere voor het onzekere nemen. De adviesopdracht zal dan onder verantwoordelijkheid van de eerste- of tweedelijnsfunctie moeten worden uitgevoerd. Advisering bij assuranceopdracht Omdat het interne onderzoeken betreft zou de opdrachtomschrijving geen belemmering moeten vormen om zaken te signaleren, of zelfs in de bevindingen op te nemen, als deze buiten de scope van een assurance onderzoek vallen maar wel een materieel risico vormen, of kunnen gaan vormen, voor de organisatie. Daarbij dient uiteraard wel duidelijk aangegeven te worden dat het geen onderdeel van de opdracht betreft en dient aan overige eisen van assuranceopdrachten voldaan te worden. Conclusie bij assuranceopdracht Het doel van internal auditing is om het management een duidelijk inzicht te geven in het functioneren van het interne beheersingssysteem en dit te verbeteren. In de definitie wordt gesproken over het evalueren en verbeteren van het systeem. De conclusies bij een assuranceopdracht zijn beperkt. De vraag kan worden gesteld of de doelstellingen effectief en efficiënt kunnen worden bereikt als een strikte invulling van deze beperking van assuranceopdrachten wordt gehanteerd. IT-ontwikkelingen De ontwikkelingen in de IT-omgeving van de organisatie kunnen dusdanig snel gaan dat als gevolg daarvan het risicoprofiel van de organisatie snel en drastisch kan veranderen. Los van de jaarlijkse auditprogramma’s worden door internal audit wel audits uitgevoerd in opdracht van het bestuur of anderen, maar om ook de snelle ontwikkelingen van de IT-omgeving op tijd te kunnen signaleren zal internal audit ook zelf de juiste communicatie en samenwerking moeten onderhouden, waaronder die met andere assurancefuncties binnen de eerste en tweede defensielaag. Auditrisico In tegenstelling tot de risico’s van verkeerde oordeelsvorming door de externe accountant zijn bij interne audits alle consequenties, ook alle auditrisico’s, geheel en al voor rekening van de eigen organisatie. Geheimhouding De verplichting tot geheimhouding blijft onverminderd van toepassing voor interne IT-auditors. Geheimhouding kan wel een geheel andere invulling krijgen binnen de eigen organisatie. Zaken die risicovol zijn voor de organisatie maar conform de beroepsregels niet gedeeld mogen worden met de opdrachtgever, de gebruiker of derden kunnen een belemmering vormen voor de
44
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
doelstellingen van internal audit. Hierover dienen duidelijke afspraken te worden gemaakt met belanghebbenden.
4.2.5
Beheersingsorganisatie De kantoren hebben van oudsher alle al langer een volwaardig kwaliteitsbeheerssysteem waarvan de opzet sterk bepaald is door de kwaliteitsvereisten vanuit de wetgeving en beroepsregels. Het systeem heeft als doel om de belangrijkste bedrijfsrisico’s – met name juridische en compliancerisico’s – te beheersen. Assurancefuncties Binnen de verschillende accountantskantoren zijn dezelfde assurancefuncties aanwezig. Per kantoor kunnen deze zijn ondergebracht binnen een anders benoemde assurance- of risicomanagementdienst. Bedoelde assurancefuncties zijn: risk management, operational risk, compliance, quality control, security, privacy, risk/security binnen stafafdelingen en businessunits, en natuurlijk de interne auditfunctie zelf. Van oudsher is er een Risk Management, Quality Control of vergelijkbare afdeling waarin de verschillende assurancefuncties zijn ondergebracht. In de loop der jaren zijn er door veranderende omstandigheden functies bijgekomen of zijn functies in belang gegroeid. Voorbeelden hiervan zijn de compliance-, de privacy- en de securityfuncties. De laatste twee functies hebben een andere scope dan de afdeling van oudsher had, nl. het beheersen van bedrijfsrisico’s voortkomen uit wet- en regelgeving voor accountants. De betekenis van de compliancefunctie is sterk toegenomen door nadere invulling van de wetgeving door toezichthoudende instanties (AFM, 2011 en 2012). Deze ontwikkelingen van de verschillende assurancefuncties, de toegenomen eisen aan het interne beheersingssysteem inclusief de governance resulteren in een toegenomen aandacht voor de organisatie van het interne controlesysteem. De huidige veranderingen in de IT-omgeving maken het noodzakelijk de positie van de IT-assurancefunctie opnieuw te beschouwen. Net zoals is aangegeven voor de bedrijfsprocessen geldt ook voor het IT-beheersingssysteem dat dit meer in overeenstemming zal moeten worden gebracht met de systemen zoals deze binnen andere commerciële en internationaal opererende ondernemingen worden toegepast. Drielagen-defensiemodel Het drielagen-defensiemodel (Three Lines of Defense) wordt gebruikt om meer duidelijkheid te creëren in de verschillende rollen binnen het interne beheersingssysteem. Rollen zijn een samenvoeging van activiteiten of taken. De samenvoeging is vaak een logische bundeling van taken en in geval van controletaken ook het aanbrengen van noodzakelijke of vereiste scheiding van taken (Segregation of Duties). Eén groepering van taken is die volgens het drielagen-defensiemodel zoals aangegeven door de IIA (2013). Omschrijvingen van de drie lagen zijn in het kort: 1e laag Uitvoeren van, en toezicht houden op, de operationele taken. Verantwoordelijk voor de kwaliteit van geleverde diensten en producten en het uitvoeren en onderhouden van juiste beheersingsmaatregelen hiervoor.
45
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
2e laag Onafhankelijk toezicht houden op operationele taken en het opzetten en uitvoeren van het controlesysteem. Beleidsbepalend en adviserend bij vertaling van bedrijfsdoelstellingen en beleid naar operatiën. Verantwoordelijk voor het stelsel, het risicomanagementraamwerk. 3e laag Onafhankelijk toezicht op het algehele interne beheersingssysteem. Belanghebbenden (stakeholders) zekerheid verschaffen over het functioneren van het interne beheersingssysteem en adviseren over verbeteringen. Binnen het interne controlesysteem worden taken ook vaak gegroepeerd naar een risicogebied. Zo kijkt privacy naar risico’s van het niet voldoen aan de privacyvereisten, compliance kijkt naar risico’s van het niet voldoen aan wet- en regelgeving en eigen beleid, en informatiebeveiliging kijkt naar risico’s van beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van informatie. Dit is weergegeven in figuur 4.1a. Daarin worden onder Risk de taken verstaan die van oudsher werden uitgevoerd binnen de Risk Management of Quality Control-afdeling (zie onder Assurancefuncties hiervoor). Binnen elk risicogebied worden taken uitgevoerd binnen elke defensielaag conform de doelstellingen en verantwoordelijkheden die tot die laag behoren.
Figuur 4.1a – Taken binnen de afzonderlijke risicogebieden bevinden zich in alle lagen uit het drielagen-defensiemodel van de IIA. Figuur 4.1b – Een scheiding van taken naar taakgebied conform het drielagen-defensiemodel. Een andere groepering van taken is die naar een verantwoordelijkheidsgebied dat aan een persoon wordt toegewezen, een functie. De meeste functionaliteiten omvatten taken binnen verschillende lagen. Het drielagenmodel voorziet in een scheiding van functies zoals aangegeven in figuur 4.1.b. In de praktijk loopt de scheidslijn van taken die een functie uitvoert niet mooi gelijk aan een defensielaag. In figuur 4.2a is de situatie weergegeven zoals die van oudsher bestond voor risicomanagement. Bij ontbreken van een duidelijk separate Interne Audit Dienst voert Risk Management zowel tweede- als derdelijnstaken 4 uit. In dezelfde figuur zijn de taken van de CIO en IT Security geplaatst zoals die in het verleden vaak bestonden binnen organisaties. De CIO 4 In deze scriptie worden de ‘three lines of defense’ vertaald door lagen met daarin activiteiten. Functies of diensten die voor laag n zijn gedefinieerd worden vaak aan geduid als ne-lijns.
46
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
heeft daarbij zowel een operationele eindverantwoordelijkheid als een controlerende eindverantwoordelijkheid doordat IT-security- en riskfuncties onder zijn verantwoordelijkheid vielen. Veelal had de CIO in praktijk ook de derdelijnsverantwoordelijkheid, doordat hij rechtstreeks rapporteerde aan het bestuur en een juiste interne (IT)-auditfunctie ontbrak.
Figuur 4.2a – Schets van de situatie van oudsher bij kantoren ten aanzien van de Risk Management of Quality Control entiteit (Risk Management), en de situatie zoals die in veel organisaties bestond ten aanzien van IT door combinatie van CIO, IT-management en ITsecurity rol. Figuur 4.2.b – Schets van de situatie zoals deze bestaat als gevolg van het belang van de compliancefunctie binnen accountantskantoren. Onder invloed van het belang van de Wta en het Bta, en de uitleg die de AFM daaraan geeft heeft compliance binnen de accountantskantoren in de praktijk ook een afwijkende positie gekregen in het drielagenmodel (zie figuur 4.2b). Deze afwijking veroorzaakt in de praktijk de nodige discussie bij invulling van deze functie en behoeft daarom enige toelichting. Compliancerol binnen accountantorganisaties Complianceactiviteiten hebben als doel de risico’s te beheersen die (kunnen) ontstaan als gevolg van het niet juist naleven van wet- en regelgeving en van de eigen beleidsregels. Compliance is een risico dat gemanaged moet worden net als andere risico’s. Compliance wordt ook expliciet als risico aangegeven binnen COBIT5. Het Bta geeft aan dat een accountantsorganisatie een persoon moet aanwijzen die: •
toeziet op naleving van de Wta.
De functie van deze persoon wordt door de AFM aangeduid als Compliance Officer (AFM, 2012). In de nota van toelichting op het Bta wordt aangegeven dat deze persoon: •
toeziet op naleving van het stelsel van kwaliteitsbeheersing;
•
belangrijk aanspreekpunt is voor het bestuur en de AFM;
•
een adviserende rol heeft naar beleidsbepalers;
•
zich richt op het beheersen van de nalevingsrisico’s.
47
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
In de argumentatie geeft de AFM verder aan dat deze persoon: •
een goed beeld moet hebben van de uitvoering van het stelsel;
•
daar ook verantwoordelijk voor is;
•
het interne toezicht aanstuurt en daar toezicht op houdt.
Conform de IIA-definities van de drie lagen zijn dit voornamelijk tweedelaagsactiviteiten. Met name door de verantwoordelijkheid voor het kwaliteitsstelsel én de aansturing en het toezicht worden meerdere rollen aan de functie toegekend. Daarbij wordt niet verwezen naar de Wta. De indruk wordt gegeven dat het het gehele stelsel betreft. Gezien het belang van een goede invulling van deze functie wordt de compliancefunctie door de kantoren overwegend in laag 3 gepositioneerd. De positie ten opzichte van het bestuur en de onafhankelijkheid van de functie zijn daarmee geborgd. Dit neemt niet weg dat de activiteiten zoals hierboven aangegeven tweedelaagsactiviteiten zijn en de derdelaagscomplianceactiviteiten goed door de interne auditfunctie zouden kunnen worden vervuld. Dit doet ook verder geen afbreuk aan de vereisten van de AFM zoals aangegeven in de case uit 2011, omdat daarbij enkel het niet goed (aantoonbaar) en onafhankelijk invullen van de compliancefunctie wordt beargumenteerd. Omdat compliancy zich niet beperkt tot de Wta en het Bta, zal een compliancefunctie in de praktijk op andere risicogebieden dezelfde positie innemen, bijvoorbeeld ook voor toezicht op naleving van eigen beleid zoals het informatiebeveiligingsbeleid. Dit kan in praktijk tot onduidelijke governancesituaties leiden tussen compliance, IT/Information security en internal (IT) auditing. Wie is verantwoordelijk voor het stelsel en wie ziet toe op wat? Een duidelijke scheiding van compliancetaken in tweede- en derdelijnsfuncties is gewenst. Tevens dient een duidelijke definitie van het compliancewerkveld gehanteerd te worden om onduidelijkheden over verantwoordelijkheden in eerste lijn (tussen Internal Audit en Compliance) en in de tweede lijn (tussen IT Security en Compliance) te voorkomen. Een voorbeeld van het laatste zijn de verschillende doelstellingen in defensielaag 2, van bijvoorbeeld Compliance en IT Security. Daar waar in geval van een incident IT Security volstaat met het identificeren van de oorzaken en risico’s, en het mitigeren van het risico en waar nodig aanpassen van het stelsel, kan Compliance nog nader onderzoek wensen omdat zij gericht zijn op het exact achterhalen van wie welke overtreding heeft begaan. Dan moet bepaald worden wie deze complianceactiviteiten in de tweede laag uitvoert. De compliancefunctie dient ingevuld te worden conform de vereisten vanuit de wetgeving en de interpretatie daarvan door AFM. Dit geldt ten aanzien van risico’s voor het niet naleven van de wetgeving waar de AFM op controleert. Ten aanzien van andere risico’s, waaronder de ITgerelateerde risico’s, verdient het aanbeveling een eenduidig organisatiemodel te kiezen zoals het drielagenmodel van de IIA (2013). De vierde defensielaag De externe auditor wordt ook wel de 4e defensielaag genoemd (IIA, 2013). De externe auditor zal gebruikmaken van werkzaamheden die zijn verricht door internal auditing. Internal auditingactiviteiten worden voor een belangrijk deel uitgevoerd door de externe auditors van de eigen organisatie. Deze interne externe auditors hebben een sterke binding met de activiteiten van de externe auditor. In de interviews is e op gewezen dat dit kan leiden tot een te sterke inleving van
48
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
de rol van externe auditor door de interne auditor. Hierdoor kunnen assurancefuncties, of uitvoerenden uit de eerste laag, de interne auditor meer zien als een externe auditor. De interne auditor heeft ten doel de interne sturing en het toezicht te verbeteren en kan binnen de eigen organisatie opereren vanuit een intern onderling vertrouwen. De externe auditor heeft andere stakeholders en de gevolgen van zijn oordeel kunnen veel harder zijn. Voor uitvoerenden en overige assurancefuncties is een goede beoordeling door de externe auditor belangrijker dan op basis van het oordeel van de externe auditor in staat te worden gesteld om het interne stelsel te verbeteren. Hierdoor kan er een vertrouwensbreuk ontstaan tussen internal audit en andere assurancefuncties (zie figuur 4.3a).
Figuur 4.3a – Invulling van taken bij een vereenzelviging door de interne auditor met de externe auditor. Figuur 4.3b – Invulling van taken bij optimale samenwerking tussen de verschillende interne functies voor het minimaliseren van dubbele controles (reperformance). In figuur 4.3b is een situatie geschetst waarbij de verschillende functies uit de verschillende lagen samenwerken en ook activiteiten uitvoeren binnen elkaars verantwoordelijkheidsgebied, maar waarbij wel de eindverantwoordelijkheid per functie duidelijk bepaald moet worden. De samenwerking met de externe auditor wordt tot het noodzakelijke beperkt. Een dergelijke samenwerking voorkomt ook een hoop dubbel uitgevoerd controlewerk, waarvan in de interviews is aangegeven dat dit wel 30% kan bedragen. Tevens maakt een dergelijke samenwerking het mogelijk dat eventuele beperkingen ten aanzien van assuranceopdrachten zoals genoemd onder IT-auditingaspecten (paragraaf 4.2.4) kunnen worden verholpen door voor opdrachtsoorten die niet door internal audit worden uitgevoerd, of conclusies die niet kunnen worden getrokken door internal audit de verantwoordelijkheid bij de juiste tweede- (of eerste)lijnsverantwoordelijke functie te beleggen.
49
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
4.2.6
Grondbeginselen Internal Auditing Functie en taak van Internal Auditing De functie en taak van de IAF zoals in algemene zin beschreven in grondbeginselen 1 en 2 wordt unaniem door de experts onderschreven. Aspecten van grondbeginsel 2 (evalueren van, en rapporteren en adviseren over het beheersingssysteem) zijn besproken in voorgaande paragrafen. Deskundigheid en professionaliteit Het behoeft geen betoog dat de IAD binnen de kantoren voldoet aan de normen en standaarden van erkende en gezaghebbende beroepsorganisaties (grondbeginsel 3), dat er voldoende specialistische kennis (grondbeginsel 4) binnen de kantoren aanwezig is en dat deze ook in toenemende mate wordt aangewend door de IAD, ook voor niet-financiële controles. Hierbij moet wel de kanttekening worden geplaatst dat de beroepsorganisatie voor het overgrote deel van betrokkenen de NBA (Nederlandse Beroepsorganisatie van Accountants) is en dat de kantoren geen lid zijn van de IIA (zie ook hierna onder ‘Toezicht op internal auditfunctie). Aspecten van grondbeginsel 5 zijn hiervoor besproken, met name in paragraaf 4.2.3. Positionering en objectiviteit De grondbeginselen over de positie en objectiviteit van de IAD (grondbeginselen 6 tot en met 10) zijn zondermeer van toepassing voor de IAD binnen de grote accountantskantoren; de benoeming van het hoofd IAD, het vaststellen van de taakopdracht en het audit charter. De auditcommissie en ook de in de grondbeginselen genoemde raad van commissarissen hebben binnen de kantoren nog wel een minder duidelijke rol vergeleken met andere commerciële organisaties. Dit geldt met name voor de raad van commissarissen. Overige aspecten van deze grondbeginselen zijn besproken in paragraaf 4.2.2. Toezicht op de internal audit-functie Hiervoor is aangegeven dat de auditcommissie binnen de kantoren nog een minder duidelijke rol heeft (grondbeginsel 12). Verder zijn er vanuit de toezichthoudende instanties en de externe accountants (grondbeginsel 13) controles op het interne beheersingssysteem en daarmee op de interne auditfunctie, de Risk Management- of Quality Control-entiteit en de compliancefunctie (zie voorgaande paragraaf). In paragraaf 4.2.2 is de rapportage van de IAD aangegeven (grondbeginsel 11). Voor de auditors die werkzaamheden verrichten en lid zijn van een beroepsvereniging geldt dat deze zijn gehouden aan de regels opgesteld door de beroepsvereniging; de NBA voor registeraccountants (voorheen NIVRA en NOvAA), NOREA voor gekwalificeerde IT-auditors (register-EDP-auditors) en internationaal ISACA voor IT-auditors. Een specifieke controle op de interne auditfunctie wordt uitgevoerd door de IIA. De interne auditfuncties van haar leden worden eens per 5 jaar gecontroleerd tegen de IIA-beroepsregels. De accountantskantoren zijn geen lid van de IIA.
50
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De relatie met andere interne assurancefuncties Dit grondbeginsel (14) is uitvoerig besproken in paragraaf 4.2.5. De samenwerking tussen de internal auditor en de externe auditor Dit grondbeginsel (15) is ook in voorgaande paragrafen besproken, met name ook in paragraaf 4.2.5. De interne certificering In voorgaande paragrafen is aangegeven dat de interne auditfuncties van de kantoren in opdracht van de externe auditor de IT-controls uitvoeren. Internal Audit is niet betrokken bij een interne accountantsverklaring.
4.2.7
Conclusies In paragraaf 4.1.2 is al aangegeven dat het interne beheersingssysteem voor IT meer gelijkenis zal moeten vertonen met systemen bij andere commerciële en internationaal opererende ondernemingen. Uit het onderzoek blijkt dat de rol en betekenis van de interne auditfunctie (IAF) binnen de kantoren toeneemt maar dat de interne IT-auditfunctie (IT-IAF) nog te weinig aanwezig is en dat de rol momenteel onvoldoende wordt ingevuld. De rol van de IT-IAF beperkt zich van oudsher nog te veel tot controle ten behoeve van de financiële rapportage. Ook de rol van de IT-IAF zal ingevuld moeten worden conform de rol bij deze andere ondernemingen. De IT-IAF zal het interne beheersingssysteem voor IT naar een hoger volwassenheidsniveau moeten brengen. De rol van de IT-IAF zelf in het beheersingssysteem zal veel breder moeten zijn om IT-gerelateerde bedrijfsrisico’s (onzekerheden) optimaal te kunnen beheersen. Deze rol omvat adviestaken en meer beoordelende taken en controletaken als gevolg van bredere jaarrapportage (Integrated Reporting), de noodzaak tot inzicht in huidige risico’s (operationele audits) en toekomstige risico’s (risicoprofiel en strategieontwikkeling). Het blijkt dat het door de kantoren gehanteerde organisatiemodel voor interne beheersing van oudsher sterk afwijkt van het drielagen-defensiemodel. Met de toenemende rol van de IAF neemt het denken in lagen wel toe maar implementatie van het model voor beheersing van ITrisico’s wordt bemoeilijkt door de bestaande structuren voor beheersing van beroepsrisico’s, de invloed daarop van toezichthouders en het ontbreken van een wettelijk vereiste van een IAF voor accountantsorganisaties. Door haar kennis, ervaring en onafhankelijke positie kan de IT-IAF een goede bijdrage leveren aan realisatie van bedrijfsdoelstellingen door als interne partij samen te werken met tweede- en eerstelijnsfuncties. Door een juiste scoping en afbakening van advieswerkzaamheden blijft haar onafhankelijke positie gewaarborgd.
4.3
Enterprise Risk Management In deze paragraaf worden bevindingen en analyses gegeven over risicomanagement voor grote accountantskantoren. Dit vindt voornamelijk plaats op basis van literatuurstudie naar risicomanagementraamwerken en eigen ervaringen. De verschillende raamwerken zijn in detail weergegeven in bijlage B.
51
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Bestaande raamwerken De grote accountantskantoren hebben volwaardige interne controlesystemen en gebruiken risk management raamwerken voor beheersing van bedrijfsrisico’s gerelateerd aan de primaire bedrijfsprocessen. Deze raamwerken worden voornamelijk bepaald door eisen ten aanzien van interne controle voortkomend uit de wet- en regelgeving voor accountantskantoren en de wijze waarop uitvoering van wet- en regelgeving wordt beoordeeld bij controle door toezichthoudende instanties (AFM, 2012). Specifiek onderzoek naar de bestaande raamwerken voor risk management van de primaire bedrijfsrisico’s valt buiten de scope van dit onderzoek. Ten aanzien van IT is bij deze kantoren geringe of geen sprake van een separaat raamwerk binnen het interne beheersingssysteem. De raamwerken die gebruikt worden komen voort uit de IT-organisatie zelf of uit de IT-securityfunctie binnen de IT-organisatie. Deze zijn vaak opgezet vanuit beveiligingsmaatregelen en case-by-case. Een overkoepelende controlestructuur ontbreekt. Door het toenemend belang van IT binnen de bedrijfsprocessen, de ondersteunende processen, maar zeker ook in de wet- en regelgeving, is wel een toename te constateren van aandacht voor bescherming van (persoons)gegevens en informatiebeveiliging en de controle daarover. Ook cliënten vragen in toenemende mate naar maatregelen die de kantoren nemen ter waarborging van de vertrouwelijkheid van hun gegevens. Uit de gesprekken komt duidelijk naar voren dat bij opzet van het ITrisicomanagementraamwerk rekening gehouden moet worden met het bestaande risk management-raamwerk en systeem van interne controles. In de laatste versies van de raamwerken van de verschillende instanties (COSO, ISO, ISF, NIST en ISACA) wordt ook zeer nadrukkelijk gewezen op de noodzaak aan te sluiten bij het overkoepelende governance- en risk management-raamwerk binnen de organisatie. Dit bepaalt mede de keuze van een standaard en van raamwerkelementen. Een standaard De voordelen van het gebruik van een standaardraamwerk zijn evident, maar dit moet niet leiden tot het ondoordacht kopiëren van een standaard of onderdelen daaruit. De concepten binnen de standaard zullen een breed draagvlak moeten hebben binnen de organisatie en toepasbaar moeten zijn binnen de organisatie. Geen enkel risk management-raamwerk is zondermeer geschikt voor gebruik binnen een specifieke organisatie. In de nieuwere standaarden wordt ook duidelijk aangegeven dat vanuit de principes de verdere raamwerkcomponenten een voorbeeld uitwerking zijn voor veel organisaties en voor de meest gangbare situaties. Zo zijn de door COBIT5 aangereikte ‘enterprise’ en ‘IT-related goals’ de meest gangbare doelstellingen; deze dienen als voorbeeld. Ook van de processen in het COBIT5-model wordt aangegeven dat deze niet zijn voorgeschreven, maar dat het de meest voortkomende processen zijn en dat de organisatie haar eigen processen moet definiëren binnen de governance- en managementprocesgebieden (EDM respectievelijk PBRM, zie bijlage B). Het raamwerk moet dus zeker geen keurslijf zijn en het dient nooit een doel op zich te worden. In het verleden vaker gemaakte fouten betreffen bijvoorbeeld implementatie van ITIL-best practices. Maar ook elke certificering op IT-gebied, zoals de ISO 27001-certificeringen, heeft een inherent risico dat zij te veel een doel op zich wordt.
52
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Het IT-risicomanagementraamwerk In bijlage B zijn verschillende soorten raamwerken beschreven die ondersteuning bieden bij de opzet en inrichting van het interne beheersingssysteem. Naast de algemene governance-, IC- en ERM-raamwerken (zoals COSO-IC, COSO-ERM, ISO 31000 en de NIST SP800-30) zijn ook raamwerken beschreven die zich specifieker richten op governance en management van informatiebeveiliging (ISO 27005, ISF, NIST SP800-39) en op governance en management van IT (ISO 38500, NIST SP800-37, COBIT5). In paragraaf 4.3.1 wordt op basis van deze raamwerken een opsomming gegeven van kenmerken waaraan een risk management-raamwerk dient te voldoen om IT-gerelateerde bedrijfsrisico’s goed en evenwichtig (integraal) te kunnen beheersen. In bijlage B (punt B.6) worden de kenmerken gebruikt voor het opstellen van het IT-risk management-raamwerk voor beheersing van IT-gerelateerde risico’s bij uitbesteding zoals benoemd in paragraaf 4.1. Een risicomanagementraamwerk, of IT Risk Management Framework (IT-RMF), beperkt zich niet tot risico’s bij uitbesteding en heeft dus een bredere scope dan het onderzoek. Een IT-RMF specifiek voor uitbesteding kan voor organisaties worden opgezet op basis van de gegeven kenmerken en met gebruikmaking van een standaardraamwerk. In bijlage B (punt B.6) wordt een aanzet gegeven voor een raamwerk op basis van de IT-gerelateerde risico’s uit het onderzoek en de COBIT5-standaard. Selectie van een standaard Bij uitwerking van een IT-RMF worden bij voorkeur concepten en componenten ontleend aan de COBIT5-standaard. Deze keuze voor COBIT5 wordt hier kort toegelicht. De belangrijkste redenen om voor COBIT5 te kiezen zijn de volgende kenmerken en de eigen ervaringen daarmee als IT en Information Security Officer: 1) de holistische benadering; 2) de duidelijke scheiding in governance en risk management maar tegelijkertijd tevens de combinatie daarvan in één raamwerk. Een holistische benadering die zo veel mogelijk verschillende IT- en assuranceaspecten van een organisatie zijn bevat biedt de mogelijkheid verschillende werkgebieden geïntegreerd vanuit risicoperspectief te relateren aan bedrijfsdoelstellingen en afwegingen voor belanghebbenden. Op het gebied van IT-risicomanagement wordt in de praktijk ervaren dat vanuit verschillende werkgebieden de assurancefuncties ieder voor zich hun deel van de puzzel oplossen die de soms hectische IT-ontwikkelingen hen aanreiken, maar dat er onvoldoende overzicht is over het geheel. Een holistisch raamwerk biedt de mogelijkheid dit te verbeteren. Governance en risk management zijn in dit onderzoek benoemd als risico’s van de veranderingen in de IT-omgeving. De scheiding van deze twee gebieden brengt de noodzakelijke duidelijkheid voor zowel bestuurders als riskfuncties. De taken en verantwoordelijkheden zijn in praktijk niet altijd duidelijk of worden niet op juiste wijze in praktijk gebracht. De scheiding sluit hier goed bij aan, waarbij wordt opgemerkt dat deze niet noodzakelijk is gekoppeld aan het drielagen-defensiemodel De combinatie van de twee gebieden in een raamwerk waarborgt aansluiting van doelstellingen, zoals aangeduid met de ‘goal cascading’ binnen COBIT5.
53
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Deselectie van standaarden Naast deze criteria voor selectie van COBIT5 zijn er ook criteria te benoemen voor deselectie van de overige raamwerken. Elk van de beschreven raamwerken heeft zijn specifieke betekenis binnen de interne beheersing en deze deselectie zegt verder niets over het belang en gebruik van deze raamwerken binnen andere contexten dan de scope zoals aangegeven voor dit onderzoek. De COSO-raamwerken vormen de basis vanwaaruit de meeste andere raamwerken zijn opgezet. De COSO-raamwerken zelf bieden echter te weinig concrete handvaten voor IT-auditing om deze zelf als basis te hanteren voor het IT-RMF. De resultaten van vervolgstudies op COSO ERM zijn wel goede handvaten voor gebruik binnen de processen zelf, zoals de Enterprise Risk Management for Cloud Computing (COSO, June 2012). Voor de ISO-standaarden geldt dat deze als geheel gezien veel overeenkomen met COBIT5. In bepaalde opzichten bepalen de afzonderlijke ISO-standaarden sterk de richting op onderdelen uit het werkveld. Zo is het begrippenkader zeer duidelijk en consistent. De ISO governance- en risk management-standaarden hanteerden al in 2008/2009 concepten die later zijn opgenomen in andere standaarden zoals de principles en uncertainty in de definitie van risk. Ook voor het risk management proces zijn uit ISO 27005 de concepten direct over te nemen voor het IT-RMF. De ISO-standaarden hebben echter nog geen overkoepelende standaard voor governance en risk management zoals COBIT5. Nieuwe standaarden zijn aangekondigd. Deze zullen de ontwikkeling van standaarden op dit gebied ongetwijfeld volgen. Daarnaast blijven de kosten voor aanschaf van ISO-standaarden een belemmering voor eenvoudige en brede verspreiding en acceptatie. Het ISF-raamwerk is sterk gericht op informatiebeveiliging binnen een organisatie. Met de andere ISF-standaarden (hier niet benoemd) kan dit een goede ondersteuning bieden voor de information security-functies binnen een organisatie, met name als security duidelijke en substantiële entiteiten omvat binnen zowel governance, risk management als de operationele processen. Voor een holistische benadering van enterprise risk management binnen de eigen organisatie heeft het model te weinig concrete raakvlakken met andere raamwerken. Gecombineerd met de geringe brede bekendheid ook in de eigen omgeving is dit de reden voor deselectie van deze standaard. De NIST-standaarden vormen bij elkaar een zeer uitgebreide set van standaarden op governance-, management- en operationeel gebied. Ze worden met name door de Amerikaanse overheid gebruikt. De uitwerking in processen en maatregelen gaat vrij ver en biedt de Amerikaanse overheidsorganisaties daarmee houvast aan wat ze moeten implementeren. Zo combineren ze strategisch, tactisch en operationeel niveau in één standaard. Hun raamwerk omvat processtappen die de overheidsorganisaties moeten uitvoeren. Voor algemene standaarden bij gebruik voor een raamwerk is dit te gedetailleerd. Dat neemt niet weg dat deze standaarden een goede ondersteuning kunnen bieden voor riskfuncties.
4.3.1
Kenmerken van het IT-risicomanagementraamwerk Uit de ontwikkeling van de raamwerken van de verschillende instellingen (COSO, ISO , ISF, NIST en ISACA) kunnen een aantal kenmerken worden afgeleid waaraan een ITrisicomanagementraamwerk dient te voldoen.
54
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Op principes gebaseerd Risicomanagementraamwerken dienen aangepast te kunnen worden aan wijzigende omstandigheden en inzichten. Zeker voor IT geldt dat de omgeving zich snel en drastisch kan wijzigen en het risicoprofiel elk jaar aangepast dient te worden. Dit geldt in nog sterkere mate indien die IT-omgeving voor een belangrijk deel op uitbesteding is gebaseerd. Voor een efficiënt beheersingssysteem dienen aanpassingen aan het raamwerk relatief eenvoudig plaats te vinden. Dit betekent dat er een basis dient te zijn met uitgangpunten, een visie en werkwijzen die door de jaren heen nauwelijks aanpassing behoeven en die voldoende handvaten bieden voor efficiënt doorvoeren van noodzakelijke wijzigingen. Holistische benadering Om de gevolgen van onzekerheden voor de organisatie goed te kunnen beoordelen dient risicomanagement in een zo breed mogelijk kader plaats te vinden. Daarbij moet rekening worden gehouden met de algehele bedrijfsdoelstellingen bij afweging van alle afzonderlijke voordelen (opbrengsten), nadelen (risico’s) en kosten (inzet van middelen). Bij afweging van risico’s is het tevens van belang de wensen van belanghebbenden (stakeholders) te kennen. Risico’s, en dus ook kansen, op elk niveau moeten daarbij gerelateerd kunnen worden aan de algehele bedrijfsdoelstellingen. Dit betreft zowel risico’s op strategisch, tactisch en operationeel niveau als risico’s op onderdelen zoals bijvoorbeeld processen, systemen en informatie. Deze onderdelen van de informatievoorziening zijn de middelen (of Enablers5) die realisatie van doelstellingen mogelijk maken. Indeling van deze middelen dient aan te sluiten bij bestaande middelen/processen zoals asset management en database administratie, en dient vooral begrijpelijk te zijn en geaccepteerd te worden binnen de organisatie. Een holistische benadering vereist inbedding van het IT-RMF binnen het overkoepelende risicomanagementraamwerk. Eén overkoepelend corporate raamwerk Een IT-RMF dient aan te sluiten bij, en bijvoorkeur onderdeel te zijn van, het organisatiebrede risicomanagementraamwerk. Dit betekent dat het gebaseerd dient te zijn op zo breed mogelijk geaccepteerde standaarden voor governance en risk management. Effectief betekent dit voor grote accountantskantoren dat het raamwerk gebaseerd dient te zijn op de COSO-standaarden (ICF en ERM), dat aan vereisten vanuit wet- en regelgeving en eigen beleid en procedures wordt voldaan en dat rekening wordt gehouden met standaarden die voor cliënten gelden, zoals de Nederlandse corporate governance code (Commissie Corporate Governance Code, 2003). Voor specifieke gebieden, zoals IT, betekent dit dat het raamwerk gebaseerd dient te zijn op standaarden die aansluiten bij het stelsel van interne controle en dus niet alleen het ITrisico geïsoleerd beschouwen. 5
In de jaren negentig van de vorige eeuw werd al een brede definitie van middelen gehanteerd binnen de Nederlandse overheid met de MAPGOOD-indeling (Mens, Apparatuur, Programmatuur, Organisatie, Omgeving en Diensten). Binnen COSO ICF en ERM zijn de middelen voor controle omvat in de componenten. Een indeling naar de Enablers uit COBIT5 sluit aan bij de IT-omgeving van de huidige IT-risk manager en IT-auditor.
55
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Anderzijds dient het raamwerk aan te sluiten op de interne controlesystemen en risicomanagementprocessen zoals deze al langer bestaan binnen de accountantskantoren, het bestaande risicomanagementraamwerk. Dit betekent dat IT-governance en IT-risicomanagement bij voorkeur integraal onderdeel vormen van het bestaande risicomanagementraamwerk. In praktijk is dit niet eenvoudig te realiseren door de grote verschillen tussen het IT-werkveld en het oorspronkelijke accountantsassurancewerkveld, de andere vereisten qua kennis en ervaring, en de relatief geringe volwassenheid van interne IT-assuranceactiviteiten. Scheiding governance en risicomanagement In praktijk bestaat er behoefte aan duidelijk onderscheid tussen governanceactiviteiten en risicomanagementactiviteiten. Oorzaken hiervan zijn de verplichtingen voor het bestuur vanuit de wetgeving en mede als gevolg daarvan de ontwikkelingen binnen regelgeving en beroepsrichtlijnen. Het raamwerk dient dan ook gebaseerd te zijn op een standaard die dit onderscheid aanbrengt. In COSO ERM is niet expliciet onderscheid aangebracht tussen governancecomponenten en risicomanagementcomponenten. In de risicomanagementstandaard van ISO (ISO 3100) worden onder de principes governanceactiviteiten beschreven, en in de governance standaard van ISO (ISO 38500) worden managementactiviteiten benoemd. Een scheiding in governance en risicomanagement zoals aangebracht binnen COBIT5 sluit aan bij de praktijk en kan voor betrokkenen beter de gewenste duidelijkheid bieden. Procesbenadering Het procesmodel van COBIT is sterk veranderd in COBIT5 vergeleken met voorgaande versies. Uit het raamwerk en uit de beschikbare voorbeelden en uitwerking in ‘COBIT5:For Information Security’ (2012) blijkt dat het proces (als Enabler) nog steeds een zeer belangrijke plaats inneemt. Het opnemen van middelen (Enablers) in het model is een noodzaak om alle risico’s goed in kaart te brengen en te kunnen beoordelen. Een kerndoelstelling van een intern beheersingssysteem wordt omschreven als het inzichtelijk maken van onzekerheden als gevolg van alle activiteiten binnen de organisatie die bijdragen aan de bedrijfsdoelstellingen. Activiteiten en processen vormen dus ook een kern voor het IT-RMF. Dit komt overeen met de eigen ervaring als IT en Information Security Officer bij assessment van IT-initiatieven. Standaarden die vanuit best practice beveiligingsmaatregelen zijn ontstaan, zoals de ISO 27001, bieden een goed middel bij invulling van controlraamwerken. Maar bij alle enthousiasme over nieuwe diensten of producten, de hectiek van ontwikkelingstrajecten en de discussies over product of assurance details moet altijd teruggegrepen worden op overkoepelende informatiestromen en processen voor beoordeling van de daadwerkelijke risico’s van IT-ontwikkelingen. Eén risicomanagementprocesmodel Risicomanagement dient op een systematische en gestructureerde wijze plaats te vinden. In grote organisaties zijn binnen het risicomanagementproces verschillende expertisegebieden ondergebracht in separate eenheden. Risico daarbij is dat deze eenheden als zelfstandige silo’s binnen de organisatie hun eigen proces inrichten waardoor het overkoepelende
56
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
risicomanagementproces inefficiënt wordt en onduidelijk voor gebruikers die langs verschillende loketten moeten. Er dient daarom één overkoepelend proces te zijn waarin wordt toegezien op een organisatiebrede afweging van voordelen, risico’s en inzet van middelen Binnen de verschillende risicomanagementstandaarden is er redelijke consensus over de structuur en de deelprocessen. Ook het laatste Richtsnoer van het CBP (2013) volgt de gebruikelijke risicomanagementmodellen. Voor een goede communicatie is het wel noodzakelijk dat de verschillende werkgebieden dezelfde terminologie hanteren en dat er één generiek model wordt gehanteerd voor uitvoering van het risicomanagementproces. Dit model zal binnen de verschillende werkgebieden specifiek uitgewerkt moeten worden. Als voorbeeld van de verschillen in uitwerking kan invoering van een nieuwe financiële wetgeving worden vergeleken met de invoering van een nieuwe IT-component (bijvoorbeeld een mobile device). De nieuwe financiële wetgeving zal veelal direct gepaard gaan met de noodzakelijk uitwerkingen in richtlijnen. Nieuwe IT-middelen zijn in dat opzicht echter vogelvrij en best practices vormen zich in de loop van de tijd. Vanuit de ontwikkeling binnen de verschillende standaarden verdienen de volgende risicomanagementaspecten aandacht om op juiste wijze te definiëren en op te nemen in het ITrisicomanagementraamwerk: Duidelijke risicobereidheid en risicoacceptatiegraad (Risk Appetite) In een governancecontext wordt gesproken over de risicobereidheid van een organisatie en in een risicomanagementcontext wordt de term risicoacceptatiegraad gebruikt. Bij gebruik van de term ‘risk appetite’ wordt niet altijd duidelijk onderscheid gemaakt. In de context van het IT-RMF wordt hier de term risicoacceptatiegraad gehanteerd als een concretere invulling of maat voor de risicobereidheid. Het belang van de risicoacceptatiegraad is groot. Als gevolg van de huidige omstandigheden is de bereidheid tot het nemen van risico’s bij de kantoren sterk veranderd. Enerzijds wil men kosten nog moeite sparen om de negatieve publiciteit rond de accountantsberoepsgroep aan te pakken. De risicobereidheid ten aanzien van audit- en assuranceactiviteiten is dan ook zeer gering. Anderzijds is er een hoge druk om kosten te reduceren en efficiënter te werken. Dit resulteert in een sterke toename in het gebruik van IT en het uitbesteden van activiteiten. Vergeleken met de praktijk tot voor enkele jaren is daarbij de bereidheid om risico’s te accepteren relatief groot. Het bepalen van een maat voor het wel of niet accepteren van risico’s (risicoacceptatiegraad en risicotolerantie, COSO ERM en ISO Guide73) is een belangrijke component van het IT-RMF. De mate waarin het management bereid is risico’s te accepteren (risicobereidheid, NIVRA (2010)) dient uitgedrukt te worden in de risicoacceptatiegraad en de risicotolerantie.
57
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Onzekerheden (risico versus kans) Het IT-RMF heeft als doel het management ondersteuning te bieden bij beheersing van IT-gerelateerde onzekerheden. Deze onzekerheden kunnen zowel positieve als negatieve gevolgen hebben. Van belang is dat vanuit het risicomanagementproces zowel de te benutten kansen als de mogelijke gevolgschades van risico’s inzichtelijk worden gemaakt. De keuze welke definitie van risico wordt gebruikt – die waarin gevolgen van onzekerheden worden benoemd (ISO Guide73) of die waarin de gevolgschade wordt benoemd (vrijwel alle andere standaarden) – is minder van belang. Door niet alleen gevolgschade maar alle gevolgen van onzekerheden (en dus ook kansen) te beschouwen kan tevens het negatieve imago – en voor het proces en bredere bedrijfsdoelstellingen obstructieve imago – worden doorbroken dat risicomanagemententiteiten doorgaans hebben. Hierdoor kan een betere samenwerking en vertrouwensrelatie ontstaan met uitvoerenden en tussen assurancefuncties onderling. Kansen doen zich niet alleen voor bij nieuwe ontwikkelingen maar ook als gevolg van een andere samenstelling van controls. Voor beide situaties kan dit in de praktijk bijvoorbeeld betekenen dat de dure technische preventieve controls – waar in het verleden voor werd gekozen – nu worden vervangen door technische of procedurele detectieve controls. Risicobehandelingen De verandering van een risicomijdend proces naar een risico’s en kansen beoordelend proces dient gepaard te gaan met het benutten van een groter aantal mogelijkheden om risico’s te behandelen, het risicobehandelingsproces. Een uniforme definitie van de soorten behandelingen dient gehanteerd te worden, bijvoorbeeld die van ISO 31000: vermijden, (kans) aangrijpen, verwijderen, veranderen (van kans of gevolgen), (ver)delen, accepteren.
4.3.2
Conclusies De huidige risicomanagementstandaarden bouwen alle voort op de COSO ERM-standaard. Deze standaard komt op zijn beurt weer voort uit de interne controlestandaard (COSO ICF), veranderde omgeving van organisaties en verschillende schandalen. De verschillende huidige standaarden bouwen ook weer op elkaar voort. Duidelijk tendenzen bij nieuwe versies van de verschillende standaarden zijn: •
het gebruik van principes, om de standaard algemenere maar wel duidelijke en tijdsonafhankelijkere uitgangspunten te geven;
•
een duidelijke relatie met bedrijfsdoelstellingen en optimale beheersing van onzekerheden (risico’s én kansen) om deze doelstellingen te realiseren;
•
een bredere (holistische) aanpak waarin risico’s en inzet van alle bedrijfsmiddelen worden meegenomen.
58
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
5
Conclusies In voorgaand hoofdstuk zijn conclusies getrokken op de afzonderlijke onderzoeksgebieden, te weten: veranderingen in de IT-omgeving van accountants, de vakgebieden internal auditing en IT-auditing en risicomanagementraamwerken. In het kader van de onderzoeksvraag naar de rol van internal IT-auditing kunnen de volgende eindconclusies worden getrokken uit de onderzoeksresultaten: •
Het interne beheersingssysteem voor IT zal meer gelijkenis moeten vertonen met systemen bij andere commerciële en internationaal opererende ondernemingen. Uit het onderzoek blijkt dat de rol en betekenis van de interne auditfunctie (IAF) binnen de kantoren toeneemt maar dat de interne IT-auditfunctie (IT-IAF) nog te weinig aanwezig is. De rol van de ITIAF beperkt zich van oudsher nog te veel tot controle ten behoeve van de financiële rapportage. Ook de rol van de IT-IAF zal ingevuld moeten worden conform de rol bij andere commerciële ondernemingen.
•
De IT-IAF zal het interne beheersingssysteem voor IT naar een hoger volwassenheidsniveau moeten brengen. De rol van de IT-IAF zelf in het beheersingssysteem zal veel breder moeten zijn om IT-gerelateerde bedrijfsrisico’s (onzekerheden) optimaal te kunnen beheersen. Deze rol omvat adviestaken en uitgebreidere beoordelende taken en controletaken als gevolg van bredere jaarrapportage (Integrated Reporting), de noodzaak tot inzicht in huidige risico’s (operationele audits) en toekomstige risico’s (risicoprofiel en strategieontwikkeling).
•
Het blijkt dat het door de kantoren gehanteerde organisatiemodel voor interne beheersing van oudsher sterk afwijkt van het drielagen-defensiemodel. Met de toenemende rol van de IAF neemt het denken in lagen wel toe maar implementatie van het model voor beheersing van IT-risico’s wordt bemoeilijkt door de bestaande structuren voor beheersing van beroepsrisico’s, de invloed daarop van toezichthouders en het ontbreken van een wettelijke vereiste voor een IAF binnen accountantsorganisaties.
•
Door haar kennis, ervaring en onafhankelijke positie kan de IT-IAF een goede bijdrage leveren aan realisatie van bedrijfsdoelstellingen door als interne partij samen te werken met tweede- en eerstelijnsfuncties. Door een juiste scoping en afbakening van advieswerkzaamheden blijft haar onafhankelijke positie gewaarborgd.
•
Het risicomanagementraamwerk waar de IT-IAF op toeziet en waarvan zij gebruikmaakt voor beheersing van IT-gerelateerde risico’s dient op principes te zijn gebaseerd, moet duidelijke relaties aangeven tussen bedrijfsdoelstellingen en IT-doelstellingen, moet alle middelen in beschouwing nemen die bijdragen aan doelstellingen (holistisch), moet alle ITactiviteiten binnen de organisatie beschouwen en moet een risicomanagementprocesmodel omvatten dat is gericht op risico’s én kansen, en waarin duidelijkheid over de risicoacceptatiegraad wordt vereist.
59
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
6
Beantwoording onderzoeksvraag In dit hoofdstuk worden de onderzoeksvragen beantwoord, beginnend met de deelvragen (paragraaf 6.1) en vervolgens de centrale onderzoeksvraag (paragraaf 6.2).
6.1
Deelvragen 1) Welke veranderingen heeft het uitbesteden voor gevolgen voor de IT-omgeving en het risicomanagement daarbij? Het onderzoek geeft aan dat er sterke veranderingen plaatsvinden in de IT-omgeving van accountantskantoren, veranderingen die voorheen ondenkbaar waren. Deze veranderingen zijn niet alleen het directe gevolg van uitbesteding. Er vindt ook verregaande automatisering van processen plaats, nieuwe IT-diensten en technologie worden geïntroduceerd en bestaande technologie wordt op andere wijze gebruikt. Als gevolg daarvan verandert het IT-risicoprofiel sterk in vergelijking met de situatie tot aan de eerste jaren van deze eeuw. Zo zal als gevolg van uitbesteding het belang toenemen van goede contractuele afspraken, privacy vereisten en wet- en regelgeving in het algemeen. Ook het belang van de (opslag)locatie van gegevens en controle op toegang tot gegevens neemt toe. Het veranderende risicoprofiel vereist aanpassingen aan het interne beheersingssysteem, voornamelijk aanpassingen in IT-governance en in het IT-risicomanagementproces.
2) Welke bijdrage kan internal IT-auditing leveren aan het risicomanagement van een groot accountantskantoor? Voor een aantal aspecten van de rol van de interne IT-auditfunctie (IT-IAF) geeft de Position Paper van IIA (2008) antwoord voor de internal audit-functie (IAF). Veel van de door de IIA genoemde ontwikkelingen en aspecten van het IAF werkgebied gelden evenzo, zo niet nog sterker, voor de IT-IAF. De bijdrage van de IT-IAF wordt hierna eerst in algemene zin beantwoord. Vervolgens worden de belangrijkste bijdragen eerst beschreven vanuit de bestaande controlerol van de IT-IAF en vervolgens vanuit de advies- en lijnondersteunende rol welke in belang toeneemt. Algemeen De IT-IAF dient de beheersing van de IT-omgeving, en daarmee de IAD, naar een hoger volwassenheidsniveau te brengen. De IT-IAF vervult de rol van ambassadeur voor het ITrisicogebied dat binnen de kantoren nog steeds wordt onderschat. Daarbij dient de IT-IAF niet alleen te wijzen op de risico’s, of negatieve gevolgen van onzekerheden, maar dient zij ook de kansen te benutten en het management te ondersteunen bij het tegen elkaar afwegen van opbrengsten, risico’s en inzet van middelen. Een holistische risicogebaseerde benadering van interne controle is daarbij noodzakelijk. De IT-IAF dient een vertrouwensrelatie op te bouwen met functies in de eerste en tweede defensielaag. Als laatste onafhankelijke beoordelaar van IT-gerelateerde risico’s in de defensielijn dient de IT-IAF een vertrouwensfunctie te vervullen voor rapportering van ITgerelateerde risico’s.
60
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Door invulling van zijn rol in de derde defensielaag levert de IT-IAF een onafhankelijke bijdrage aan realisatie van de bedrijfsdoelstellingen. Door de holistische benadering en door zowel risico’s als kansen in haar beoordeling- en advieswerkzaamheden mee te nemen kan de organisatie een optimaal rendement halen uit zijn middelen, waarbij rendement nadrukkelijk de opbrengsten zijn op financiële zowel als alle niet-financiële gebieden, en middelen niet alleen investeringen zijn maar alle materiële en immateriële zaken die worden benut voor realisatie van de bedrijfsdoelstellingen. Controle De IT-IAF zal haar huidige controlerol in het kader van de financiële rapportage blijven vervullen. In het verlengde van de veranderende jaarrapportages (zie Integrated Reporting) zal de rol van de IT-IAF bij deze controles echter ook breder dienen te zijn dan enkel het beoordelen van de betrouwbaarheid van IT voor de financiële gegevens over de rapportageperiode. IT-gerelateerde risico’s voor andere rapportagegebieden dienen beoordeeld te worden. De IT-IAF zal zich ook niet kunnen beperken tot de controles in het kader van de jaarlijkse rapportage. De geschetste ontwikkelingen gaan snel en het management heeft behoefte aan inzicht in het functioneren van het beheersingssysteem over lopende ontwikkelingen. Operationele audits zullen toenemen om de dynamische omgeving op juiste wijze te kunnen aansturen en monitoren. Door het toegenomen belang van IT bij alle activiteiten en processen van de organisatie zal de aanpak van de IT-IAF meer risicogebaseerd en breder moeten zijn, of in termen van het risicomanagementraamwerk: holistisch. De IT-IAF zal ook vooruit moeten kijken, vooral strategisch maar ook tactisch. Niet alleen de risico’s uit het verleden, de rapportageperiode, dienen beoordeeld te worden maar ook de huidige risico’s en toekomstige risico’s dienen geïdentificeerd en beoordeeld te worden. Advies en lijnondersteuning Verder dient de IT-IAF een duidelijke adviesrol op zich te nemen, naar het bestuur en de auditcommissie. Deze en andere stakeholders willen helderheid, inzicht en vertaling van ITrisico’s naar bedrijfsdoelstellingen. Controles alleen verschaffen dit in onvoldoende mate. Het functioneren van het IT-beheersingssysteem dient inzichtelijk en duidelijk gemaakt te worden. Issues en het disfunctioneren van het systeem, governance- en risicomanagementproblemen door onder andere de versnippering van IT-diensten en de huidige onstuimige ontwikkelingen, moeten inzichtelijk worden gemaakt. De IT-IAF dient te adviseren over verbetering van structuren en processen. Deze adviezen over het beheersingssysteem behoren tot de primaire taak en conflicteren niet met de controlerende rol. Daarnaast kan de IT-IAF een onafhankelijk beoordelende en adviserende rol vervullen voor de lijnfuncties binnen de eerste defensielaag en voor de assurancefuncties binnen de tweede defensielaag. De binnen internal IT-auditing beschikbare kennis en ervaring dient daarbij effectief te worden ingezet voor de organisatie. Het is van belang dat de IT-IAF daarbij vanuit haar interne rol functioneert. Wel dient altijd de onafhankelijkheid naar de lijnfunctie en assurancefuncties behouden te blijven, van zowel de persoonlijke auditor als van de interne auditentiteit of -dienst. De (eerste) lijn blijft altijd eindverantwoordelijk. Zo kan de IT-auditor binnen de IT-IAF bijvoorbeeld in het verlengde van zijn controle werkzaamheden over oplossingsrichtingen of zelfs verregaande selectie(criteria) adviseren.
61
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Zonodig worden deze werkzaamheden geheel onder verantwoordelijkheid van de lijnfunctie uitgevoerd. De complexiteit van het IT-werkveld en de gevolgen voor de bedrijfsdoelstellingen maken die uitbreiding van de rol wenselijk. Met een juiste scoping en afbakening van adviezen is deze adviesrol goed mogelijk voor de IT-IAF.
3) Waaraan dient het risicomanagement te voldoen om de IT-gerelateerde bedrijfsrisico’s evenwichtig (integraal) te kunnen beheersen? Als hulpmiddel voor gebruik binnen het IT-beheersingssysteem dient de IT-IAF gebruik te maken van een raamwerk dat: •
op principes is gebaseerd: Principes vormen de basis waarin uitgangspunten, visie en algemene werkwijze zijn vastgelegd vanwaaruit risicomanagement is opgezet en ook efficiënt aan wijzigende omstandigheden en inzichten kan worden aangepast.
•
duidelijke relaties aangeeft tussen bedrijfsdoelstellingen en IT-doelstellingen: Hierdoor kan het belang van IT-doelstellingen (en IT-middelen) ook direct worden vertaald in het belang voor de organisatie en kunnen risico’s voor de organisatie, voor de IT-diensten en voor IT-middelen aan elkaar worden gerelateerd.
•
alle middelen in beschouwing neemt (holistisch): Door de voordelen, nadelen en kosten van alle middelen als geheel te beschouwen kan een goede afweging worden gemaakt van risico’s en kansen voor realisatie van de bedrijfsdoelstellingen.
•
alle IT-activiteiten binnen de organisatie beschouwt: Door organisatiebrede risicomanagementaanpak (en procesmodel) worden ook de risico’s beheerst van het bredere IT-gebruik (en IT-beheer) als gevolg van de veranderingen in de (IT-)omgeving.
•
onzekerheden en de risicoacceptatiegraad beschouwt: Door onzekerheden (risico’s én kansen) te beschouwen en niet alleen risico’s draagt risicomanagement effectiever en efficiënter bij aan realisatie van bedrijfsdoelstellingen. Door een maat te bepalen voor het wel of niet accepteren van risico’s (de risicoacceptatiegraad) is een helderder en meer consistente afweging van risico’s en kansen mogelijk voor afzonderlijke situaties.
6.2
Centrale onderzoeksvraag In deze paragraaf wordt de beantwoording van de onderzoeksvragen afgerond met beantwoording van de centrale onderzoeksvraag: Welke rol kan internal IT-auditing vervullen voor risicomanagement van een grote accountantsorganisatie in geval van uitbesteding? Internal IT-auditing is de functie of het proces om onafhankelijk (en objectief) te oordelen en te adviseren over (interne) IT-gerelateerde bedrijfsprocessen met als doel deze te verbeteren en er
62
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
waarde aan toe te voegen. Het ondersteunt een organisatie bij realisatie van haar doelstellingen door de effectiviteit van het interne beheersingssysteem op een systematische en gedisciplineerde wijze te evalueren en te verbeteren. De internal IT-auditfunctie (IT-IAF) ziet toe op beheersing van IT-gerelateerde risico’s (ITrisicomanagement) binnen het interne beheersingssysteem. Daarbij ziet de IT-IAF onder andere toe op de IT-governance- en risicomanagementprincipes zoals de relatie tussen bedrijfsdoelstellingen en IT-doelstellingen, verdiscontering van alle relevante IT-middelen, een organisatiebreed IT-risicomanagementproces en duidelijkheid over de risicoacceptatiegraad. Mede als gevolg van het uitbesteden van zowel bedrijfsprocessen als ondersteunende processen door accountantsorganisaties vinden er sterke veranderingen plaats binnen de IT-omgeving van de kantoren. Hierdoor, en door de grotere IT-afhankelijkheid van organisaties in het algemeen, nemen de IT-risico’s en het belang van de IT-IAF-rol toe. Belangrijke risico’s daarbij zijn een niet goed functionerende IT-governance en een niet goed functionerend IT-risicomanagementproces. De IT-IAF rol beperkt zich niet meer tot ondersteuning bij financiële controles. Gelijk aan de rol van de IAF die zich vanaf het begin deze eeuw uitbreidt als gevolg van de corporate governance-ontwikkelingen, breidt ook de IT-IAF rol zich uit. Door de behoefte van het management aan inzicht in huidige en toekomstige IT-risico’s (voor realisatie van bedrijfsdoelstellingen) zal de IT-IAF dit inzicht moeten verschaffen door het controlewerkveld uit te breiden en een advies- en lijnondersteunende rol op zich te nemen. Binnen de controlerol zal de IT-IAF meer risicogebaseerde controles uitvoeren. Er zullen meer operationele audits worden uitgevoerd. Niet alleen de risico’s uit het verleden, over de rapportageperiode, moeten beoordeeld worden maar ook de huidige risico’s. Tevens moeten toekomstige risico’s én kansen worden geïdentificeerd en beoordeeld. Vanuit de advies- en lijnondersteunende rol zal de IT-IAF het bestuur adviseren bij realisatie van bedrijfsdoelstellingen. Met name in de adviserende rol beschouwt de IT-IAF zowel risico’s als kansen en zowel bestaande als toekomstige risico’s en verstrekt zij strategisch en tactisch advies. Door de beschikbare kennis en ervaring binnen de IT-IAF kan deze ook een effectieve adviesrol vervullen naar lijnverantwoordelijken in het algemeen. Daarbij dient de onafhankelijkheid richting eerste (en ook tweede) defensielaag gewaarborgd te worden door juiste scoping en afbakening van werkzaamheden.
63
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
A
IT-auditingaspecten Het tripartiete model Onder het tripartiete model wordt verstaan dat er bij een assuranceopdracht altijd sprake dient te zijn van drie partijen: de auditor, de opdrachtgever en de (beoogde) gebruikers van het onderzoeksobject. De opdrachtgever is de partij die verantwoordelijk is voor het onderzoeksobject en hier ook verantwoording over aflegt. De gebruikers zijn de partij die belang heeft bij de resultaten van het onderzoek dat haar een mate van zekerheid verschaft bij het gebruik ervan. De auditor voert het onderzoek uit in opdracht van de opdrachtgever. Van een opdracht waarbij niet direct een gebruiker betrokken of beoogd is, maar waarbij de opdrachtgever zichzelf een mate van zekerheid wil verschaffen over het voldoen aan gestelde criteria, wordt aangegeven dat dit ‘meestal’ geen assurance- maar een adviesopdracht betreft, maar dat het ‘niet bezwaarlijk’ is om dit een IT-auditopdracht te noemen. De opdrachtgever voor de IT-audit is de verantwoordelijke of de gebruiker. Wel kunnen bij een assuranceopdracht de opdrachtgever en de gebruiker tot dezelfde organisatie behoren. Opdracht De uitvoering van een IT-audit dient aan bepaalde eisen te voldoen, de uitvoeringsnormen. Voor assuranceopdrachten worden hiervoor strikte eisen gesteld door NOREA (in het kader van de attestfunctie van de IT-auditor). Voor een assuranceopdracht dient de auditor te bepalen welke werkzaamheden nodig zijn om een conclusie te onderbouwen. Er dient een overeenkomst te zijn – of in geval van een intern audit een interne opdracht of jaarplan – waarin de opdracht voor de IT-audit is afgesproken. Gedragscode Een IT-auditor dient te allen tijde te voldoen aan de grondbeginselen van het auditberoep en aan de gedragscode en beroepsreglementen die zijn opgesteld door de beroepsvereniging waar hij lid van is. Internationaal zijn dit met name de gedragscodes van ISACA en de IIA. Nationaal is dat met name het reglement gedragscode van NOREA dat in 2006 is opgesteld en in 2010 verder in lijn is gebracht met de Code of Conduct van het IFAC voortvloeiend uit het IFAC Affiliated-lidmaatschap van NOREA. De gedragscodes zijn sterk overlappend. De verschillen zitten in de exact gebruikte terminologie, de mate van detail waarin de regels binnen de code zijn gesteld. Daarnaast maakt de IIA onderscheid tussen principes en regels die als richtlijn voor invulling van die principes gelden, waar alle artikelen uit de gedragscodes van de NOREA regels zijn waaraan voldaan moet worden. Hier wordt de benaming van IFAC/NOREA gevolgd aangevuld met de regel voor Toepassing van vaktechnische normen, welke door de IIA, ISACA en Fijneman R. et al. (2011) expliciet wordt benoemd. De beschrijvingen zijn overgenomen uit IFAC’s Code of Conduct (International Ethics Standards Board for Accountants, 2012). •
Integriteit (Integrity) - The principle of integrity imposes an obligation on all professional accountants to be straightforward and honest in all professional and business relationships. Integrity also implies fair dealing and truthfulness.
64
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
• •
•
•
•
Objectiviteit (Objectivity) - The principle of objectivity imposes an obligation on all professional accountants not to compromise their professional or business judgment because of bias, conflict of interest or the undue influence of others. Deskundigheid en Zorgvuldigheid (Professional Competence and Due Car) – The principle of professional competence and due care imposes the following obligations on all professional accountants: (a) To maintain professional knowledge and skill at the level required to ensure that clients or employers receive competent professional service; and (b) To act diligently in accordance with applicable technical and professional standards when providing professional services. Geheimhouding (Confidentiality) - The principle of confidentiality imposes an obligation on all professional accountants to refrain from: (a) Disclosing outside the firm or employing organization confidential information acquired as a result of professional and business relationships without proper and specific authority or unless there is a legal or professional right or duty to disclose; and (b) Using confidential information acquired as a result of professional and business relationship Professioneel gedrag (Professional Behavior) - The principle of professional behavior imposes an obligation on all professional accountants to comply with relevant laws and regulations and avoid any action that the professional accountant knows or should know may discredit the profession. This includes actions that a reasonable and informed third party, weighing all the specific facts and circumstances available to the professional accountant at that time, would be likely to conclude adversely affects the good reputation of the profession. Toepassing vaktechnische normen – ISACA (2008): Support the implementation of, and encourage compliance with, appropriate standards and procedures for the effective governance and management of enterprise information systems and technology, including: audit, control, security and risk management. IIA: Shall perform internal audit services in accordance with the International Standards for the Professional Practice of Internal Auditing (Standards).
Het onderzoeksobject Het object van onderzoek bij een IT-audit kan elk onderdeel van de (geautomatiseerde) informatievoorziening zijn dat wordt gebruikt voor realisatie van de bedrijfsdoelstellingen; elk product of proces voor het gebruik of het beheer van geautomatiseerde informatiesystemen, inclusief processen voor beheer, beheersing of voor interne controle, of andere maatregelen om risico’s te beperken. Bij onderzoek naar maatregelen dient onderscheid gemaakt te worden tussen algemene maatregelen, veelal aangeduid als General IT Controls en specifieke systeemmaatregelen, zoals onderzoek naar Application Controls voor applicaties. Het soort onderzoek In de inleiding is al aangegeven dat onderscheid gemaakt moet wordt tussen assuranceopdrachten en adviesopdrachten. Daarnaast worden ook OSW-opdrachten onderscheiden. Alle drie de soort opdrachten kunnen worden aangeduid als IT-auditopdracht. Een OSW-opdracht (Opdracht voor Specifieke Werkzaamheden) is een opdracht waarin werkzaamheden worden uitgevoerd die specifiek zijn overeengekomen tussen opdrachtgever en -nemer die resulteren in een rapport van feitelijke bevindingen (geen conclusies) en waarvoor strikte regels gelden voor verspreiding van het rapport, die zich in principe beperkt tot diegenen met wie de opdrachtformulering is overeengekomen. Daarnaast moet voor een assuranceopdracht duidelijk worden aangegeven of het een onderzoek betreft naar de opzet (onderzoek naar het ontwerp), het bestaan (onderzoek op een bepaald
65
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
moment) of de werking (onderzoek over een bepaalde periode). Onderzoek naar opzet impliceert een onderzoek naar bestaan. Een veel voorkomend onderzoek is een Quality Assurance (QA). Een onderzoek naar de kwaliteit – bijvoorbeeld van (deel of tussen)producten of (project)processen – kan zowel een assurance-, OSW- als adviesopdracht betreffen. Verder wordt nog het onderscheid aangebracht tussen assertion-based en direct reporting. Bij assertion-based reporting zijn de resultaten van de audit indirect voor de gebruikers beschikbaar via een bewering over het onderzoeksobject door de verantwoordelijke partij. Bij direct reporting krijgt de gebruiker de beschikking over het auditrapport met daarin de conclusie van de auditor. Kwaliteitsaspecten De auditor onderzoekt kwaliteitsaspecten van het onderzoeksobject. Onder kwaliteit van het object wordt verstaan een bepaalde gesteldheid, hoedanigheid of mate waarin iets geschikt is voor een bepaald doel. De doelen waaraan het object moet voldoen worden aangegeven door de doelstellingen – ofwel kwaliteitscriteria of control objectives. De volgende criteria worden gehanteerd door NOREA: Effectiviteit, Efficiëntie, Exclusiviteit, Integriteit, Controleerbaarheid, Continuïteit, Onweerlegbaarheid en Beheersbaarheid. Het opstellen van de kwaliteitscriteria voor een onderzoek behoort niet toe tot de taak van de ITauditor bij een assuranceopdracht, maar moet als separate adviesopdracht worden uitgevoerd. Er wordt onderscheid gemaakt in de-jure, de-facto en opdrachtspecifieke criteria, respectievelijk voortkomend uit vereisten waar het onderzoeksobject aan moet voldoen vanuit wet- en regelgeving, vanuit (de-facto) standaarden van toepassing voor het object of de omgeving, en specifiek opgestelde eisen waar het object aan moet voldoen of waarvoor, of binnen de omgeving waarin, het object gebruikt wordt. De criteria zelf dienen ook aan eisen te voldoen. In relatie tot het doel van het onderzoek – voor een assuranceopdracht een mate van zekerheid verschaffen over het object – en de beoogde gebruiker moeten ze relevant, volledig, betrouwbaar (in verband met de reproduceerbaarheid van het onderzoek), neutraal en begrijpelijk zijn. Neutraliteit en begrijpelijkheid hebben beiden betrekking op de voor de eindgebruikers eenduidige interpretatie en niet misleidende bewoordingen. De materialiteit van het niet voldoen aan criteria kan in een kans-impactmatrix worden weergegeven. Op basis van een risico-inschatting kan de IT-auditor daarin aangeven of het nietvoldoen van materieel belang is (het voldoet bijna) of van wezenlijk belang (het voldoet niet). IT-auditrisico Door accountants wordt het auditrisico beschreven als het risico dat de zorgvuldig werkende accountant – zonder dat hij zich daarvan bewust is – een goedkeurende verklaring afgeeft bij een jaarrekening die materiële onjuistheden of omissies bevat, en gedefinieerd als functie van het Inherente Risico (IH), het Interne beheersingsrisico (Internal Control Risk, ICR) en het Ontdekkingsrisico (Detection Risk, DR). AR = functie(IH, ICR, DR). Informatie is materieel indien het weglaten of het onjuist weergeven de beslissingen van de gebruikers kan beïnvloeden.
66
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Het inherente risico kan voor een IT-audit, zijnde een assuranceopdracht, worden gedefinieerd als de kans dat er onvolkomenheden in IT-voorzieningen aanwezig zijn die afzonderlijk, of in combinatie met andere onvolkomenheden, van materieel belang zijn (een materiële wijziging in de auditrapportage tot gevolg zouden hebben indien ze zouden worden meegenomen in het onderzoek) en waarop geen beheersingsmaatregelen van toepassing zijn. Het interne beheersingsrisico (voor een IT-audit) is het risico dat een onvolkomenheid in ITvoorzieningen die afzonderlijk, of in combinatie met andere onvolkomenheden, van materieel belang zijn niet tijdig worden voorkomen of ontdekt en hersteld door de administratieve organisatie en interne controle. Het ontdekkingsrisico voor een IT-audit is het risico dat de werkzaamheden van de IT-auditor een onvolkomenheid in IT-voorzieningen die afzonderlijk, of in combinatie met andere onvolkomenheden, van materieel belang zijn niet ontdekken. In tegenstelling tot het onderzoek van de accountant is het onderzoeksobject van de IT-auditor niet de uitkomst van een proces (de jaarrekening) maar vaak een proces (de interne beheersing). In tegenstelling tot het doel van de accountant is het doel van de IT-audit vaak om vast te stellen of het proces goed loopt, of zal lopen, en om risico’s (of calamiteiten) te voorkomen. Daarom zal het Internal Control Risk vaak niet van toepassing zijn. Conclusie Voor IT-audits waarin een oordeel wordt gegeven over de mate waarin het onderzoeksobject voldoet aan de gestelde kwaliteitscriteria wordt onderscheid gemaakt in een ‘redelijke mate van zekerheid’, een ‘beperkte mate van zekerheid’, een ‘goedkeuring met beperkingen’, een ‘oordeelonthouding’ of een afkeuring. Absolute zekerheid kan zeer zelden worden gegeven, en dan alleen als het bewijsmateriaal sluitend en betrouwbaar is, object en criteria eenduidig zijn en het onderzoek allesomvattend kan zijn. Het verschil tussen een redelijke en een beperkte mate van zekerheid komt voort uit het opdracht- of auditrisico. Redelijke mate van zekerheid kan worden verstrekt als het object in alle van materieel belang zijnde opzichten voldoet aan de criteria, als er toereikend bewijsmateriaal is. Dus als het detectie- of opdrachtrisico (DR) – het risico dat ten onrechte wordt geoordeeld dat het object in alle van materieel belang zijnde opzichten voldoet aan de criteria – naar omstandigheden van de opdracht aanvaardbaar is. Een redelijke mate van zekerheid wordt ingeschat als corresponderend met een kans van 80 tot 90%. Door accountants wordt onderzoek met als doel te komen tot een redelijke mate van zekerheid aangeduid als audit of controle. Een beperkte mate van zekerheid kan worden verstrekt als er toereikend bewijsmateriaal is, als de auditor ervan overtuigd is dat het object in gegeven omstandigheden voldoet aan de criteria, maar als het opdrachtrisico maar tot een gematigd niveau gereduceerd kan worden door omstandigheden van de opdracht. Een beperkte mate van zekerheid wordt ingeschat als corresponderend met een kans van 50 tot 75%. Door accountants wordt onderzoek met als doel te komen tot een beperkte mate van zekerheid aangeduid als review of beoordeling. Een goedkeuring met beperkingen wordt afgegeven als op één of enkele – maar niet alle – getoetste aspecten materiële tekortkomingen zijn gevonden waarvan de gebruiker zelf aan de hand van de aangeduide tekortkomingen het belang kan bepalen. Een oordeelonthouding vindt plaats als er onvoldoende onderzoek heeft kunnen plaatsvinden of als er onvoldoende bewijsmateriaal beschikbaar is. Dit kan zijn door een objectieve
67
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
verhindering waarbij aanpassing van het onderzoek veelal mogelijk is of door een subjectieve verhindering als een partij onvoldoende medewerking wil verlenen aan het onderzoek. Auditaanpak en rapportage Bewijsmateriaal moet systematisch worden verzameld, getoetst en geëvalueerd. De rapportage van een IT-audit dient de juiste informatie te bevatten. De verschillende handboeken geven hier en daar verschillende benamingen in de regels en voorbeeldtemplates voor een rapport. Hierbij een opsomming uit Fijneman R. et al. (2011) met aanvullingen vanuit ISACA-bepalingen voor OSW-opdrachten: -
Titel (met de aanduiding ‘onafhankelijk’ daarin)
-
Geadresseerde (betrokken partijen)
-
Informatie over object van onderzoek
-
Criteria
-
Significante beperkingen
-
Beoogde gebruikers
-
Verantwoordelijke partij en verantwoordelijken (vermelding waaruit blijkt dat de toereikendheid van de procedures uitsluitend de verantwoordelijkheid is van de betrokken partijen, en een disclaimer daarover)
-
Van toepassing zijnde standaarden
-
Samenvatting van uitgevoerde werkzaamheden (vermelding waaruit blijkt dat het onderzoek is uitgevoerd zoals afgesproken met betrokken partijen. Opsomming met uitgevoerde procedures en daaraan gerelateerde bevindingen. Verklaring omtrent de beperkingen voor het gebruik van het rapport)
-
Conclusie
-
Rapportagedatum
-
Naam van kantoor van de auditor
68
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
B
Governance- en risicomanagementraamwerken In de hierna volgende deelparagrafen worden de meest relevante raamwerken beschreven Uit de publicatiedatum van de verschillende raamwerken blijkt dat de raamwerken van de verschillende instanties een sterke invloed hebben op elkaar. Bij elke nieuwe versie worden elementen van raamwerken van andere instanties overgenomen en waar mogelijk geïntegreerd met het eigen raamwerk.
B.1
COSO-raamwerken
B.1.1
COSO Internal Control – Integrated Framework Systemen voor de interne beheersing binnen organisaties zijn in sterke mate gebaseerd op het Internal Control-raamwerk van COSO 6 (1992), Integrated Control Framework - ICF). Het raamwerk werd in 1992 gepubliceerd en is opgezet om de kwaliteit van de financiële rapportage te verbeteren met een focus op corporate governance, ethische praktijken en interne controle. Het raamwerk is bedoeld voor private organisaties en opgesteld naar aanleiding van verschillende boekhoud- en fraudeschandalen en bedoeld om met name financiële risico’s voor organisaties te voorkomen. De jaren daarna zijn internationaal wetgevingen ingevoerd voor corporate governance mede ingegeven door weer nieuwe schandalen. Deze wetgevingen zijn ook weer sterk gebaseerd op het COSO-raamwerk. Voorbeeld hiervan is de SOx-wetgeving 7, de Code Tabaksblat en Basel II. Deze wetgeving stelt expliciet de verplichting aan bestuurders ondernemingsrisico’s te identificeren, te managen en daarover te rapporteren, met name in het jaarverslag. De invoering van de SOx-wetgeving werd extra gestimuleerd door schandalen bij Worldcom en Enron. De wetgeving is van toepassing op ondernemingen met een notering aan de Amerikaans beurs of die in Amerika een beursgenoteerde vestiging hebben. De leiding dient periodiek (in het jaarverslag) te rapporteren over de effectiviteit van opzet en bestaan van de controles (Art. 302). De CEO en de CFO moeten jaarlijks een verklaring afleggen over de betrouwbaarheid van de controles. De Nederlandse corporate governance code (Code Tabaksblat, van kracht vanaf 1 januari 2004) is van toepassing op beursgenoteerde vennootschappen en verplicht bestuurders om in het jaarverslag een verklaring op te nemen over de interne controlesystemen en om te rapporteren over het risicobeheersings- en controlesysteem. Tevens dient het één en ander besproken te zijn met de raad van commissarissen en de auditcommissie. De uit het BIS (Bank for International Settlements) samenwerkingsakkoord, Basel II, voortgekomen wetgeving (EU richtlijnen 2006/48, Capital Requirements Directive) geeft verplichtingen aan het interne controle systeem voor bepaling van de kredietwaardigheid van financiële instellingen. In Nederland is deze EU Directive opgenomen in de Wft (Wet financieel toezicht, Besluit prudentiële regels Wft).
Het ICF wordt door veel organisaties breed geaccepteerd, ook door non-profitorganisaties en door andere ondernemingen die niet aan genoemde wetgevingen hoeven te voldoen, en is het toonaangevende raamwerk voor opzet, inrichting en evaluatie van het eigen systeem van interne controle.
6
COSO: Committee of Sponsoring Organisations of the Treadway Commission. COSO is een samenwerkingsverband op vrijwillige basis tussen private organisaties. COSO’s doel is het ontwikkelen van raamwerken en richtlijnen op het gebied van ERM, interne controle en het voorkomen van fraude. 7
Sarbanes Oxley-wetgeving van 30 juli 2002.
69
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Het ICF helpt organisaties bij het beheersen van alle activiteiten die de bedrijfsdoelstellingen realiseren. Het ICF en de daaruit voortvloeiende wetgeving zijn gericht op verbetering van de betrouwbaarheid van de financiële jaarverslaggeving ten behoeve van de stakeholders (belanghebbenden), met name voor de aandeelhouders. Bij toepassing van het ICF richten ondernemingen zich op die aspecten – met name financieel – die invulling geven aan de wet. COSO ICF In 2011 is een eerste concept verschenen van een nieuw ICF van COSO (2011, december). In opzet is dit nieuwe ICF gelijk aan dat van 1992. De inhoud is echter aangepast aan gewijzigde omgevingsfactoren. In deze scriptie wordt de tekst gehanteerd uit COSO (2012). De specifieke veranderingen worden hierna separaat benoemd (zie ‘De nieuwe COSO ICF (draft)’) . Voor de Nederlandse vertaling van termen is gebruikgemaakt van door COSO verstrekte vertalingen van het ICF en COSO ERM. Internal control wordt gedefinieerd als een proces dat wordt bewerkstelligd door het bestuur van een onderneming, het management en overig personeel. Het proces is opgezet om een redelijke mate van zekerheid te verkrijgen over het behalen van de volgende doelstellingen: •
effectieve en efficiënte bedrijfsprocessen;
•
betrouwbare verslaglegging;
•
naleving van relevante wet- en regelgeving, beleidsrichtlijnen en procedures.
Ter ondersteuning bij het behalen van de doelstellingen worden vijf componenten van interne controle onderscheiden. Elke component draagt bij aan alle drie de doelstellingen. Van elke ICcomponent worden in het raamwerk de fundamentele concepten weergegeven in principes en worden karakteristieken weergeven met attributen. Elk organisatieonderdeel en elke activiteit binnen een organisatie dragen bij aan de doelstellingen van de organisatie. Daarom kunnen alle ICF-componenten van toepassing zijn op elk onderdeel of elke activiteit binnen de organisatie. Het COSO IC-model wordt weergeven in de vorm van een kubus met als assen de Doelstellingen, Componenten en Organisatieonderdelen (zie figuur B.1a). In de volgende paragraaf worden de onderdelen van het COSO ICF-model nader toegelicht aan de hand van het COSO ERM-model waar het ICF een integraal onderdeel van is. De nieuwe COSO ICF (Draft) Als gevolg van veranderingen in de omgeving van, en binnen, ondernemingen worden ook de COSO-raamwerken aangepast. Zo wordt momenteel gewerkt aan een nieuw ICF (COSO, 2011 december). Belangrijkste wijzigingen in de operationele omgeving van organisaties die zijn verdisconteerd in het raamwerk zijn de sterk toegenomen complexiteit, technologiegedrevenheid en global scope. Daarnaast zijn de stakeholders tegenwoordig veel directer betrokken bij de bedrijfsvoering en wordt meer transparantie en verantwoording vereist in besturing en controle (governance) van organisaties. Verder worden in het nieuwe raamwerk concepten vastgelegd in principes en attributen die meer duidelijkheid verschaffen voor invulling van (beheer)processen en bij opzet, ontwikkeling
70
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
en toetsing van interne controlesystemen. Ook andere modellen hebben afgelopen jaren het gebruik van deze concepten ingevoerd (zie bijvoorbeelden volgende paragrafen). Een andere belangrijke toevoeging in de nieuwe ICF is de uitgebreidere rapportagedoelstelling voortkomend uit: -
toegenomen aandacht voor de bedrijfsdoelstellingen in bredere zin, en niet alleen de financiële doelstellingen van de aandeelhouders op korte termijn;
-
het groeiend besef ten aanzien van niet-financiële risico’s, met niet in de laatste plaats ITrisico’s voor het behalen van de bedrijfsdoelstellingen;
-
de wens tot opname van rapportage over niet-financiële kapitaal in het jaarverslag (zie ook Integrated Reporting).
Figuur B.1a - COSO Internal Control Framework (ICF, links) met de ICF-componenten ‘Beheersingsomgeving’, ‘Risicobeoordeling’, ‘Beheersingsactiviteiten’, ‘Informatie & communicatie’ en ‘Bewaking’. Figuur B.1b - COSO Enterprise Risk Management (ERM) Framework met ERM-componenten ‘Interne omgeving’, ‘Formuleren van doelstellingen’, ‘Identificeren van gebeurtenissen’, ‘Risicobeoordeling’, ‘Reactie op risico’s’, ‘Beheersingsactiviteiten’, ‘Informatie en communicatie’, ‘Bewaking’.
B.1.2
COSO Enterprise Risk Management – Integrated Framework Als gevolg van ondernemingsschandalen is er sinds begin van deze eeuw binnen corporate governance een sterke focus op het beheersen van risico’s voor de onderneming, ofwel Enterprise Risk Management (ERM). De belangrijkste tekortkoming van het ICF betrof het ontbreken van een raamwerk voor het beheersen van risico’s, terwijl als gevolg van de schandalen er een groot belang werd gehecht aan een robuust raamwerk voor risicomanagement. Daarom is in 2004 door COSO op basis van het ICF een raamwerk opgesteld voor inrichting van risk management binnen organisaties; COSO Enterprise Risk Management – Integrated Framework, ook wel aangeduid als COSO II (2004). Het COSO ERM verbetert de belangrijkste knelpunten van het ICF ten aanzien van het
71
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
beheersen van risico’s ter realisatie van de bedrijfsdoelstellingen. Internal Control wordt als integraal onderdeel van ERM gedefinieerd. COSO ERM is een strategisch beheersingsraamwerk dat goede invulling geeft aan de besturing van risico’s (risk governance) maar minder goede ondersteuning biedt voor het beheren van risico’s (risk management, zie paragraaf Terminologie). Mede daarom worden door verschillende instanties – voornamelijk beroepsgroepen van assurancefuncties – in de praktijk weer andere raamwerken gehanteerd die beter aansluiten bij de specifieke doelstellingen van die instanties. Deze raamwerken worden vervolgens weer aangepast om aan te sluiten bij de ontwikkelingen op het gebied van interne beheersing en van risk governance en risk management. COSO ERM COSO ERM levert een gemeenschappelijke taal, algemene principes en concepten en duidelijke richting en ondersteuning bij opzet, invoering en verbetering van ERM binnen een organisatie. Het is een raamwerk dat het management ondersteunt bij het bepalen van de mate van risico’s dat de onderneming accepteert bij realisatie van haar doelstellingen. ERM, ofwel ondernemingsrisicomanagement, draagt bij aan realisatie van de doelstellingen met een efficiënte en effectieve inzet van middelen door: •
strategische alternatieven af te wegen tegen risicoacceptatiegraad en ervoor te zorgen dat verbonden risico’s worden beheerst;
•
het kader te verzorgen waarbinnen alternatieve reacties op risico’s worden geïdentificeerd en de juiste reactie wordt geselecteerd;
•
potentiële operationele gebeurtenissen (verrassingen) vooraf te identificeren en vervolgens kosten of verliezen te reduceren;
•
binnen de organisatie risico’s integraal, dwars door de organisatie, te identificeren en te beheersen;
•
kansen van potentiële gebeurtenissen te identificeren en te benutten;
•
robuuste risico-informatie te benutten voor betere inzet van kapitaal.
Het bovenstaande geeft ook aan dat COSO ERM een risico ziet als een gebeurtenis met een negatief effect. Gebeurtenissen met een positief effect worden aangeduid als kans. COSO ERM hanteert een generieke definitie van ERM overeenkomstig de brede toepasbaarheid van de beschreven concepten voor beheersing van risico’s. De volledige definitie van Enterprise Risk Management die COSO ERM hanteert luidt: ERM is een proces – bewerkstelligd door het bestuur van een onderneming, het management en ander personeel – dat wordt toegepast bij het bepalen van de strategie en voor de gehele onderneming, en dat is ontworpen om potentiële gebeurtenissen te identificeren die invloed kunnen hebben op de onderneming en om risico’s conform de risicoacceptatiegraad te beheren, om de ondernemingsdoelstellingen met een redelijke mate van zekerheid te behalen. Fundamentele concepten die aangegeven worden met deze definitie zijn dat het een continu proces betreft, ingericht om (bedrijfs)doelstellingen te behalen, dat het wordt toegepast bij formulering van strategische doelen, dat het een visie over risico’s omvat, dat het iedereen raakt
72
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
op elk niveau van de organisatie, dat het om potentiële gebeurtenissen gaat, en dat het het management een redelijke zekerheid biedt. ERM hanteert een vergelijkbaar kubusmodel als dat van ICF voor grafische weergave van doelstellingen, componenten en onderdelen. Doelstellingen Er worden vier categorieën doelstellingen onderscheiden. De indeling in categorieën komt voort uit de te onderscheiden verschillende behoeften en verantwoordelijkheden binnen een organisatie en zijn geen indeling naar noodzakelijke of mogelijke doelstellingen. Indien ERM effectief wordt geacht binnen de vier doelstellingscategorieën dan heeft het management een redelijke zekerheid over zijn inzicht in het behalen van strategische en operationele doelstellingen. Voor doelstellingen binnen twee categorieën – Rapportage en Toezicht – ligt het binnen de macht van de organisatie om een redelijke zekerheid te bieden dat aan de doelstellingen wordt voldaan. Op doelstellingen binnen de andere twee categorieën – Strategie en Operationeel – zijn externe invloeden van toepassing en kan alleen redelijke zekerheid worden verkregen dat men tijdig op de hoogte is van de risico’s. In tegenstelling tot het enkel toezien op de lopende processen (interne controle) is controle over toekomstige gebeurtenissen een onderdeel van ERM. Als doelstellingscategorie is dan ook ‘Strategie’ toegevoegd. Verder is de doelstellingscategorie ‘Reporting’ aangepast aan de veranderde omgevingseisen. Daar waar binnen het oorspronkelijke ICF (1992) de Reporting doelstelling gericht was op de financiële rapportage, heeft deze binnen ERM (en de nieuwe draft ICF van 2012) een bredere scope. Componenten Er worden acht componenten onderscheiden waaruit ERM binnen een organisatie bestaat en waarmee de doelstellingen kunnen worden behaald. Bij ERM ligt de nadruk op een risicogebaseerde aanpak en in vergelijking met ICF is de component ‘Risicobeoordeling’ dan ook uitgewerkt in 4 componenten. Om dezelfde reden is de ICF-component ‘Beheersingsomgeving’ verbreed tot de component ‘Interne omgeving’. Componenten beïnvloeden elkaar. Binnen het ERM proces kunnen componenten zowel chronologisch, herhaald als willekeurig op verschillende niveaus worden doorlopen. Er is sprake van een effectief ERM als er een oordeel mogelijk is over het effectief functioneren van de acht componenten. De ERM-componenten kunnen dus worden beschouwd als de criteria voor een effectief ERM. De ERM componenten zijn: Interne omgeving – Omvat de basis vanwaaruit risicomanagement wordt opgezet. Het refereert met name aan de toon van de organisatie aangaande ERM, de mate waarin ze bereid is risico’s te accepteren (risicoacceptatiegraad), hoe ERM wordt gerealiseerd en elementen als integriteit, ethiek, normen en waarden. Formuleren van doelstellingen – Voor een effectief en efficiënt ERM moeten doelstellingen zijn bepaald en vastgelegd om te kunnen toetsen of deze zijn behaald. Er dient een proces te zijn dat toeziet op bepalen, vastleggen en communiceren van doelstellingen. Identificeren van gebeurtenissen – Risico’s en kansen als gevolg van externe en interne gebeurtenissen moeten worden geïdentificeerd en indien nodig teruggekoppeld naar
73
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
processen binnen de doelstellingscategorie ‘Strategie’ of de component ‘Formuleren van doelstellingen’. Risicobeoordeling – Hieronder wordt een risicoanalyse verstaan waarbij de kans en de gevolgen van een risico (gebeurtenis) worden bepaald voor de inherente risico’s en de restrisico’s. Reactie op risico’s – Dit omvat het selecteren van de reactie op een risico door het management in overeenstemming met de risicotolerantie en risicoacceptatiegraad. Onderscheide reacties zijn vermijden, accepteren, verminderen en delen van het risico. Beheersingsactiviteiten – Dit omvat de activiteiten ter waarborging van het effectief uitvoeren van de reacties op risico’s, met name het opstellen en uitvoeren van richtlijnen en procedures. Informatie en communicatie – Een effectieve communicatie over risico’s en risicobeheersing, zowel horizontaal, verticaal als bilateraal in de organisatie. Bewaking – Het toezien op ERM als geheel met gebruikmaking van managementactiviteiten en afzonderlijke evaluaties. Net als bij het ICF worden er vier niveaus van onderdelen binnen de organisatie onderscheiden: Entity-Level, Devision, Business Unit en Subsidiary. De grafische weergave van ERM in figuur 4.2.b geeft aan dat ERM binnen elk organisatieonderdeel, met elke (deel)component ten behoeve van elke doelstelling kan plaatsvinden. Ten slotte worden hier nog activiteiten genoemd uit ERM-beschrijvingen die als essentieel worden aangeduid voor een succesvolle implementatie: •
Ontwerpen van de organisatie van de onderneming.
•
Benoemen van een ERM-organisatie.
•
Uitvoeren van risicobeoordelingen.
•
Bepalen van de risicoacceptatiegraad (risk appetite).
•
Identificeren van reacties op risico’s.
•
Communiceren over de resultaten van risicomanagement.
•
Monitoren van relevante processen en gebeurtenissen.
•
Uitvoeren van toezicht en periodieke evaluatie (review) van ERM door het management.
COSO publiceert aanvullende studies en richtlijnen voor nadere invulling van ERM. Hiermee geeft ze invulling aan de wens en noodzaak om tot concrete risk management-richtlijnen te komen: ‘Enterprise Risk Management for Cloud Computing’ (COSO, June 2012) en ‘Risk Assessment in Practice’ (COSO, October 2012).
B.2
OECD Principles De OECD (Organisation for Economic Cooperation and Development) is een samenwerkingsverband van 34 landen om sociaal en economisch beleid te bespreken, te bestuderen en te coördineren. De aangesloten landen proberen gezamenlijke problemen op te lossen en trachten internationaal beleid af te stemmen.
74
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De corporate governance-standaarden zijn voor een belangrijk deel gebaseerd op principes zoals verwoord in de OECD-principes (2004), OECD Principles of Corporate Governance. De Methodology for Assessing the Implementation of the OECD Principles of Corporate Governance (OECD, 2008) behandelt de controle op juiste uitvoering van de principes. Hieronder is een opsomming gegeven van de principes die het meest relevant zijn voor de vraagstelling van het onderzoek.
IV
The Responsibilities of the Board
… IV.D
The board should fulfil certain key functions, including:
VI.D.1 Reviewing and guiding corporate strategy, major plans of action, risk policy, annual budgets and business plans; setting performance objectives; monitoring implementation and corporate performance; and overseeing major capital expenditures, acquisitions and divestitures VI.D.2 Monitoring the effectiveness of the company’s governance practices and making changes as needed … VI.D.6 Monitoring and managing potential conflicts of interest of management, board members and shareholders, including misuse of corporate assets and abuse in related party transactions IV.D.7 Ensuring the integrity of the corporation’s accounting and financial reporting systems, including the independent audit, and that appropriate systems of control are in place, in particular, systems for risk management, financial and operational control, and compliance with the law and relevant standards VI.D.8 Overseeing the process of disclosure and communications VI.E
The board should be able to exercise objective independent judgement on corporate affairs
VI.E.1 Boards should consider assigning a sufficient number of non-executive board members capable of exercising independent judgement to tasks where there is a potential for conflict of interest. Examples of such key responsibilities are ensuring the integrity of financial and non-financial reporting, the review of related party transactions, nomination of board members and key executives, and board remuneration …
B.3
ISO/IEC-standaarden ISO is de Internationale Organisatie voor Standaardisatie, een samenwerkingsverband van nationale standaardisatieorganisaties in 156 landen. ISO ontwikkelt normen en stelt vrijwillige internationale standaarden vast voor producten, diensten en good practice. De ISO-standaarden op het gebied van IC en ERM die van belang zijn voor de vraagstelling van het onderzoek zijn de ISO/IEC 31000, de ISO/IEC 27005 en de ISO/IEC 38500. De eerste twee zijn onderling sterk gelieerde risk management-standaarden. De ISO/IEC 31000 is een overkoepelende risicomanagementstandaard en ISO/IEC 27005 geeft een nadere invulling van risicomanagement voor het werkgebied van informatiebeveiliging. De ISO/IEC 38500 is een corporate IT-governancestandaard. De governance standaard voor het werkgebied van informatiebeveiliging, de ISO/IEC 27014, is nog niet beschikbaar maar zal in 2013 verschijnen.
B.3.1
ISO/IEC 31000 - Risk Management - Principles and Guidelines De ISO/IEC 31000 is gepubliceerd in 2009 en is gebaseerd op COSO ERM. De standaard is geschreven vanuit een generieke context en is daarmee toepasbaar voor vele risicomanagementgebieden en voor publieke, private en maatschappelijke ondernemingen. De standaard is bedoeld als overkoepelende (moeder)standaard voor alle risicomanagementstandaarden.
75
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Genoemde toepassingsgebieden zijn: financieel, technisch, bouw, chemie, milieu, kwaliteit, informatiebeveiliging. De standaard definieert het begrippenkader voor risicomanagement (ISO/IEC Guide 73, 2009), definieert principes voor een effectief risicomanagementproces en een richtlijn (model) voor opzet en implementatie van risicomanagement volgens de principes. Begrippen Evenals COSO ERM benadrukt de standaard dat risicomanagement niet alleen ten doel heeft bedreigingen te signaleren maar ook om kansen te benutten. Risico’s zijn het gevolg – en niet alleen gevolgschade – van onzekerheden in doelstellingen. Risicomanagement wordt gedefinieerd als de gecoördineerde activiteiten die een organisatie sturen en bewaken ten aanzien van risico’s en verwijst in algemene zin naar de architectuur van principes, het kader en processen. Begrippen die ook in de standaard worden geïntroduceerd zijn ‘risk attitude (risicoacceptatiegraad) en ‘risk owner’ (risico-eigenaars). Met de definitie van risico-eigenaar wordt een duidelijk stap gezet in het toewijzen van verantwoordelijkheden en bevoegdheden, zoals gebruikelijk in RACI-matrices. Met de definitie van risk attitude (approach to assess and eventually pursue, retain, take or turn away from risk) wordt een stap gezet op een governance gebied dat van groot belang is voor organisaties in het streven naar meer duidelijkheid en transparantie ten aanzien van het wel of niet nemen van risico’s, ofwel de risicoacceptatiegraad (Risk Appetite) en tolerantie (Risk Tolerance) van een organisatie. In ISO Guide 73 wordt dit begrip gedefinieerd en in COSO (januari 2012) wordt door COSO nader ingegaan op dit onderdeel van ERM. Een term die in dit kader moet worden benoemd en niet in ISO 31000 maar wel in ISO Guide 73 is gedefinieerd is Risk Tolerance (risicotolerantie). Definities uit ISO Guide 73: Risk: The effect of uncertainty on objectives. Risk management: The coordinated activities to direct and control an organization with regard to risk. Risk Owner: person or entity with the accountability and authority to manage a risk. Risk Appetite: amount and type of risk that an organization is willing to pursue or retain Risk Tolerance: organization's or stakeholder's readiness to bear the risk after risk treatment in order to achieve its objectives.
Principes Belangrijk principe van risicomanagement is dat het een continu proces is van het ontwikkelen, implementeren en verbeteren van het risicomanagementraamwerk met als doel het inbedden in de vele activiteiten binnen de onderneming, zoals in strategie- en besluitvorming, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten en bedrijfsmiddelen. De overige risicomanagementprincipes die in ISO/IEC 31000 worden benoemd zijn. Risicomanagement: •
Het voegt waarde toe.
•
Het is geïntegreerd in de processen van de organisatie.
•
Het maakt deel uit van de besluitvorming.
•
Onzekerheid wordt expliciet benoemd.
76
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
•
Het vindt systematisch, gestructureerd en tijdig plaats.
•
Het is gebaseerd op de best beschikbare informatie.
•
Het is op maat gesneden.
•
Het houdt rekening met menselijke en culturele factoren.
•
Het is transparant en sluit niemand uit.
•
Het is dynamisch, iteratief en reagerend op veranderingen.
•
Het ondersteunt continue verbetering en uitbouw van de organisatie.
Richtlijn – Kader De standaard heeft niet als doel om één uniform risicomanagementproces na te streven voor verschillende organisaties. Daarom is het bepalen van het bredere kader, de risicomanagementcontext, een belangrijke onderdeel van de standaard. In een Plan-Do-Check-Act cyclus (zie figuur B.2) omvat dit het identificeren van risico’s voor de betreffende situatie (domein), bepalen van de scope en plannen van het risicomanagementproces, identificeren van de bedrijfsdoelstellingen en de wijze waarop risico’s worden geëvalueerd, opzetten, ontwikkelen, analyseren en verbeteren van het risicomanagementraamwerk. Binnen het kader en de context dienen specifieke behoeften en doelstellingen van een organisatie te worden bepaald, zijnde: de specifieke context, de risicomanagementstructuur, operationele bedrijfsactiviteiten, processen, functies, projecten, producten, diensten en bedrijfsmiddelen en toegepaste werkwijzen. Richtlijn – Procesmodel Het risicomanagementprocesmodel van ISO/IEC 31000 is weergegeven in figuur B.2. Het model onderkent de volgende onderdelen: Contextdefinitie: Het vaststellen van de interne en externe context voor het proces, de context van het proces zelf (de scope), het vaststellen van de risicocriteria waaraan moet worden voldaan en het organiseren van het risicomanagementproces. Risicobeoordeling: Het identificeren en kwantitatief of kwalitatief beschrijven van risico’s en het stellen van prioriteiten met afweging van criteria en bedrijfsdoelstellingen. Risicobehandeling: Voor behandeling van het risico dient een implementatieplan te worden opgezet en dienen risico’s continu te worden gecontroleerd. Op basis van de resultaten van de risico-evaluatie dient het risicomanagementproces verder te worden verbeterd. Opties voor risicobehandeling zijn: vermijden, (kans) aangrijpen, verwijderen, veranderen (van kans of gevolgen), (ver)delen of accepteren.
77
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Figuur B.2 – Relaties tussen principes, kader en processen van risicomanagement.
B.3.2
ISO/IEC 27005 - Information security risk management De ISO/IEC 27005-standaard is sinds 2008 onderdeel van de 27000-reeks van ISO-standaarden op het gebied van informatiebeveiliging. In 2011 is een tweede versie van de standaard gepubliceerd (ISO/IEC 27005) waarin de volgende risicomanagementstandaarden zijn verwerkt: ISO 31000:2009, ISO/IEC 31010:2009 (Risk Assessment Techniques) en ISO Guide73:2009 (Vocabulary). Net als de overige standaarden in de 27000-reeks benoemt de 27005 de best practices voor informatiebeveiliging, in dit geval best practices van risicomanagement om te voldoen aan de eisen van het ISMS (Information Security Management System) van ISO 27001. De standaard is in aanvulling op de ISO 31000-standaard een specifieke standaard voor risicomanagement voor informatiebeveiliging. Het kader (zie figuur B.3) wordt in dit geval sterk mede bepaald door de scope van het ISMS en daarmee ook door de context van risicomanagement. Het risicomanagementproces De risicomanagementmodel in de standaard beschrijft een generieke aanpak van risicomanagement voor informatiebeveiliging en laat ruimte voor gebruik van verschillende methodieken en verschillende mogelijke benaderingen voor risicomanagement. In bijlagen van de standaard worden voorbeelden genoemd van: •
het definiëren en afbakenen van de scope van risicomanagement voor informatiebeveiliging;
•
het identificeren en waarderen van middelen en het beoordelen van gevolgen, schade aan middelen;
78
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
•
typische dreigingen;
•
voorbeelden van zwaktes in de beveiliging van informatie en het beoordelen daarvan;
•
werkwijzen voor risicobeoordeling.
Verder processtappen zijn:
Figuur B.3 – Information security risk management process •
Risicoanalyse - Identificatie van risico’s heeft als doel om gebeurtenissen vast te stellen die een potentieel verlies kunnen veroorzaken en om inzicht te verwerven in het hoe, waar en waarom van het verlies. Identificatie van risico’s omvat identificatie van: -
middelen die tot de scope behoren;
-
bedreigingen en bijbehorende broninformatie;
-
bestaande en geplande beheersingsmaatregelen;
-
zwaktes die kunnen worden misbruikt door bedreigingen en daarbij schade kunnen aanbrengen aan middelen en de organisatie.
-
gevolgen van inbreuk op beveiliging (CIA) van informatie voor de middelen.
Risico’s worden gezien als combinatie van een kans op een incident en de gevolgschade indien een incident zich voordoet. Inschatting van de risico’s kan op verschillend detailniveau plaatsvinden, afhankelijk van het belang van het middel, bekende zwaktes en eerdere incidenten. Risico’s kunnen kwantitatief en/of kwalitatief worden bepaald afhankelijk van de omstandigheden. Bij bepaling van de gevolgschade is waardebepaling
79
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
van middelen essentieel. Bij risicoanalyse dient het risiconiveau bepaald te worden voor relevante incidentscenario’s. •
Risico-evaluatie - Risiconiveaus dienen vergeleken te worden met de evaluatiecriteria en met acceptatiecriteria. De prioriteiten van risico’s moeten worden bepaald met afweging van de evaluatiecriteria en de incidentscenario’s.
•
Risicobehandeling - Risicobehandeling (Risk Treatment) omvat het selecteren van maatregelen voor het aanpassen (de 2008-versie noemde dit reduceren), het accepteren (Engels: risk retention), vermijden of (ver)delen (de 2008-versie noemde dit verplaatsen) van risico’s, en het opstellen van een risicomanagementplan.
•
Risicoacceptatie - De beslissingen voor beheersingsplannen en voor acceptatie van restrisico’s dienen formeel vastgelegd te worden.
•
Risico communicatie - Informatie over risico’s dient te worden gedeeld met het management en overige belanghebbenden zodat alle betrokkenen continue geïnformeerd zijn over het risicomanagementproces voor informatiebeveiliging.
•
Risicobewaking en -evaluatie - Risico’s dienen bewaakt (monitor?) te worden en risico’s en bijbehorende aspecten – als de waarden van middelen, gevolgen, bedreigingen, zwaktes en kansen – dienen geëvalueerd te worden om wijzigingen in de context van de organisatie op tijd te kunnen identificeren en om overzicht te behouden over het geheel van alle risico’s. Hierdoor kan worden gewaarborgd dan het proces blijft aansluiten bij de bedrijfsdoelstellingen en bij criteria voor risicoacceptatie.
Het risicomanagementproces voor informatiebeveiliging dient continu te worden bewaakt, geëvalueerd en te worden verbeterd om wijzigingen aan te passen en om aan bedrijfsdoelstellingen te blijven voldoen.
B.3.3
ISO/IEC 38500 - Corporate governance of information technology De ISO/IEC 38500-standaard geeft een raamwerk voor ondersteuning bij een efficiënte besturing en controle (governance) van informatietechnologie door het management. Het raamwerk is van toepassing voor publieke, private en maatschappelijke ondernemingen van willekeurige omvang. De standaard is in 2008 gepubliceerd. Momenteel werkt het technische comité JTC1 werk aan een nieuwe versie. Als onderdeel van de overkoepelende corporate governance heeft IT-governance als doel om duidelijkheid te creëren voor het management over invulling van vereisten ten aanzien van het gebruik van IT. De vereisten komen voort uit wet- en regelgeving, eigen beleid en procedures en overige verplichtingen zoals overeenkomsten met derden. Onder gebruik van IT worden ook verstaan alle ontwikkelings- en beheeractiviteiten. Corporate IT-governance wordt gedefinieerd als: The system by which the current and future use of IT is directed and controlled. Corporate governance of IT involves evaluating and directing the use of IT to support the organization and monitoring this use to achieve plans. It includes the strategy and policies for using IT within an organization. Het ISO 38500-raamwerk bestaat uit een IT-governancebegrippenkader, principes en een model. Het begrippenkader van ISO 38500 sluit aan bij dat van ISO Guide 74 en bij twee rapporten over financiële aspecten van corporate governance: de OECD-principes (OESO,
80
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Organisatie voor Economische Samenwerken en Ontwikkeling (OECD, 2007) en het Cadbury Report (Cadbury Commission, 1992). Het raamwerk definieert 6 principes voor goede corporate IT-governance: Verantwoordelijkheid - Individuen en groepen dienen hun verantwoordelijkheid te begrijpen en te accepteren ten aanzien van zowel de vraagzijde als de aanbodzijde van IT. Verantwoordelijkheid voor de uitvoering moet gepaard gaan met de juiste bevoegdheden (gezag). Strategie - De huidige en toekomstige mogelijkheden van IT moeten in de strategie van de onderneming en IT-strategieplannen zijn verwerkt. Verwerving - Verwerving van IT dient op grond van valide redenen en op basis van juiste – en continue – analyses plaats te vinden en met een duidelijk en transparant beslissingproces. Er dient een juiste balans te zijn – voor de korte en lange termijn – tussen voordelen, kansen (opportunities), kosten en risico’s. Prestatie - IT dient de organisatie te ondersteunen met diensten, dienstenniveaus en servicekwaliteit die voldoen aan huidige en toekomstige eisen (business requirements). Conformiteit - IT dient te voldoen aan alle wet- en regelgeving. Beleid en procedures zijn duidelijk gedefinieerd, geïmplementeerd en uitgevoerd. Gedrag – IT-beleid, -werkwijzen en beslissingen getuigen van respect voor menselijk gedrag, inclusief huidige en veranderende behoefte van uitvoerenden. Het model binnen het raamwerk is weergegeven in figuur B.4. Besturing en toezicht van IT dient plaats te vinden door de drie activiteiten Evaluate, Direct en Monitor per principe uit te voeren overeenkomstig de korte uitgewerkte richtlijnen en best practices uit de standaard. EDM-beschrijvingen in de standaard zijn:
Figuur B.4 - Corporate governance voor IT Evalueren - Management dient het huidig en toekomstig gebruik van IT - inclusief strategieën, planning en aanbodzijde - te onderzoeken en te beoordelen. Management dient IT continu
81
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
te evalueren en moet bij evaluatie rekening houden met externe en interne factoren die van invloed zijn op de onderneming; technologische veranderingen, economische en sociale trends en politieke invloeden. Management moet rekening houden met huidige en toekomstige eisen en doelstellingen. Besturen - Management moet verantwoordelijkheden toewijzen voor planning en beleid en dient de voorbereidingen en realisatie daarvoor aan te sturen. Management moet zich er van verzekeren dat de transitie van projectfase naar operationele fase goed is gepland en goed wordt gemanaged, waarbij rekening wordt gehouden met de invloed op de business, operationele werkwijzen en bestaande IT-systemen en -infrastructuur. Management dient een goede IT-governancecultuur aan te moedigen door tijdige informatie te vereisen om afspraken (Directions) na te komen en om te voldoen aan de zes principes. Bewaken - Het bewaken van de IT-resultaten (performance) met de juiste controlemaatregelen. Management dient zich ervan te verzekeren dat de uitvoering in overeenstemming is met de plannen en bedrijfsdoelstellingen, externe verplichtingen en interne procedures. In de standaard wordt nog eens expliciet aangegeven dat deelverantwoordelijkheden voor ITaspecten gedelegeerd kunnen worden, maar dat het management van de organisatie aansprakelijk (accountable) blijft voor een effectief en efficiënt gebruik en levering van IT.
B.4
ISF Information Security Governance Het ISF (Information Security Forum) is een wereldwijde onafhankelijke non-profitorganisatie van toonaangevende ondernemingen. Het doel van het ISF is om belangrijke vraagstukken op het gebied van informatiebeveiliging en informatierisicomanagement te onderzoeken, te verduidelijken en op te lossen door ontwikkeling van best practice methodieken, processen en oplossingen die aan de behoeften van de deelnemende organisaties voldoen. ISF Security Model Het ISF hanteert een Security Model (zie figuur B.5) aan de hand waarvan inzichten, best practices en hulpmiddelen worden ontwikkeld voor elk aspect van het model ter ondersteuning bij verbetering van de informatierisico-omgeving van de organisaties, waaronder het Information Security Governance-raamwerk.
Figuur B.5 – ISF Security Model. Governance – The framework by which policy and direction is set, providing senior management with Assurance that security management activities are being performed correctly and consistently. Risk – The potential business impact and likelihood of particular threats occurring – and the application of controls to mitigate risk to acceptable levels.
82
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Compliance – The policy, statutory and contractual obligations relevant to information security which must be met to operate in today’s business world to avoid civil or criminal penalties and mitigate risk. People – The executives, staff and third parties with access to information, who need to be aware of their Information Security responsibilities and requirements and whose access to systems and data need to be managed. Process – Business processes, applications and data that support the operations and decision making. Technology – The physical and technical infrastructure, including networks and end points, required to support the successful deployment of secure processes.
Corporate governance Informatie – en de bescherming daarvan – is een bedrijfsbelang en niet alleen een IT-belang. Informatiebeveiliging is een onderdeel van corporate governance. De onderdelen van corporate governance zoals ISF/ISG die aangeeft zijn: •
•
Bestuursperspectief -
Board conformance – De structuur en samenstelling van het bestuur en hun commissies.
-
Board performance and effectiveness – De effectiviteit waarmee het bestuur zich kwijt van zijn verplichtingen.
-
Strategy, planning and monitoring – De wijze waarop het bestuur in staat voor zijn financiële verantwoording, de managementstructuur en toekomstplannen.
Organisatieperspectief -
Risk management and compliance – De wijze waarop het bestuur instaat voor een gezonde interne controle met robuuste risicomanagement- en complianceprocessen.
-
Transparancy and disclosure – Transparante rapportages en openbaarmaking van financiële en niet-financiële informatie.
-
Stakeholders and the triple bottom line – Goed huisvaderschap, inclusief sociale, ethische en duurzame handelwijze en de verstandhouding en communicatie met externe belanghebbenden.
Corporate governance vereist dan het bestuur risico’s identificeert en managet. In corporate governance-raamwerken waaraan wordt gerefereerd vanuit het ISF-raamwerk worden informatiebeveiliging en informatierisico’s niet als key bedrijfsrisico’s gedefinieerd maar gecategoriseerd als operationele hoge risico’s. ISG kan vanuit informatiebeveiliging de volgende doelen realiseren: •
Toegevoegde waarde leveren aan belanghebbenden. (Deliver value to stakeholders)
•
Het behalen van strategische doelen, mede door afstemming van ondernemingsstrategien met informatiestrategieën. (Achieve strategic goals)
•
Zekerheid bieden ten aanzien van informatie risico’s, mede door informatierisico’s te managen overeenkomstig de risicoacceptatiegraad en compliancevereisten van de organisatie. (Provide information risk Assurance)
83
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Information security governance Het Information Security Governance (ISG)-raamwerk van ISF (2011) is bedoeld als ondersteuning voor het managen van informatiebeveiligings-/risicodoelstellingen binnen elk onderdeel van de organisatie. ISG wordt gedefinieerd als De besturing en het toezicht op informatiebeveiliginggerelateerde activiteiten binnen een organisatie door het management. Het ISG-raamwerk van het ISF beschrijft activiteiten ter voorbereiding en planning van een implementatie of verbetering van de ISG. De activiteiten zijn gegroepeerd onder de drie doelstellingen van het ISG. Doelstelling; Deliver value to stakeholders Activiteiten:
- Improve effectiveness and efficiency - Meet stakeholder requirements - Enable business initiatives - Integrate with enterprise processes
Doelstelling: Achieve strategic goals Activiteiten:
- Execute strategic objectives - Set and refine information risk appetite - Sustain buy-in and commitment - Maintain security requirements
Doelstelling: Provide information risk assurance Activiteiten:
Overseen assurance programme - Implement risk assessment - Ensure compliance - Manage supply chain risk - Monitor and report on assurance
Het ISF/ISG hanteert verder de volgende risicomanagement definities: Risk appetite - An expression of the nature and quantum of risk or uncertainty which an enterprise is willing to take or accept to achieve its objectives. Risk tolerance - The amount of variation in risk or uncertainty an enterprise can bear in achieving its objectives and aligned to its appetite – its capacity to take risk. Met figuur B.6 geeft ISF de relatie aan tussen security governance en security management.
84
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Figuur B.6 – Relatie tussen security governance en security management.
Als handvat voor een robuuste opzet en implementatie van Information Security Governance worden de volgende te nemen stappen aangegeven: Preparing for information security governance -
Evaluate the status of information security in the enterprise
-
Review information security strategy and objectives
-
Understand published ISG frameworks
-
Assess ISG in the enterprise
Planning for ISG implementation -
Describe information security governance framework
-
Identify and engage your stakeholders
-
Define what will be measured and how
-
Gain approval to implement information security governance
-
Prepare final implementation plan
In de bijlage van het ISF-raamwerk is een summiere vergelijking opgenomen tussen de ISGactiviteiten en andere ISG-frameworks, waaronder die van COSO ERM en ISO/IEC 27014 (draftversie).
B.5
NIST SP800-standaarden Het NIST (National Institute of Standards and Technology) is een Amerikaanse overheidsinstelling die standaardisatie binnen de wetenschap ten doel heeft. De Special Publications 800-serie van het NIST omvat standaarden op het gebied van beveiliging van computers en informatiesystemen. De Special Publications worden omschreven als aanbevelingen en richtlijnen. Met name Amerikaanse overheidsinstellingen gebruiken deze NIST-standaarden bij het opstellen van (verplichte) overheidsstandaarden. Het NIST heeft een serie van standaarden gepubliceerd op het gebied van risicomanagement en informatiebeveiliging. Hierna wordt eerst de laatst verschenen standaard de SP800-39
85
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
beschreven omdat deze voortbouwt op de andere standaarden waaronder de SP800-37, het Risk Management Framework. Deze wordt daarna nog kort benoemd. De SP800-30 beschrijft een model voor risicomanagement. Het model heeft grote overeenkomsten met andere risicomanagementmodellen zoals het model binnen het COSO ERM-raamwerk en ISO Risk Management-standaarden, en wordt hier verder niet beschreven. In figuur B.7 is het model schematisch weergegeven. De overige standaarden uit de serie zijn minder relevant voor het onderzoek. De serie risicomanagement- en informatiebeveiligingsstandaarden van het NIST omvat de volgende standaarden: -
SP800-39, Managing Information Security Risk (2012)
-
SP800-30, Guide for Conducting Risk Assessments (2011).
-
SP800-37, Guide for Applying the Risk management Framework to Federal Information Systems: A Security Life Cycle Approach (2010).
-
SP800-53A, Guide for Assessing the Security Controls in Fedral Information Ssytems and Organizations (2010).
-
SP800-53, Recommended Security Controls for Fedral Information Systems and Organisations (2009).
Figuur B.7 - Het risk assessment process in NIST SP800-30 komt grotendeels overeen met de ISO Risk Management-procesbeschrijvingen.
B.5.1
NIST SP800-39 - Managing Information Security Risk Het doel van de NIST SP800-39-standaard is informatiesystemen beter te beveiligen en om tot strategische, op risico gebaseerde, beslissingen te komen ten aanzien van investeringen en operationele processen voor het beheren van ondernemingsrisico’s. De in de standaard gegeven richtlijnen dienen te worden gezien als onderdeel van een overkoepelend ERM-programma. De NIST SP800-39-standaard gaat uit van een holistische meerlaagse benadering voor beheer van informatiebeveiligingsrisico’s. Om informatierisico’s overal in de organisatie op juiste wijze te adresseren wordt een drielaagse benadering gevolgd waarin informatierisico’s op organisatieniveau (1), op procesniveau (2) en op systeemniveau (3) worden geadresseerd (zie
86
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
figuur B.8a). De risicocontext, risicobeslissingen en risico(management)activiteiten van een laag dienen als input voor de onderliggende laag. De resultaten van activiteiten binnen een laag verschaffen de bovenliggende laag de gewenste terugkoppeling, mogelijk resulterend in aanpassingen. Laag 1 omvat governance, de risk management-functie, risicomanagementstrategie en investeringsstrategieën. Laag 2 omvat risicobewustzijn, bedrijfsprocessen, bedrijfsarchitectuur en informatiebeveiligingsarchitectuur. Aangegeven wordt dat de standaard vergelijkbaar is met standaarden ISO/IEC 31000 (Risicomanagementprincipes en -richtlijnen), ISO/IEC 31010 (Risicoanalysetechnieken), ISO/IEC 27001 (Managementsysteem voor informatiebeveiliging, ISMS) en ISO/IEC 27005 (Risicomanagement voor informatiebeveiliging). Information Security Risk wordt gedefinieerd als het risico verbonden aan het beheer en gebruik van informatiesystemen (informatiesysteemrisico’s). De gehanteerde definitie van risico is de mate waarin een entiteit wordt bedreigd, typisch aangegeven als functie van de gevolgschade (nadelige gevolgen) en de kans, overeenkomstig de SP800-30-standaard die in 2012 is herzien (Risk is a measure of the extent to which an entity is threatened by a potential circumstance or event). De algemene doelstelling wordt in de standaard nader toegelicht met de volgende beschrijving van doelstellingen: •
Waarborgen dat het belang van het managen van informatiesysteemrisico’s wordt onderkend door het management en dat de juiste governancestructuren worden ingesteld voor het managen van de risico’s.
•
Waarborgen dat het risicomanagementproces effectief wordt uitgevoerd over de drie lagen heen: organisatie, bedrijfsprocessen en informatiesystemen.
•
Een cultuur creëren binnen de organisatie waarin het risicomanagementproces wordt onderkend binnen het ontwerpen van bedrijfsprocessen en het definiëren van de bedrijfsarchitectuur en systeemontwikkelingsprocessen. Bedrijfsarchitectuur wordt gedefinieerd als de toegepaste besturing van de organisatie om bedrijfsprocessen en informatiebronnen maximaal te benutten ter realisatie van de bedrijfsresultaten.
•
Ondersteuning bieden bij implementatie en beheer van informatiesystemen voor vertaling van informatiesysteemrisico’s naar bedrijfsbrede risico’s.
Als voorwaarde voor het effectief managen van bedrijfsbrede informatiesysteemrisico’s dienen de volgende proceselementen aanwezig te zijn: •
Het toewijzen van verantwoordelijkheden aan hoger management.
•
Continue erkenning van en inzicht in informatiesysteemrisico’s door het hoger management.
•
Vaststellen van de ondernemingsrisicotolerantie en communiceren over deze risicotolerantie en de gevolgen ervan voor beslissingsprocessen.
•
Aansprakelijkheid van het hoger management voor zijn risicomanagementbeslissingen en implementatie van een effectief bedrijfsbreed risicomanagementprogramma.
87
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
De componenten van het risicomanagementproces zijn: Risicocontext (Risk Framing) – de context van op risico gebaseerde besluitvorming vormgeven waarbij voor het risicomanagementproces en voor risico’s aannames, beperkingen, toleranties, prioriteiten (en wisselwerkingen) worden gedefinieerd (risk assumptions, risk constraints, risk tolerance, priorities and trade-offs). Risico-assessment – waarbij bedreigingen, kwetsbaarheden, gevolgschade en kansen worden geïdentificeerd en bepaald, met als eindresultaat een vaststelling van de risico’s. Risicorespons – waarbij alternatieven worden ontwikkeld en geïmplementeerd, rekening houdend met de risicotolerantie. Als respons worden onderscheiden: accepteren, vermijden, mitigeren, (ver)delen of verplaatsen. Risicobewaking – om te verifiëren dat de risicorespons voldoet, ook blijft voldoen, en om wijzigingen te signaleren die van invloed zijn op de risico’s. Hiertoe behoort ook het beschrijven van hoe compliance aan vereisten en effectiviteit worden geverifieerd. Het risicomanagementproces wordt weergegeven als in figuur B.8b.
Figuur B.8a – Drielaagse benadering van risicomanagement. Figuur B.8b – Risicomanagementproces.
B.5.2
NIST SP800-37 - Guide for Applying the Risk management Framework to Federal Information Systems: A Security Life Cycle Approach Het NIST SP800-37 Risk Management Framework is opgezet voor overheidsinstellingen met als doel de informatiebeveiliging te verbeteren, risicomanagementprocessen te verbeteren. en het dient als gemeenschappelijk raamwerk tussen overheidinstellingen. Het raamwerk is ingevoerd om het statische, op procedurele activiteiten gerichte Certification and Accreditation (C&A)-proces te vervangen door een dynamische benadering voor het effectief managen van systeemgerelateerde informatiebeveiligingsrisico’s in een zeer diverse omgeving. De standaard SP800-37 geeft richtlijnen voor implementatie van het raamwerk: het categoriseren van systeembeveiliging, het selecteren en implementeren van maatregelen, het
88
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
beoordelen van de beveiliging, het autoriseren van informatiesystemen en het bewaken van beveiligingsmaatregelen. Het RMF omvat een viertal fundamentele concepten en een zestal taken. Fundamentele concepten zijn: Geïntegreerd organisatiebreed risicomanagement – Gebruik van risicomanagement principes en best practices bij opzet van organisatiebrede strategische planningen. Risk management dient als een holistische activiteit gezien te worden welke volledig geïntegreerd is in elk aspect van de organisatie. Om de resulterende complexiteit te adresseren wordt het drielaagse risicomanagementmodel ingevoerd. Systeemontwikkelingsproces – Integreren van informatiebeveiligingseisen in systeemontwikkelingsprocessen. Afbakening van het informatiesysteem – Vaststellen van praktische en zinvolle grenzen van informatiesystemen. Security control allocation – Benoemen van beveiligingsmaatregelen als systeemspecifieke, hybride of gemeenschappelijke maatregel. Het RMF-proces omvat zes onderdelen ofwel taken (zie figuur B.9). Een taak is onderverdeeld in subtaken. Voor elke subtaak wordt aangegeven welke functie primair verantwoordelijk is, welke functies ondersteuning verlenen en in welke fase van de systeemontwikkeling de taak plaatsvindt.
Figuur B.9 – Taken binnen het risicomanagementproces.
Categorize Information System – Indelen van een informatiesysteem en de verwerkte informatie in een beveiligingscategorie op basis van een impactanalyse. Subtaken zijn: -
Security categorization
-
Information system description
-
Information system registration
89
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Select Security Controls – Selecteren van de beveiligingsbaseline op basis van de beveiligingsindeling, en aanpassen en aanvulling van de beveiligingsmaatregelen op basis van een risicobeoordeling en specifieke omstandigheden. Subtaken zijn: -
Common control identification
-
Security control selection
-
Monitoring strategy
Implement Security Controls – Implementatie van beveiligingsmaatregelen inclusief beschrijving van gebruik in operationele omgeving. Subtaken zijn: -
Security control implementation
-
Security control documentation
Assess Security Controls – Beoordeling van de beveiligingsmaatregelen op juiste implementatie en op realisatie van systeemdoelstellingen. Subtaken zijn: -
Assessment preparation
-
Security control assessment
-
Security assessment report
-
Remediation actions
Authorize Information System – Het beslissen over goedkeuring voor gebruik van een informatiesysteem op basis van de vastgestelde risico’s en de werking van het informatiesysteem. Subtaken zijn: -
Plan of action and milestones
-
Security authorization package
-
Risk determination
-
Risk acceptance
Monitor Security Controls – Het op continue basis monitoren van beveiligingsmaatregelen van een informatiesysteem. Dit omvat controle op effectiviteit, documenteren van wijzigingen in systeem of omgeving en impactanalyse van de wijzigingen, en rapporteren over de beveiligingsstatus van het systeem. Subtaken zijn: -
Information system and environment changes
-
Ongoing security control assessments
-
Ongoing remediation actions
-
Key updates
-
Security status reporting
-
Ongoing risk determination and acceptance
-
Information system removal and decommissioning
90
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
In de toelichtingen op het raamwerk worden zaken benadrukt en karakteristieken van het proces aangegeven die als (IT-)risicomanagementprincipes betiteld zouden kunnen worden maar niet expliciet als zodanig worden aangeduid. Genoemde relevante ‘principes’ zijn: •
Het bouwen van informatiebeveiligingsfunctionaliteit dient plaats te vinden door toepassing van state-of-the-practice maatregelen; voor het management, voor operationeel beheer en technisch.
•
De kennis over de beveiligingsstatus van informatiesystemen dient continu onderhouden te worden door monitoring(bewakings)processen.
•
Near real-time risicomanagement en een continu proces voor autoriseren van informatiesystemen dient gepromoot te worden door implementatie van robuuste bewakingsprocessen.
•
Bij verschaffing van informatie aan hoger management dient automatisering gestimuleerd te worden voor kosteneffectieve, risicogebaseerde beslissingen ten aanzien van informatiesystemen.
•
Informatiebeveiliging dient geïntegreerd te worden in de bedrijfsarchitectuur en bij systeemontwikkeling.
•
De keuze van implementatie, beoordeling en bewaking van beveiligingsmaatregelen en van het autoriseren van informatiesystemen is onderdeel van het proces.
•
De riskfunctie heeft tot taak risicomanagementprocessen op informatiesysteemniveau en op organisatieniveau te koppelen.
•
Verantwoordelijkheid en aansprakelijkheid informatiesystemen dienen belegd te worden.
voor
beveiligingsmaatregelen
in
91
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
B.6
ISACA’s Business Framework ISACA (Information Systems Audit and Control Association) is een onafhankelijke internationale beroepsvereniging op het gebied van IT-governance, IT-auditing, informatiebeveiliging en risicomanagement van automatisering. ISACA stelt zich als doel de uitoefening van de werkzaamheden door haar leden binnen deze vakgebieden te verbeteren en verder te professionaliseren. COBIT 5 is het raamwerk voor IT-governance en IT-management in 2012 gepubliceerd in opvolging van COBIT 4. In COBIT 5 zijn producten die gelieerd waren aan COBIT 4 (Val IT en Risk IT) geïntegreerd in één raamwerk voor governance en management. Los van algemene governancedoelstellingen als het creëren van waarde, verhogen van gebruikerstevredenheid, voldoen aan wet- en regelgeving en verbeteren van de afstemming van bedrijfs- en IT-doelstellingen worden onder andere ook de volgende onderzoeksrelevante redenen genoemd voor ontwikkeling van de nieuwe COBIT-versie: •
Het beter kunnen managen van verwachtingen ten aanzien van IT.
•
Realiseren van een grotere betrokkenheid van belanghebbenden (stakeholders) en daarbij de transparantie te vergroten.
•
Beter kunnen omgaan met de grote hoeveelheid informatie, met de grote verwevenheid van IT in de organisatie, inclusief gebruikers’ eigen IT-oplossingen, en de toegenomen afhankelijkheid van externe IT-partijen.
Specifieke IT-gerelateerde bedrijfsdoelstellingen die vooraf worden benoemd zijn: •
Het streven naar een hoge kwaliteit van informatie ter ondersteuning van beslissingen.
•
Het genereren van waarde uit IT-investeringen, bijvoorbeeld door effectief en innovatief gebruik van IT.
•
Het verbeteren van operationele resultaten door betrouwbare en efficiënte toepassing van techniek.
Naast het raamwerk zelf (ISACA, 2012) behoren Enabling Guides en Professional Guides tot de COBIT5-productfamilie. Momenteel zijn de Enabling Processes, Implementation en Information Security Guides beschikbaar (respectievelijk ref. [COBIT5Proc], [COBIT5Impl] en [COBIT5Sec]). De voor de onderzoeksvraag relevante Assurance en Risk Guides zullen in 2013 worden gepubliceerd. In COBIT 5 for Information Security wordt het raamwerk meer gedetailleerd uitgewerkt en worden meer praktische richtlijnen gegeven voor informatiebeveiliging. Hoewel de processen Manage security, Manage continuity en Manage security services de basis vormen voor security management is informatiebeveiliging een integraal onderdeel van elke proces en elk onderdeel van de organisaties en is het COBIT5-raamwerk als geheel het governance- en managementraamwerk voor informatiebeveiliging. ISACA geeft daarmee een goed voorbeeld van hoe COBIT5 kan worden gebruikt voor het opzetten van een raamwerk op het gebied van interne controle.
92
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
B.6.1
COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT De doelstelling van governance wordt gedefinieerd als het creëren van waarde door de organisatie voor de belanghebbenden. Waarde wordt gecreëerd door een juiste balans tussen realisatie van opbrengsten (benefits), risico-optimalisatie en gebruik van middelen. COBIT5 omvat net als andere governance- en Enterprise Risk Management-raamwerken principes. Deze principes zijn bij COBIT5 de basis aan de hand waarvan de verschillende onderdelen van het raamwerk worden beschreven. Belangrijkste onderdelen daarbij zijn: •
de aaneenschakeling van doelstellingen welke onder het principe ‘Meeting Stakeholder Needs’ wordt beschreven. Bij gebruik van het raamwerk staat dan ook het creëren van waarde door de aaneenschakeling van doelstellingen centraal.
•
de middelen (ofwel Enablers) voor realisatie van doelstellingen welke onder het principe ‘Enabling a Holistic Approach’ worden beschreven.
•
het procesmodel dat onder het middel Processes valt en nader wordt beschreven onder het principe ‘Separating Governance from Management’. Het procesmodel is sterk gewijzigd ten opzichte van de voorgaande COBIT-versie, mede door het aangebrachte onderscheid tussen governance- en managementprocessen.
Hieronder wordt het raamwerk vanuit de principes beschreven (in een bijlage geeft ISACA aan hoe COBIT5 invulling geeft aan de principes zoals aangegeven in ISO/IEC 38500). Het raamwerk omvat ook een implementatierichtlijn waarin accenten worden gelegd bij interne en externe factoren van de organisatie, knelpunten en herkenningspunten en een implementatie life-cycle model waarin 7 fasen worden onderscheiden. In COBIT5:Implementation wordt de richtlijn nader uitgewerkt. Principles Het raamwerk is gebaseerd op 5 principes waarmee een governance- en managementraamwerk kan worden opgezet voor optimalisatie van IT-investeringen. De vijf principes zijn: 1.
Voldoen aan behoefte van belanghebbenden (Meeting Stakeholders Needs)
2.
Bestrijk de gehele organisatie (Covering the Enterprise End-to-end)
3.
Pas één geïntegreerd raamwerk toe (Applying a Single, Integrated Framework)
4.
Maak een holistische aanpak mogelijk (Enabling a Holistic Approach)
5.
Breng scheiding aan tussen governance en management (Separating Governance From Management)
Principle 1 - Meeting Stakeholder Needs Dit principe wordt uitgewerkt in een aaneenschakeling van doelstellingen (zie figuur B.10). De bedrijfsdoelstelling is het creëren van waarde voor de belanghebbenden waarmee invulling wordt gegeven aan de wensen en behoeften van belanghebbenden. Voor ondersteuning bij het bepalen van de bedrijfsdoelstellingen reikt COBIT5 een lijst aan met interne en externe belanghebbenden en vragen voor deze twee groepen belanghebbenden. In een bijlage wordt een voorzet gegeven van bedrijfsdoelstellingen en daaraan grelateerde vragen.
93
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Het doel van het op te zetten raamwerk is het behouden van een juiste balans tussen opbrengsten, risico’s en inzet van middelen (de drie governancedoelstellingen) bij het creëren van die waarde. De wensen en behoeften van belangstellenden komen voort uit (wijzigingen in) de omgeving, zoals wijzigingen in IT, in de wetgeving, maar ook wijzigingen in het bedrijf zoals bedrijfsprocessen en strategie. Uit de bedrijfsdoelstellingen worden IT-doelstellingen afgeleid, en uit deze IT-doelstellingen worden weer doelstellingen afgeleid voor de middelen (Enablers) die realisatie van de ITdoelstellingen mogelijk maken. COBIT5 reikt 17 generieke bedrijfsdoelstellingen aan ingedeeld in de Balanced Score Card (BSC-)categorieën Financieel, Klant, Intern en Ontwikkeling en groei. Voor elke doelstelling wordt aangegeven of, en hoe (primair of secundair) deze is gerelateerd aan de drie governancedoelstellingen. De lijst met 17 doelstellingen volstaat voor de meeste situaties. Ook definieert COBIT5 17 generieke IT-doelstellingen, ook weer ingedeeld in BSCcategorieën. De lijst van doelstellingen kan worden uitgebreid indien noodzakelijk. In een bijlage wordt aangegeven of, en hoe (primair of secundair) bedrijfsdoelstellingen worden ondersteund door (vertaald in) IT-doelstellingen. IT-doelstellingen worden gerealiseerd door toepassing en gebruik van middelen (zie principe 4). Processen zijn één van de onderkende categorieën middelen en in een bijlage wordt aangegeven of, en hoe (primair of secundair) IT-doelstellingen worden ondersteund door processen. Voor processen zijn ook weer doelstellingen gedefinieerd. De aangegeven invulling van bedrijfs- en IT-doelstellingen in IT-doelstellingen respectievelijk -middelen zijn algemene richtlijnen. Voor de specifieke situatie moeten deze worden aangepast, evenals de zwaarte (afweging, primary, secudary of anderszins) waarin één doelstelling bijdraagt aan realisatie van een andere doelstelling.
Figuur B.10 – Aaneenschakeling van doelstellingen binnen COBIT5.
94
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Principle 2 – Covering the Enterprise End-to-end Met dit principe wordt aangegeven dat (enterprise) IT-governance geïntegreerd moet worden in (enterprise) governance en dat het alle functies en alle processen omvat die noodzakelijk zijn voor besturing, toezicht en beheer (governance and management) van informatie en de daaraan gerelateerde techniek, ongeacht waar de informatie wordt verwerkt. Naast de governancedoelstelling worden ook de governancemiddelen (zoals raamwerken, principes, structuren, processen, werkwijzen), de governancescope en de rollen, activiteiten en onderlinge relaties (wie zijn er betrokken bij governance, welke activiteiten verrichten ze en hun onderlinge interacties) als onderdeel van governance benoemd.
Figuur B.11 – Key Roles, Activities and Relationship. Principle 3 - Applying a Single, Integrated Framework COBIT5 beoogt een overkoepelend raamwerk te zijn voor governance en management. Niet alleen de verschillende voorgaande raamwerken van ISACA zijn geïntegreerd maar het doel is ook om het raamwerk op hoog niveau aan te laten sluiten, of zelfs overeen te laten komen, met andere standaard raamwerken zoals die van ITIL, TOGAF en ISO. In figuur B.12 is aangegeven hoe de onderdelen uit het procesmodel (figuur B.15) aansluiten bij andere standaarden.
Figuur B.12 – Andere standaarden afgebeeld op het procesmodel van COBIT5.
95
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Principle 4 – Enabling a Holistic Approach Efficiënte en effectieve IT-governance en efficiënt en effectief IT-management voor een organisatie vereisen een allesomvattende, holistische, benadering. Daartoe definieert het raamwerk Enablers (zie figuur B.13) waartoe alle middelen worden gerekend die kunnen bijdragen aan de realisatie van doelstellingen. Enablers worden ingedeeld in 7 categorieën (zie hieronder) en worden verder beschreven aan de hand van hun Componenten (eigenschappen of aspecten). COBIT5 definieert een viertal Componenten die generiek zijn voor alle Enablers: Stakeholders, Goals, Life Cycle en Good Practice. Bij bepaling van het resultaat van de Enabler worden de eerste twee Componenten gebruikt. Voor bepaling van het functioneren van de Enabler worden de laatste twee Componenten gebruikt. Enabler-categorieën zijn: •
Principes, beleid en raamwerk, welke de wensen en eisen vertalen in praktische richtlijnen voor dagelijks management.
•
Processen, welke een georganiseerde verzameling van activiteiten en werkwijzen voor realisatie van IT-doelstellingen beschrijven. COBIT5 omvat een Process Reference Model (zie figuur B.15) waarin Good Practices van de afzonderlijke processen zijn beschreven. Elk proces kan worden beschreven op het niveau van Practices, Activities en Detailed Activities. Procesdoelstellingen die worden onderscheiden zijn Intrinsic, Contextual en Accessibility and Security.
•
Organisatiestructuren zijn de belangrijkste beslissende onderdelen in een organisatie.
•
Cultuur, ethiek en gedrag zijn belangrijke succesfactoren. Additionele goal is Relationship with other Enablers.
•
Information. In COBIT5 zijn de informatiecriteria vervangen door doelstellingen van Information Enablers welke niet beperkt zijn tot de 7 criteria van COBIT4. In COBIT4 werden de informatiecriteria afgeleid uit bedrijfsdoelstellingen en dienden de juiste processen ingevuld te worden om aan deze criteria te kunnen voldoen.
•
Services, infrastructuur en applicaties zijn de onderdelen die de organisatie technische verwerking en diensten leveren.
•
Mensen, deskundigheden en vaardigheden zijn van belang voor uitvoering van activiteiten en het nemen van beslissingen.
Per Enabler dient te worden bepaald hoe stakeholder- en Enabler-doelstellingen worden gerealiseerd en, aan de hand van de resultaten, of ze worden gerealiseerd. Tevens dient per Enabler te worden bewaakt of systeemontwikkelingslevenscycli worden gemanaged en of juiste werkwijzen worden toegepast.
96
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Figuur B.13 – Enablers (Anything that can help to achieve the objectives of the enterprise). Principle 5 – Separating Governance from Management COBIT5 maakt duidelijk onderscheid tussen governance en management omdat beide verschillende activiteiten omvatten, verschillende organisatiestructuren vereisen en verschillende doelstellingen hebben. Governance is er om de behoeften, voorwaarden en mogelijkheden van belanghebbenden te evalueren en om evenwichtige en overeengekomen bedrijfsdoelstellingen te bepalen. Vanuit governance vindt sturing plaats door prioriteiten te stellen en beslissingen te nemen en vindt toezicht plaats op resultaten en het voldoen aan vereisten overeenkomstig gemaakte afspraken. Management plant, realiseert en voert activiteiten uit en ziet erop toe dat de activiteiten overeenkomen met de lijnen die binnen governance zijn bepaald voor realisatie van de bedrijfsdoelstellingen. Voor de interactie die hierbij nodig is tussen governance en management worden voor Enablers onder andere de volgende zaken aangegeven: •
Processen omvatten RACI-matrices waarin de verantwoordelijkheden van onderdelen en rollen worden weergegeven.
•
Informatie wordt uitgewisseld via input en output van processen.
•
Principes, beleid en raamwerken vormen de interactie tussen governance en management.
•
Kennis over het verschil tussen governance en management is bij alle betrokkenen noodzakelijk om de activiteiten correct uit te kunnen voeren.
Het procesmodel van COBIT5 omvat vijf governanceprocessen met in elke proces besturings-, toezichts- en evaluatieactiviteiten. Management omvat vier domeinen van processen overeenkomstig de managementverantwoordelijkheden: plannen (APO: Align, Plan, Organise), realiseren (BAI: Build, Acquire and Implement), uitvoeren (DSS: Deliver, Service and Support) en bewaken (Monitor, Evaluate and Assess). De processen worden gedetailleerd beschreven in COBIT5:Enabling Processes. COBIT5 omvat tevens een proces volwassenheidsmodel dat is gebaseerd op de proces assessment-standaard ISO/IEC 15504 met volwassenheidniveaus: Incomplete, Performed, Managed, Established, Predictable en Optimising. Overeenkomstig de ISO 15503-vereisten
97
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
dienen processen te worden beschreven in termen van doelen en resultaten en dienen processen zelf geen volwassenheidskenmerken te bevatten. De processen in het COBIT5-model zijn niet voorgeschreven maar zijn de meest voorkomende processen. Een organisatie dient zelf processen te definiëren binnen de governance- en managementprocesgebieden (EDM respectievelijk PBRB, zie figuur B.14).
Figuur B.14 – Governance- en managementprocesgebieden (Evaluate, Direct en Monitor, respectievelijk Plan, Build, Run en Monitor), en de scheiding tussen governance- en managementprocessen.
Figuur B.15 – COBIT5-procesmodel
98
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
B.6.2
Voorbeeld uitwerking met COBIT5 In deze paragraaf worden enkele aspecten benoemd voor het opzetten van een risicomanagementraamwerk op basis van de onderzoeksgegevens. Dit valt buiten de scope van het onderzoek maar is in deze scriptie opgenomen ter verduidelijking van het gebruik van onderzoeksgegevens en COBIT5-aspecten. Belangrijke aspecten van COBIT5 zijn dat het uitgaat van het aaneenschakelen van doelstellingen (goal cascading), dat het een bedrijfsbrede en holistische benadering voorstaat door alle middelen (Enablers) te beschouwen en dat het een uitgebreid procesmodel bevat. Aanpak en goal cascading Voor het opzetten van een (IT-)risicomanagementraamwerk geven de verschillende standaarden (hoofdstuk 4) globaal richtlijnen. Belangrijk voor de opzet van het raamwerk is dat er overeenstemming is met de betrokkenen om een verbeteringsinitiatief te starten. De belangrijkste issues, pijnpunten en knelpunten moeten worden geïdentificeerd en het bestuur moet het initiatief volledig ondersteunen. In processen dient daarna continu aandacht besteed te worden aan verbetering van het raamwerk. Vervolgens dient de scope bepaald te worden. De scope voor deze exercitie wordt bepaald door de scope van het onderzoek (hoofdstuk 2). Het raamwerk kan worden aangeduid als IT Risk Management Framework (IT-RMF) ter aanduiding dat het gericht is op beheersing van ITgerelateerde risico’s. Dit IT-RMF is specifiek opgezet voor beheersing van risico’s zoals die in paragraaf 4.1.1 zijn benoemd. Van doelstellingen naar middelen Vervolgens zullen binnen de scope de bedrijfsdoelstellingen moeten worden vertaald in ITgerelateerde doelstellingen en uitwerking daarvan in middelen die deze doelstellingen mogelijk maken (Enablers). Binnen de scope van het onderzoek zijn de behoeftes van belanghebbenden en de bedrijfsdoelstellingen beschreven in hoofdstuk 2. Als belanghebbenden kunnen ook entiteiten buiten de organisatie worden beschouwd en mogelijk ook de maatschappij als geheel. Dit valt verder buiten de scope van dit onderzoek. Als binnen de voorgedefinieerde COBIT5-bedrijfsdoelstellingen die doelstellingen worden geselecteerd die overeenkomen met de doelstelling in hoofdstuk 2 dan geeft dat de volgende bedrijfsdoelstellingen (nummering volgens COBIT Enterprise Goals en ingedeeld in BSCdimensies): •
Financial: 2. Portfolio of competitive products and services
•
Customer: 8. Agile responses to a changing business environment 10. Optimisation of service delivery costs
•
Internal: 12. Optimisation of business process costs
99
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
13. Managed business change programmes 14. Operational business and staff productivity •
Learning and Growth: 17. Product business innovation culture
Vervolgens dienen deze doelstellingen te worden vertaald in IT-doelstellingen. Het voert te ver dit te doen voor alle bovenstaande doelstellingen, maar als we één van de belangrijkste doelstellingen nemen (8. Agile responses to a changing business environment) dan geeft de standaardtabel uit COBIT5 aan dat deze doelstelling primair wordt ondersteund door de volgende IT-doelstellingen: •
Financial: 1. Alignment of IT and business strategy
•
Customer: 7. Delivery of IT services in line with business requirements
•
Internal: 9. IT agility
•
Learning and Growth: 17. Knowledge, expertise and initiatives for business innovation
Daaropvolgend dienen de middelen (Enablers) bepaald te worden waarmee deze ITdoelstellingen kunnen worden gerealiseerd. Door onder andere verbeteringen aan te brengen aan deze middelen, onder andere bepaald door de eigenschappen en aspecten (COBIT5: Dimensions), kunnen de IT-gerelateerde risico’s worden verminderd. De IT-gerelateerde risico’s zijn dan de risico’s dat de middelen onvoldoende bijdragen aan realisatie van de ITdoelstellingen en daarmee onvoldoende ondersteuning bieden voor realisatie van de bedrijfsdoelstellingen. Voor het middel Processes kan vervolgens bepaald worden met een standaardtabel uit COBIT5 welke processen bijdragen aan realisatie van de IT-doelstellingen. Zo geeft deze tabel aan dat voor doelstelling 9 (IT agility) de volgende processen primair bijdragen aan realisatie van deze doelstelling: •
Evaluate, Direct and Monitor: EDM03
•
•
Ensure Resource Optimisation
Align, Plan and Organise: APO01
Manage the IT Management Framework
APO03
Manage Enterprise Architecture
APO04
Manage Innovation
APO010
Manage Suppliers
Build, Aquire and Implement: BAI08
Manage Knowledge
100
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Van risico’s naar middelen Een ander gebruik van de standaard COBIT5-tabellen is om vanuit de risico’s de middelen te bepalen waaruit deze risico’s voortkomen. Vervolgens kunnen de IT-doelstellingen, en daaropvolgend de bedrijfsdoelstelling, worden bepaald waar deze middelen aan bijdragen. Als de IT-middelen niet voldoen en hun doelen niet worden bereikt resulteert dit dus in een risico voor het behalen van de bedrijfsdoelstellingen en verminderde vervulling van de behoeftes van belanghebbenden (zie figuur B.16).
Figuur B.16 – Cascading van doelstellingen en risico’s. De risico’s uit hoofdstuk 4 zijn risico’s zoals deze worden ondervonden bij de huidige ontwikkelingen binnen de IT-omgeving van de organisaties. Deze risico’s kunnen worden gerelateerd aan categorieën van IT-middelen (Enablers, zie figuur B.17).
Figuur B.17 – Mapping van risico’s naar middelen. Door per middel het beschrijven van de eigenschappen en aspecten (COBIT5: dimensies), aan te geven wat het resultaat moet zijn (COBIT5: Stakeholder and Goal) en hoe het moet
101
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
functioneren (COBIT5: Life Cycle and Good Practice) wordt aangegeven hoe de genoemde risico’s op juiste wijze moeten worden gemanaged zodat de doelen van de IT-middelen kunnen worden gerealiseerd en daarmee ook de IT- en bedrijfsdoelstellingen. Verschillende risicoscenario’s kunnen vervolgens worden gebruikt voor een verdere focus op risicogebieden met hoge prioriteit en een verdere focus op de belangrijkste IT-processen. In het voorbeeld van dit onderzoek kunnen bijvoorbeeld de meest relevante IT-gerelateerde doelstellingen worden geselecteerd uit de door COBIT5 voorgedefinieerde IT-gerelateerde doelstellingen. Op basis van het onderzoek zijn de volgende IT-doelstellingen geselecteerd (deze zijn in tabel B.1 in de kolommen aangegeven). 2. IT compliance and support for business compliance with external laws and regulations. 4. Manage IT-related business risk. 9. IT-agility. 10. Security of Information processing infrastructure and applications. 14. Availability of reliable and useful information for decision making. 15. IT compliance with internal policy.
Vervolgens is de standaardtabel gebruikt uit COBIT5 voor mapping van deze doelstellingen op processen die primair deze doelstellingen ondersteunen. De mappings zijn gekleurd weergegeven in tabel B.1. Een vervolgwerkwijze zou kunnen zijn dat die processen nader worden onderzocht en verbeterd die drie of meer doelstellingen ondersteunen. Dit zijn: 2.
EDM03: Ensure Risk Optimisation
3.
APO01: Manage the IT Management Framework
4.
APO12: Manage Risk
5.
APO13: Manage Security
6.
DSS05: Manage Security Services
7.
MEA02: Monitor, Evaluate and Assess the System of Internal Control
Dit zijn alle processen die sterk gericht zijn op beheersing van risico’s en dan met name de risico’s die voortkomen uit de ontwikkelingen zoals beschreven in hoofdstuk 3.
102
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
Tabel B.1 – Mapping van IT-doelstellingen op processen die bijdragen aan realisatie van deze doelstellingen.
103
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
C
Referenties [1]
AFM (2011, november 9). Oplegging bestuurlijke boete aan Ernst & Young Accountants LLP - overtreding artikel 23 Bta. AFM-besluit.
[2]
AFM (2012). Beslissing op bezwaar Ernst & Young Accountants LLP.
[3]
Cadburry Commission (1992, December). Financial Aspects of Corporate Governance.
[4]
CBP (2013, februari). CBP Richtsnoeren; Beveiliging van persoonsgegevens)
[5]
Commissie Corporate Governance (2003, december 9). De Nederlandse corporate governance code; Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen.
[6]
COSO (1992). Internal Control – Integrated Framework. The original framework.
[7]
COSO (2010, December). COSO’s 2010 Report on ERM, Current State of Enterprise Risk Oversight and Market Perceptions of COSO’s ERM Framework.
[8]
COSO (2004, September). Enterprise Risk Management – Integrated Framework.
[9]
COSO (2004, September). Risico management van de onderneming; Geïntegreerd raamwerk, Management samenvatting.
[10] COSO (2011, December). Internal Control – Integrated Framework. Draft for Information. [11] COSO (2012, October). Risk Assessment in Practice. [12] COSO (2012, January). Enterprise Risk Management; Understanding and Communicating Risk Appetite. [13] COSO (2012, June). Enterprise Risk Management for Cloud Computing. [14] Deloitte (2012, augustus). Veranderende verwachtingen, continue kwaliteit, Transparantieverslag 2011/2012. [15] Deloitte (2012, September). The Risk Intelligent IT Internal Auditor; IT IA Takes Flight; Commercial service publication. [16] Derksen, B. et al. (2006). Modellen die werken; kwaliteit in bedrijf en informatievoorziening. [17] Dijken-Eeuwijk, M. van, Klaarbergen, A. van (2009, april). Outsourcing bij accountants: stille trend, maar kan dat zomaar?: Accountant.nl.
104
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
[18] DNB (2011, oktober). Referentiekader IRM. [19] Doughty, Ken (2011). The Three Lines of Defense Related to Risk Governance; ISACA Journal nr. 5. [20] Fédération des Experts comptables Européens (2012, Janvier). Integrated Reporting Update, Factsheet. [21] Fijneman, R., et al. (2008). IT-auditing. [22] Houwelingen, C.M. van, Degens, R.M.L. (2005). Corporate Governance in Nederland; Van Peters tot Tabaksblat, Compact Magazine. [23] IIA Nederland (2005, april 21). De Internal Auditor in Nederland. Position Paper. [24] IIA Nederland (2008). De Internal Auditor in Nederland. Position Paper Update. [25] IIA (2013, January). The Three Lines of Defence in Effective Risk Management and Control. [26] IIRC (2011, September). Towards Integrated Reporting; Communicating Value in the 21st Century; Discussion paper theiirc.org. [27] ING Economisch Bureau (2012, oktober 3). Ondernemers willen meer waarde van accountantskantoren; ing.nl. [28] International Ethics Standards Board for Accountants (2012). Handbook of the Code of Ethics for Professional Accountants. [29] ISACA (2008). ITAF, A Professional Practice Framework for IT Assurance. [30] ISACA and IT Governance Institute (2011). Global Status Report on the Governance of Enterprise IT (GEIT). [31] ISACA (2012). COBIT 5: A Business Framework for the Governance and Management of Enterprise IT. [32] ISACA (2012). COBIT 5: Implementation. [33] ISACA (2012). COBIT 5: Enabling Processes. [34] ISACA (2012). COBIT 5: For Information Security. [35] ISACA (2012). COBIT 5: For Risk (To appear Q3 2013). [36] ISF (2011, September). Information Security Governance – Raising the game.
105
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
[37] ISO/IEC (2004), Information Technology, Process Assessment (SPICE: Software Process Improvement and Capability Determination). [38] ISO/IEC 38500 (2008, june 1). Corporate governance of information technology. [39] ISO/IEC (2009), November 30). ISO 31000:2009 – Risk Management - Principles and Guidelines on Implementation. [40] ISO/IEC (2009). ISO/IEC 31010:2009 - Risk Management - Risk Assessment Techniques. [41] ISO/IEC (2009). ISO Guide 73:2009 - Risk Management – Vocabulary. [42] ISO/IEC (2011). ISO 27005 Information Security Risk Management. (supersedes version 2008 [43] Korte, R. de (2012), Is de Internal auditor een professional?: auditing.nl. [44] KPMG (2012, September). IT-Internal Audit Services. Commercial service publication; kpmg.com. [45] KPMG N.V. (2012, December). Integrated Report; Including the KPMG Accountants N.V. Transparency Report. [46] Majoor, B., Wallage, P. (2010). De veranderende rol van de accountant; Maandblad voor Accountancy en Bedrijfsvoering. [47] Monitoring Commissie Corporate Governance Code (2009, december). De Nederlandse Corporate Governance Code; Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. [48] Nederlandse Overheid (2011). SBR Technische Startersguide; de elementen tot implementatie van XBRL. [49] Nederlandse Vereniging van Banken (2009, September). Code Banken. [50] NIST (2009, August). SP 800-53, Recommended Security Controls for Fedral Information Systems and Organisations. [51] NIST (2010, February). SP 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems – A Security Life Cycle Approach. [52] NIST (2010, June). SP 800-53A, Guide for Assessing the Security Controls in Federal Information Ssytems and Organizations.
106
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
[53] NIST (2011, March). SP 800-39, Managing Information Security Risk – Organisation, Mission, and Information System View. [54] NIST (2011, September). SP 800-30, Guide for Conducting Risk Assessments. [55] NIVRA (2009). Meer dan Euro’s alleen; nieuwe kaders voor verantwoording en assurance van niet-financiële informatie, NIVRA-debatbijeenkomsten 2009. [56] NIVRA (2010, maart). Code Banken; Taken interne auditfunctie en externe accountant, Praktijkhandreiking 1110. [57] NOREA (). Raamwerk Assurance-opdrachten door IT-auditors; NOREA Gedrags- en beroepsregels. [58] Noordbeek (2012, September). Uitbesteding van de Internal IT Auditfunctie. Commercial service publication. [59] OECD (2004). OECD Principles of Corporate Governance. [60] OECD (2007). Methodology for Assessing the Implementation of the OECD Principles of Corporate Governance. [61] Purdy, G. (2011, February 21). 10 Reasons not to like the COSO ERM framework – A discussion with Grant Purdy; normanmarks.wordpress.com. [62] PwC (2012, September). Internal Audit Services. Commercial service publication; pwc.com [63] Racz, N., et al (2010). A Frame of Reference for Research of Integrated Governance, Risk & Compliance (GRC). [64] Reezigt, P.A. (2012, maart). ICT-ontwikkelingen bij Het Nieuwe Werken. [65] Renes, R. (2003, juni, 1). COSO – Wat valt er te repareren; accountant.nl. [66] Sawyer, L.B. et al (2005). Sawyer’s Internal Auditing, The Practice of Modern Internal Auditing, 5th edition; IIA Publication. [67] Seaten, Dr. H. van (Ed.) (2012, October 4). Enterprise Risk Management: COSO, new COSO, ISO 3100; theiia.nl. [68] Shahim RE, Dr. A. (red.) (2007). Kracht van de vernieuwing 2007. [69] Shahim RE, Dr. A. (2012). Introduction to Governance, Risk and Compliance; VU ITAuditing lectures 2012.
107
Vrije Universiteit Amsterdam Risicobeheersing en de rol van internal IT-auditing bij uitbesteding versie 1.1, oktober 2013
[70] Staa, R. van der (2011, Oktober 11). Toegangscontrole in de Cloud moet beter; Computable. [71] Stichting XBRL Nederland, NIVRA (2006). Waarom XBRL belangrijk is voor accountants. [72] Stichting XBRL Nederland (2008, mei). XBRL taxonomieën; voor beginners en doeners. Update 2008. [73] Stichting XBRL Nederland, Max Bisschop (2009, februari). De invloed van XBRL op de accountantspraktijk: kansen en mogelijkheden. [74] Stichting XBRL Nederland (2012, maart). Introductie XBRL; De wereldwijde standaard in Nederland. [75] Theirm.org (2012). A Structured Approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000. [76] XBRL International (2012). Extensible Business Reporting Language (XBRL) 2.1. Recommendation 2003-12-31, edited and updated 2012-01-15.
108