Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Scriptievoorstel

v0.3

Het effect van organisatiecultuur op de IT-auditaanpak

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Dennis Buitendijk (1757784), Maarten van Gerner (1904795) - Scriptienummer 1040

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties Scriptienummer: 1040 Versie 1.0 (31 maart 2011)

Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT audit De Boelelaan 1105 1081 HV Amsterdam Auteurs: D. Buitendijk (1757784) M. van Gerner (1904795) Begeleider Vrije Universiteit: A. Shahim Bedrijfsbegeleider: J. Winterink

Contactgegevens Dennis Buitendijk

Maarten van Gerner

Dennis Buitendijk is sinds april

Maarten van Gerner is sinds

2010 werkzaam op de Internal

2007 werkzaam bij IT Risk

Audit Dienst van Univé-VGZ-

and Assurance van Ernst &

IZA-TRIAS (UVIT). Hiervoor is

Young te Amsterdam.

hij ruim twee en een half jaar bij Ernst & Young IT Risk and Assurance werkzaam geweest, waar hij voornamelijk betrokken is geweest bij IT audits ten behoeve van de jaarrekeningcontrole van diverse multinationals en

Voor Ernst & Young voert Maarten werkzaamheden uit bij organisaties die buiten de financiële diensten sector vallen (o.a. automotive en consumer products).

MKB bedrijven binnen en buiten de financiële

Het grootste deel van de werkzaamheden zijn het

dienstverlening.

toetsen van de IT General Controls en de

Bij UVIT is Dennis betrokken bij diverse audits die de IAD uitvoert. Zijn voornaamste werkzaamheden zijn

applicatieve controles binnen Oracle (Oracle EBusiness Suite) en AS/400.

het toetsen van IT General Controls binnen de

Daarnaast is Maarten betrokken geweest bij enkele

verschillende bedrijfsonderdelen en de daarbij

SAS 70 IT audits en het opstellen van de SAS 70

behorende applicaties binnen UVIT. Daarnaast is hij

rapportages.

betrokken bij diverse operational audits. Contactgegevens Dennis:

Contactgegevens Maarten:

Mail: [email protected] Telefoon: 06 1129 9114

Mail: [email protected] Telefoon: 06 2675 0008

Begeleiding Vanuit de VU zijn wij begeleid door Abbas Shahim. Daarnaast hebben wij Joop Winterink (Univé-VGZ-IZATRIAS) bereid gevonden ons te begeleiden tijdens het scriptieproces. Dr. A. (Abbas) Shahim RE: Mail: [email protected]

Dhr. J. (Joop) Winterink RE RA: Mail: [email protected]

Telefoon: 06 5384 9789

Telefoon: 06 4328 3444

Voorwoord De scriptie die voor u ligt dient ter afsluiting van de postgraduate IT audit opleiding aan de Vrije Universiteit Amsterdam. Tijdens deze scriptie hebben wij een onderzoek uitgevoerd naar de toegevoegde waarde van Third Party Audits voor de bedrijfsdoelstellingen van gebruikersorganisaties en serviceorganisaties. De verschillende achtergronden van de auteurs, zowel interne als externe auditor, is bij het bepalen van het onderwerp voor deze scriptie nuttig gebleken. Zo zijn wij gekomen tot dit onderwerp dat vanuit beide perspectieven de moeite van het onderzoeken waard is gebleken. Het bestuderen van de theorie en het uitvoeren van ons praktijkonderzoek heeft onze kennis en inzichten ten aanzien van het fenomeen Third Party Audits vergroot. Het realiseren van deze scriptie was zonder de volgende personen niet mogelijk geweest. Daarom willen wij hierbij onze dank uitspreken aan de volgende personen: • Joop Winterink en Abbas Shahim, voor de begeleiding, sturing en motiverende rol gedurende de totstandkoming van deze scriptie; • Alle personen die wij hebben gesproken tijdens onze interviews, voor hun tijd en medewerking. Het heeft ons inzicht gegeven hoe er door verschillende partijen tegen Third Party Audit wordt aangegeven; • En niet in de laatste plaats Linh en Susanne voor hun steun tijdens het scriptieproces.

Almere, 31 maart 2011

Dennis Buitendijk

Dennis Buitendijk & Maarten van Gerner

Maarten van Gerner

Inhoudsopgave 1. Inleiding

1

1.1 Aanleiding

1

1.2 Probleemstelling

2

1.3 Doelstelling

4

1.4 Scope

4

1.5 Leeswijzer

4

2. Theoretisch kader 2.1 Wat is “Third Party Audit”?

5 5

2.2 SAS 70

11

2.3 ISAE 3402

14

2.4 Overeenkomsten- / Verschillenanalyse standaarden

17

2.5 Conclusie theoretisch kader

19

3. Praktijkonderzoek

21

3.1 Onderzoeksopzet

21

3.2 Resultaten

22

3.3 Conclusie praktijkonderzoek

28

4. Conclusie

31

4.1 Conclusie

31

4.2 Reflectie

35

4.3 Vervolgonderzoek

36

5. Slotwoord

37

Bijlage 1: Literatuur

39

Bijlage 2: Woordenlijst

41

Dennis Buitendijk en Maarten van Gerner


Inleiding

1. Inleiding Het document dat voor u ligt is onze scriptie welke dient als sluitstuk van de Postgraduate IT Audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. In dit eerste hoofdstuk zullen wij de context van het afstudeeronderzoek verduidelijken. Hierin beschrijven wij de aanleiding (paragraaf 1.1), probleemstelling (paragraaf 1.2) doelstelling (paragraaf 1.3) en scope (paragraaf 1.4). Daarnaast bevat dit hoofdstuk een leeswijzer voor de rest van deze scriptie.

1.1 Aanleiding De recente financiële crisis en de daaraan voorafgaande boekhoudschandalen hebben ertoe geleid dat er meer aandacht is voor een aantoonbare beheersing van de processen binnen de organisaties. Bij veel bedrijven zijn deze bedrijfsprocessen in toenemende mate complex van aard, met onder andere IT diensten die zijn uitbesteed aan een of meerdere (externe) serviceorganisaties. Hierbij zijn bedrijven voor de aantoonbaarheid van de procesbeheersing afhankelijk van de eisen die gesteld zijn aan de serviceorganisatie. Deze aantoonbaarheid kan worden bereikt door als gebruikersorganisatie auditors de opdracht te geven om specifieke beheersmaatregelen bij de externe serviceorganisatie te laten toetsen. Dit kan bij een veelvoud aan klanten van de serviceorganisatie leiden tot een stormloop aan auditors. Een alternatief hiervoor is om als serviceorganisatie een zogenaamde ‘Third Party Audit’ (TPA) uit te laten voeren. Hierbij levert een onafhankelijke auditor door middel van een verklaring uitsluitsel over de opzet, bestaan, en in sommige (specifieke) gevallen ook de werking van de beheersmaatregelen die bij de serviceorganisatie in operatie zijn en als relevant voor de procesbeheersing worden geacht. Met een TPA rapport is het de bedoeling van de serviceorganisatie om aan de eigen klanten (dat wil zeggen de gebruikersorganisaties) aan te tonen dat de de beheersorganisatie conform bepaalde afspraken ingericht is (in geval van een type I rapport), en dat de maatregelen in de beheersomgeving over een bepaalde periode van tijd conform de gemaakte afspraken gewerkt hebben (in geval van een type II rapport). De werkelijkheid laat echter ook een beeld zien waarin TPA rapporten buiten de oorspronkelijke context gebruikt worden en bijvoorbeeld als marketinginstrument richting nieuwe klanten gebruikt worden (Heiser en Caldwell, 2010). Een tot nu veel voorkomende manier van een TPA is om dit uit te voeren aan de hand van de ‘Statement on Auditing Standards No. 70’ (SAS 70) audit. Hierin wordt vastgesteld in welke mate de serviceorganisatie de, op basis van een risicoanalyse opgestelde, beheersmaatregelen naleeft. Een dergelijke audit wordt veelal door een onafhankelijke externe auditorganisatie uitgevoerd.


1

Inleiding

1.2 Probleemstelling Een inherent feit van een TPA rapport is dat het altijd 'after the fact' is en de serviceorganisatie in de basis zelf een risicoanalyse uitvoert. Op basis hiervan worden de beheersmaatregelen bepaald, die vervolgens door de externe auditor getoetst worden. Het is dan aan de gebruikersorganisatie om deze rapporten te interpreteren en te bepalen of zij de beheersing voldoende vindt om haar assurancebehoefte af te dekken. Dit is ook het geval met de nieuwe standaarden die op termijn SAS 70 gaan vervangen, te weten de internationale ‘International Standard on Assurance Engagements 3402’ (ISAE 3402) en de Amerikaanse standaard ‘Statement on Standards for Attestation Engagements 16' (SSAE 16). De verklaringen zijn van toepassing op de situatie in het verleden, maar daarbij wordt geen assurance gegeven voor de correcte werking in de toekomst; terwijl dit juist voor bedrijven relevant is als stuurinformatie. De vraag werpt zich op of dergelijke rapportages daadwerkelijk zijn wat de gebruikersorganisaties gaat helpen bij het bieden van een adequate dienstverlening aan hun klanten in de toekomst, of dat men daar andere hulpmiddelen bij kan gebruiken. Daarnaast is af te vragen of de TPA rapportages conform de oorspronkelijke bedoeling en voorgeschreven gebruik worden ingezet door de serviceorganisatie. Wat is de invloed van de rapportagestandaarden op de verhouding gebruikersorganisatie - serviceorganisatie - externe auditor? En welke rol speelt de interne auditor in dit proces? Hoe kunnen deze verhoudingen zich in de toekomst ontwikkelen op het gebied van samenwerking tussen interne en externe auditors? Om antwoord te geven op deze vragen is de volgende hoofdvraag opgesteld: 1.2.1 Hoofdvraag De hoofdvraag van deze scriptie luidt: Wat zijn de sociale en de vaktechnische aspecten aan Third Party Audits die bijdragen aan het behalen van de doelstellingen van de gebruikersorganisaties en serviceorganisaties en hoe kunnen deze zich in de toekomst ontwikkelen? Deze hoofdvraag hebben wij opgesplitst in de volgende deelvragen: 1.2.2 Deelvragen 1. Wat is een Third Party Audit en welke standaarden/soorten Third Party Audits zijn er onder andere beschikbaar? (Theorie) 2. Wat zijn de overeenkomsten en verschillen tussen deze standaarden? (Theorie) 3. Hoe worden standaarden door gebruikersorganisaties en serviceorganisaties ervaren? (Met name praktijk) 4. Worden deze standaarden juist toegepast in het kader van de gemaakte afspraken tussen gebruikersorganisatie en serviceorganisatie? (Theorie en praktijk) 5. Situatie nu vs. trends en verwachtingen voor de toekomst (mbt Third Party Audit) (Theorie en praktijk) A. Op sociaal gebied; B. Op vaktechnisch gebied; 6. Welke alternatieven bestaan er en hoe toepasbaar zijn deze? (Theorie en praktijk) Dennis Buitendijk en Maarten van Gerner

2

Inleiding

1.2.3 Onderzoeksopzet Om tot beantwoording van bovenstaande vragen te komen, is ons onderzoek tweedelig opgesteld: (1) een literatuurstudie en (2) een praktijkonderzoek. De literatuurstudie had als doel de kennis over het gekozen onderwerp te vergroten en te komen tot een theoretisch kader waarbinnen ons praktisch onderzoek is uitgevoerd. Het praktijkonderzoek had als doel het toetsen van de resultaten van het literatuuronderzoek door het bevestigen dan wel ontkrachten van de daarin getrokken conclusies. Dit heeft geresulteerd in een concluderend hoofdstuk waarin wij antwoord geven op de deelvragen en hoofdvraag. Daarnaast is op basis van de vastgestelde zaken een aanbeveling gedaan hoe binnen het auditvakgebied invulling kan worden gegeven aan het fenomeen TPA. Deze onderzoeksopzet is schematisch weergegeven in figuur 1. Theoretisch kader Literatuurstudie Third Party Audit

Literatuurstudie SAS 70

Literatuurstudie ISAE 3402

Overeenkomsten- / Verschillenanalyse

Conclusie en aanbeveling

Praktijkonderzoek

Onderzoeksopzet

Resultaat

Discussies met experts

Figuur 1 - Onderzoeksopzet


3

Inleiding

1.3 Doelstelling Middels deze scriptie is inzicht verkregen in de wijze waarop TPA’s op dit moment uitgevoerd en gebruikt worden. Met dit inzicht is het doel om aanbevelingen te doen om op een adequatere wijze invulling te geven aan de assurancebehoefte van bedrijven die op dit moment vooral door TPA’s worden ingevuld. Daarnaast was de doelstelling dat er binnen het vakgebied een brede discussie ontstaat over de wijze waarop invulling kan worden gegeven aan nieuwe ontwikkelingen op het gebied van TPA en de verhoudingen tussen de betrokken partijen.

1.4 Scope Voor deze scriptie is gekozen om het brede begrip assurance te onderzoeken. Hierbij is de scope niet beperkt gebleven tot bijvoorbeeld enkel jaarrekening- of compliance gerelateerde aspecten. Wel zijn twee soorten TPA standaarden uitgelicht, waarbij de volgende aandachtsgebieden in het bijzonder zijn onderzocht: • Algemene kenmerken van de standaard; • De componenten waaruit de rapportages van deze standaard zijn opgebouwd; • De rol van internal audit bij het opstellen van deze rapportages. • Perceptie, gebruik en toepassing van een third party audit • Toekomstvisie over third party audits

1.5 Leeswijzer In het volgende hoofdstuk (hoofdstuk 2) zullen wij het theoretisch kader schetsen, waarin wij tevens onze begripsafbakening zullen doen. In hoofdstuk 3 zullen wij ons praktijkonderzoek uiteenzetten. Onze conclusies van beide onderzoeken zullen wij bundelen in hoofdstuk 4. Tot slot volgt er een slotwoord.


4

Theoretisch kader

2. Theoretisch kader In dit hoofdstuk is het verschijnsel TPA uiteengezet. Daarnaast zijn twee soorten TPA standaarden uitgelicht. Tot slot is een overeenkomsten- en verschillenanalyse gemaakt, welke de inleiding vormt voor ons praktijkonderzoek.

2.1 Wat is “Third Party Audit”? Om het begrip TPA toe te lichten, is het noodzakelijk om eerst de achtergrond rondom uitbesteding van diensten toe te lichten. Op deze manier wordt het ontstaan van TPA’s duidelijk en worden de context en betrokkenen daarvan inzichtelijk. IT Projecten

Procesverbeteringen

Bedrijfsvoering

Beheersingsaspecten

Wet- en regelgeving Figuur 2 - Invloeden bedrijfsvoering (Shahim, 2009)

Er zijn interne en externe factoren te onderscheiden die binnen een bedrijfsvoering de noodzaak van een IT beheersomgeving vereisen. Shahim (2009) onderscheidt onder andere weten regelgeving als voorbeeld van een externe factor en strategic alignment als een interne factor die hieraan ten grondslag kunnen liggen (zie ook figuur 2). Ook IT projecten, met de mogelijkheid tot ontsporen en de invloed die deze kunnen hebben op de bedrijfsvoering, maken dat het voor een bedrijf nodig en soms zelfs verplicht is om aantoonbaar te maken dat IT op een juiste manier bijdraagt aan de organisatiedoelen, om zodoende van toegevoegde waarde te zijn voor de bedrijfsvoering. Het is daarvoor nodig om aantoonbaar te maken dat de IT faciliteiten op een gecontroleerde wijze worden ontworpen, ontwikkeld, geïmplementeerd, gebruikt, geregistreerd en gedocumenteerd, waarbij gebruik wordt gemaakt van de juiste middelen. Hiervoor is voor een bedrijf het inrichten van een IT beheersomgeving van Dennis Buitendijk en Maarten van Gerner

5

Theoretisch kader

belang, om te kunnen voldoen aan de doelen en eisen die de organisatie stelt en om de mogelijke risico’s zoveel mogelijk te mitigeren. Paans (2004) geeft aan dat bedrijven historisch gezien geneigd zijn geweest om de volledige productieketen in eigen beheer te hebben. Het verminderen van afhankelijkheid van anderen is hierbij een drijvende factor gebleken: afhankelijkheid is een risico, men kan anderen niet aansturen zoals men de eigen medewerkers zou aansturen. Volgens Paans (2004) vormden computers hierop geen uitzondering. Een eigen infrastructuur, eigen apparatuur, eigen applicaties en eigen medewerkers voor IT deden hun intrede rond de jaren vijftig. In veel gevallen werd standaard apparatuur en programmatuur aangepast naar de eisen die gesteld werden door specifieke bedrijfsprocessen. Nadat deze trend zich tientallen jaren voortzette, ontstonden er twijfels over de toegevoegde waarde die IT had voor het behalen van de bedrijfsdoelstellingen. Hoewel het duidelijk was welke kosten er gemaakt werden voor IT, waren de baten hiervan niet altijd even inzichtelijk. Een ander groot probleem van de ontstane complexe IT infrastructuren was het niet kunnen volgen van nieuwe ontwikkelingen. De pluriformiteit van de omgevingen heeft geleid tot een situatie waarin het aangebrachte maatwerk voor elke nieuwe versie van standaardcomponenten of updates van programma’s aangepast diende te worden, hetgeen leidde tot steeds hogere kosten. Rond de jaren negentig kwam in toenemende mate het besef dat de eisen aan IT nauwelijks uniek waren per bedrijf, maar dat standaard oplossingen ook zouden voldoen, en dat het niet nodig was om IT zelf te bezitten en de bijbehorende specialisten in dienst te hebben. Meer gebruik maken van standaard oplossingen en best practices maakte het onder andere mogelijk om eenvoudigere IT systemen en -organisaties op te zetten en voordeel te halen uit schaalvergroting. Volgens Paans (2004) gebeurde dit op twee manieren: 1. Migreren naar standaard apparatuur, besturingssystemen en informatiesystemen: Door het werken met standaard producten verminderde de inspanningen die nodig waren voor het aanpassen van nieuwe versies aan specifieke wensen. 2. Uitbesteden van IT: (een deel van) de IT wat in eigen beheer is, overdragen aan een gespecialiseerde serviceorganisatie. Deze uitbesteding kan lagere kosten bieden door schaalgrootte, aangezien deze vaak voor meerdere klanten de IT bezitten en beheren. Daarnaast kan er gebruik gemaakt worden van kennis die is opgedaan bij andere klanten van deze serviceorganisatie. Met het uitbesteden van diensten van een gebruikersorganisatie aan een serviceprovider ontstaat er in veel gevallen een afhankelijkheid, waarbij de gebruikersorganisatie als uitbestedende partij afhankelijk is van de kwaliteit van de diensten en producten van de serviceorganisatie. Deze afhankelijkheid is in figuur 3 gevisualiseerd.


6

Theoretisch kader

Gebruikersorganisatie

Gebruikersorganisatie: Draagt informatiesystemen en (vitale) informatie over aan serviceorganisatie.

Levert IT diensten

Serviceorganisatie

Hoe kan de gebruikersorganisatie erop vertrouwen dat de serviceorganisatie hier goed mee om gaat? Serviceorganisatie: Heeft beschikking over deze businesstransacties en informatie en kan hier van alles mee doen.

Figuur 3 - Relation between business partners (Paans, 2009)

Wanneer de serviceorganisatie niet in staat is om de gewenste kwaliteit te leveren kan dat een continuïteitsrisico vormen voor de gebruikersorganisatie, vooral wanneer de uitvoering van de dagelijkse operationele activiteiten van de uitbestedende partij afhankelijk zijn van de uitbestede diensten. Wanneer de serviceorganisatie de gegevensverwerking verzorgt, kan de gebruikersorganisatie in verlegenheid worden gebracht wanneer de gegevens na een calamiteit niet meer beschikbaar zijn, of wanneer de gegevens (on)opzettelijk gemanipuleerd worden. Het is voor de gebruikersorganisatie daarom ook vaak van belang om de kans op het optreden van verstoringen in de dienstverlening zo laag mogelijk te houden. Vaak beperkt zich dit niet tot de kwaliteit van het geleverde product of dienst, maar is dit breder op te vatten als de interne beheersmaatregelen bij de serviceorganisatie. Hier gaat het om maatregelen om afwijkingen te voorkomen, tijdig te signaleren en te herstellen. Kortom: niet alleen het product of de dienst, maar ook het interne beheersingssysteem wordt onderwerp van de kwaliteitseisen (Van Gils, 2004). In de praktijk zullen deze aspecten worden meegewogen in de keuze voor een externe serviceorganisatie. Uiteindelijk zullen deze eisen worden vastgelegd in een contract, en in veel gevallen aangevuld door bijvoorbeeld een Service Level Agreement (SLA) en eventueel daarop aansluitend een Dossier Afspraken en Procedures (DAP) (van Haagen en Meijer, 2007). In de SLA zijn afspraken vastgelegd ten aanzien van aspecten zoals beschikbaarheid, vertrouwelijkheid en integriteit, hoe om wordt gegaan met incidenten en hoe wijzingen worden doorgevoerd en gecommuniceerd. Het doel hierbij is om de eigen betrokkenheid bij beheer en de kosten van IT te minimaliseren, om zich meer te kunnen richten op de eigen bedrijfsprocessen (Paans, 2004). Echter, het vertrouwen zoals vooraf gegund en de afspraken zoals vastgelegd in de SLA zijn geen garantie voor de uitvoering en werking in de praktijk. De gebruikersorganisatie heeft daarnaast veelal te maken met weten regelgeving die verantwoording eist. Zo geldt er voor beursgenoteerde organisaties in Nederland de Nederlandse Corporate Governance Code, (ook wel bekend als de Code Tabaksblat) die bijvoorbeeld stelt:


7

Theoretisch kader

“

"In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het verslagjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken."

”

Bron: Commissie Corporate Governance, Artikel II.1.4, De Nederlandse corporate governance code, 2003

Er is in de Code Tabaksblat geen verwijzing opgenomen naar de verantwoordelijkheid bij uitbesteding, maar het lijkt onwaarschijnlijk dat het management zich bij problemen kan verschuilen achter tekortkomingen bij de serviceorganisatie indien geen aanvullende eisen en verantwoording zijn geëist (Van Gils, 2004). Een aantal bedrijven in Nederland heeft te maken met de Amerikaanse Sarbanes Oxley (SOx) wetgeving. Deze is onder andere van toepassing op bedrijven die aan de Amerikaanse beurs genoteerd zijn, maar geldt ook voor dochterbedrijven ongeacht de geografische locatie. Volgens SOx dienen middels een mededeling de Chief Executive Officer (CEO) en Chief Financial Officer (CFO) te verklaren dat zij de (financiële) bedrijfsrisico’s hebben geanalyseerd en dat de organisatie voldoende beheersmaatregelen heeft getroffen. Van Gils (2004) omschrijft dat diensten die zijn uitbesteed zijn op te vatten als onderdeel van het informatiesysteem van de uitbestedende partij (figuur 4). De gebruikersorganisatie dient dan aan de beheersmaatregelen bij de serviceorganisatie dezelfde eisen te stellen als dat ze zou stellen wanneer de informatiesystemen in eigen beheer zouden zijn. Onder deze eisen zijn ook het verkrijgen van zekerheid over opzet, bestaan en werking van de relevante beheersmaatregelen bij de serviceorganisatie op te vatten. De getrouwheid van de beweringen van het management over de effectiviteit van de interne beheersingsmaatregelen is in SOx 404 vastgelegd als een taak (attestfunctie) van de auditor (Nieuw Amerongen en de Jager, 2005).


8

Theoretisch kader

Oude situatie: Verantwoordelijkheid beheersmaatregelen duidelijk gescheiden Uitbestedende organisatie

Serviceorganisatie

Nieuwe situatie: gedeeld Management van uitbestedende organisatie dient dirigerend en controlerend op te treden ten aanzien van de beheersmaatregelen bij de service provider

Figuur 4: Verandering van managementverantwoordelijkheid van de uitbestedende partij voor de beheersingsprocessen bij de service provider. Bron: Van Gils (in Shahim, 2004)

De externe auditor die in dit kader zijn controle komt uitvoeren wil ook weten in hoeverre er bij controlewerkzaamheden gesteund kan worden op de gegevens uit de (uitbestede) geautomatiseerde gegevensverwerking. Zoals beschreven in de inleiding, kan dit voor de service provider betekenen dat zijn klanten ieder een eigen auditor naar de externe serviceorganisatie sturen. Deze auditor toetst daar specifieke beheersmaatregelen die voor de klant relevant zijn. Dit kan bij een veelvoud aan klanten van de serviceorganisatie leiden tot een stormloop aan auditors. Een alternatief hiervoor is om als serviceorganisatie een zogenaamde ‘Third Party Audit' uit te laten voeren. Hierbij levert een onafhankelijke auditor door middel van een verklaring uitsluitsel over de opzet, bestaan, en in sommige (specifieke) gevallen ook de werking van de beheersmaatregelen die bij de serviceorganisatie in operatie zijn en als belangrijk worden geacht. De bij een TPA betrokken partijen en hun onderlinge relatie zijn in volgend schema (figuur 5) gevisualiseerd.


9

Theoretisch kader

Gebruikersorganisatie

Audit

Externe auditor (b.v ten behoeve van financiële verantwoording)

Levert IT diensten

Serviceorganisatie

Audit

Service auditor

TPA Figuur 5 - Typical parties to a third party audit (Paans, 2009)

De volgende rollen zijn te onderscheiden binnen een TPA: • Gebruikersorganisatie: is een entiteit welke IT diensten afneemt bij een serviceorganisatie. • Gebruikersauditor: Voert de audit ten behoeve van de jaarrekeningcontrole uit bij de gebruikersorganisatie. Steunt daarbij op het rapport zoals opgesteld door de auditor van de serviceorganisatie. • Serviceorganisatie: een entiteit die IT diensten levert aan de gebruikersorganisatie. Deze diensten maken deel uit van de informatiesystemen van de gebruikersorganisatie. • Service auditor: Rapporteert over de controlemaatregelen van de serviceorganisatie die mogelijk relevant zijn voor de verantwoording van de interne controle van de gebruikersorganisatie. Met een TPA rapport is het de bedoeling van de serviceorganisatie om aan de eigen klanten aan te tonen dat zij op een bepaald moment in tijd, óf over een bepaalde periode van tijd, conform de gemaakte afspraken gehandeld hebben. Deze afspraken zijn veelal beheersmaatregelen zoals opgesteld door de serviceorganisatie op basis van een risicoinschatting en ervaringen uit het verleden. De gebruikersorganisatie heeft doorgaans weinig tot geen invloed op de beheersmaatregelen in de TPA. Op basis van de opgestelde beheersmaatregelen kunnen normen opgesteld worden. De auditor van de serviceorganisatie zal deze beheersmaatregelen vervolgens toetsen en zijn bevindingen documenteren in de vorm van een TPA rapport. Het rapporteren van een TPA kent verschillende vormen van uitvoering, zoals de veel gebruikte Statement on Auditing Standards No. 70 (SAS 70) of de internationale opvolger: de ISAE 3402 standaard. Gezien het brede gebruik van SAS 70 binnen de praktijk van de IT auditor en de aanstaande vervanging ervan door ISAE 3402 en de verschillen die tussen beide standaarden bestaan zullen wij ons in de uitvoering van het onderzoek richten op SAS 70 en ISAE 3402. Bij de analyse van deze twee standaarden zal de nadruk liggen op de achtergrond van de standaard, de opbouw van de rapportage en de rol die een internal auditor kan vervullen in een TPA. In uitbestedingsrelaties wordt tevens met Service Level Agreements (SLA’s) gewerkt. In de SLA’s zijn afspraken vastgelegd over het overeengekomen niveau van dienstverlening, kwaliteitseisen en prestatie-indicatoren. Afspraken in een SLA zijn doorgaans geen onderdeel van de TPA’s, maar worden gerapporteerd doormiddels


10

Theoretisch kader

van Service Level Reports (SLR’s). De frequentie van SLR's ligt hoger dan een TPA. De SLR’s kunnen door de gebruikersorganisatie gebruikt worden om inzicht te krijgen in welke mate er door de serviceorganisatie wordt voldaan aan de gemaakte afspraken.

2.2 SAS 70 Introductie De van oorsprong Amerikaanse standaard ‘Statement on Auditing Standards no. 70: Service Organizations’ (SAS 70)1 is een in 1992 door de Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA) uitgegeven audit standaard. Door middel van een SAS 70 rapport kunnen dienstverlenende organisaties inzicht geven in de manier waarop zij hun interne processen beheersen. Wat de SAS 70 echter niet voorschrijft is een set van voorgedefinieerde normen waaraan door de serviceorganisatie voldaan moet worden (Van der Blij en Chen, 2008). De SAS 70 standaard is na de introductie van de Sarbanes-Oxley (SOx) wet in 2002 in bekendheid en belang toegenomen, doordat in sectie 404 van deze wet een “SAS 70 type II” wordt voorgeschreven als methode voor een TPA om zekerheid te verlenen over de interne controle bij een service organisatie (Van der Blij en Chen, 2008). Dit toegenomen gebruik van SAS 70 heeft ook buiten SOx plichtige organisaties en buiten de Verenigde Staten bijgedragen aan een bewustwordingsproces omtrent het belang van beheersing van uitbestede processen. Het management van de gebruikersorganisatie is tenslotte verantwoordelijk voor de processen binnen de organisatie, dus ook de processen die uitbesteed zijn. Om inzicht te kunnen verkrijgen in de beheersing van deze processen wordt er door de serviceorganisatie, in overleg met een derde partij zoals de externe auditor, een reeks van beheersdoelstellingen en bijbehorende maatregelen gedefinieerd. Het is relevant om in dit kader rekening te houden met het eerder genoemde feit dat er bij SAS 70 door de standaard geen beheersmaatregelen voorgeschreven worden. Hierdoor zijn SAS 70 rapportages niet zonder meer met elkaar te vergelijken en is het van belang dat de ontvanger van het rapport dit in ogenschouw neemt. Gartner (Caldwell, 2010) omschrijft dit met de volgende metafoor:

“

“A SAS 70 assessment is like a camera that can be fitted with different lenses and filters that affect what is portrayed. Buyers should beware that a pretty picture may just mean that a lens was chosen that didn't focus on every risk-relevant item. Properly applied, it is a useful form of assessment with a material impact on Sarbanes-Oxley compliance, as well as on the fair and accurate presentation of financial information for any entity.”

Bron: Caldwell (2010)

1SAS

”

70 bestaat officieel al geruime tijd niet meer, deze is van naam veranderd naar AU 324. In de praktijk wordt echter toch

voornamelijk de naam SAS 70 gebruikt. Dennis Buitendijk en Maarten van Gerner

11

Theoretisch kader

De auditor toetst de opgestelde maatregelen in geval van een type I rapport op opzet en bestaan op een bepaald moment in tijd. In geval van een type II rapport toetst de auditor op opzet, bestaan en werking over een bepaalde periode van tijd. Afwijkingen worden vervolgens door de auditor in de SAS 70 rapportage opgenomen. Het gebruik van een SAS 70 rapport is tweeledig. (1) Doormiddel van het SAS 70 rapport kan de serviceorganisatie zelf een beeld vormen in hoeverre de beheersdoelstellingen behaald worden, en (2) door middel van het SAS 70 rapport kan de serviceorganisatie aan zijn klanten inzicht geven in de manier waarop zij hun interne processen beheersen. Het management van de klant kan vervolgens door kennisname van het SAS 70-rapport zelf vaststellen of de beheersing van de uitbestede processen op een niveau ligt dat voldoet aan de normen (Van Beek en Francken, 2010). In de Verenigde Staten wordt het SAS 70 rapport getekend door een certified public accountant (CPA), of een accountantskantoor dat ingeschreven is bij de AICPA. Er heeft echter een vertaling naar lokale IFAC lidorganisaties plaatsgevonden waardoor, in het geval van Nederland, een Register Accountant een SAS 70 af kan tekenen (Van der Blij en Chen, 2008). Anno 2011 zal in de Verenigde Staten SAS 70 vervangen worden door de Statement on Standards for Attestation Engagements (SSAE) No. 16. Doelstelling van deze nieuwe standaard is gelijk aan de SAS 70 doelstelling, echter: 1. Het management van de serviceorganisatie is verplicht om de externe auditor een geschreven verklaring te geven over de beheersmaatregelen. De zgn. management assertion. 2. De externe auditor dient een eigen onderzoek naar mogelijk bewust door de serviceorganisatie achtergehouden risico's uit te voeren. Opbouw SAS 70-rapport De AICPA heeft voor de SAS 70 standaard twee soorten rapportages omschreven: type I en type II. Het type I rapport beschrijft de beheersmaatregelen op een specifiek moment, waarbij dus enkel een uitspraak wordt gedaan over opzet en bestaan van deze beheersmaatregelen. Met het type II rapport wordt ook een uitspraak gedaan over de werking van de beheersmaatregelen over een bepaalde periode van tijd (minimaal 6 maanden). Hierdoor wordt een redelijke mate van zekerheid gegeven dat de beheersmaatregelen hebben gewerkt in de aangegeven periode. Een SAS 70 rapport is opgebouwd uit een assurancerapport van een externe auditor, een algemene beschrijving van de organisatie (dienstverlening, structuur, relaties met de omgeving), een beschrijving van de COSO- categorieën van interne beheersing op organisatieniveau (control environment, risk assessment, monitoring en information & communication) en een sectie met gedetailleerde beschrijvingen van de beheersmaatregelen, gekoppeld aan interne controledoelstellingen per proces of subproces (Verweij en Keijl, 2008). Deze onderdelen worden door het AICPA in 4 secties omschreven, waarbij voor zowel de type I en type II rapportages een aantal secties al dan niet verplicht zijn. De inhoud van beide typen rapporten worden door de AICPA als volgt beschreven:


12

Theoretisch kader

Sectie

Omschrijving

Type I

Type II

1. Oordeel onafhankelijke auditor.

Het oordeel van de onafhankelijke auditor over de opzet, bestaan en/of werking van de beheersmaatregelen.

Verplicht

Verplicht

2. Omschrijving van de controlemaatregelen en procedures.

Geeft een beschrijving weer van de controlemaatregelen en procedures bij de serviceorganisatie waarvoor SAS 70 guidance het gebruik van COSO adviseert.

Verplicht

Verplicht

3. Resultaten van de uitgevoerde testwerkzaamheden.

Presenteert de resultaten van de uitgevoerde testwerkzaamheden door de onafhankelijke auditor.

Optioneel

Verplicht

4. Overige informatie.

In deze sectie wordt de overige informatie opgenomen zoals bijvoorbeeld een managementresponse van de serviceorganisatie.

Optioneel

Optioneel

Tabel 1 - SAS 70 Report components (Shahim, 2009)

Gebruik werkzaamheden van de afdeling internal audit bij de serviceorganisatie In een aantal gevallen zal een serviceorganisatie ook beschikken over een interne audit afdeling. Deze onafhankelijke afdeling beoordeelt in welke mate de organisatie erin slaagt om het bedrijfsproces en de daarmee samenhangende risico’s te beheersen (IIA, n.d.). Deze onderzoeken worden veelal op verzoek van de raad van bestuur uitgevoerd. Een dergelijke afdeling kan uiteraard ook prima de beheersmaatregelen van de serviceorganisatie toetsen. De resultaten van dit onderzoek kunnen dan door de externe auditor gebruikt worden om tot een oordeel te komen. Echter, in de SAS 70 staat niet omschreven in welke mate er door de externe auditor gebruik gemaakt mag worden van de werkzaamheden van de internal audit afdeling, echter het is mogelijk om op de volgende wijzen gebruik te maken van de internal audit afdeling (Ewals, 2010): 1. Met de zogenaamde direct assistance, waarbij de medewerker van de afdeling Internal Audit wordt ingezet als onderdeel van het auditteam. 2. Gebruik maken van de werkzaamheden van de afdeling internal audit, waardoor de werkzaamheden beperkt kunnen blijven tot het uitvoeren van een review op deze werkzaamheden. Bij het gebruik van de internal audit afdeling dient wel rekening gehouden te worden met onder andere de mate van expertise van de internal auditor en de onafhankelijkheid van de internal auditor zoals vastgelegd in de Code of Ethics, zoals opgesteld door het NIVRA. De SAS 70 standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruik wordt gemaakt van de werkzaamheden van de interne auditor.


13

Theoretisch kader

2.3 ISAE 3402 Introductie Ondanks het feit dat SAS 70 een van origine Amerikaanse standaard is, heeft deze standaard sinds de introductie wereldwijd een flinke groei doorgemaakt en in veel sectoren bekendheid verworven als de meest gebruikte standaard voor het verkrijgen van redelijke mate van zekerheid over de beheersing van uitbestede processen. In 2011 zal SAS 70 een internationale opvolger krijgen: ISAE 3402. Gezien de Amerikaanse oorsprong van de SAS 70 standaard en het bredere internationale gebruik ervan is er behoefte ontstaan naar een internationale standaard. De International Standard on Assurance Engagements (ISAE) 3402 is het resultaat van de wens van het International Auditing and Assurance Standards Board (IAASB) om tot deze wereldwijde standaard te komen. De internationale standaard is in 2009 goedgekeurd en zal per 15 juni 2011 als dé standaard voor rapportage over processen die van belang zijn voor de financiële verantwoording gelden. Het gebruik ervan is verplicht voor perioden van onderzoek waarin de datum 15 juni 2011 is inbegrepen. (Ewals, 2010) De SAS 70 standaard was oorspronkelijk bedoeld voor de verantwoording van financiële processen en dus niet de continuïteit van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen uitvoerder en opdrachtgever en de (vertrouwelijke) omgang met data. Dit was echter ook wenselijk, getuige het veranderende gebruik van SAS 70 waarbij ook niet-financiële processen worden verantwoord. Daarom is bij ISAE 3402 de mogelijkheid ontstaan om de scope te verbreden tot verantwoording op beheersmaatregelen af te leggen die niet direct van invloed zijn óp de financiële verantwoording, maar wel in relatie staan mét de financiële verantwoording. Hierbij kan bijvoorbeeld gedacht worden aan specifieke continuïteitsmaatregelen.

“

"Interne beheersing is een proces dat is opgezet om een redelijke mate van zekerheid te verschaffen betreffende het bereiken van de doelstellingen die verband houden met de betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiency van activiteiten en het naleven van toepasselijke weten regelgeving. Interne beheersingsmaatregelen met betrekking tot doelstellingen met betrekking tot de activiteiten en het naleven van weten regelgeving van een serviceorganisatie kunnen relevant zijn voor de interne beheersing van een gebruikende entiteit in relatie tot de financiële verslaggeving. Dergelijke interne beheersingsmaatregelen maken deel uit van de beweringen betreffende de presentatie en toelichting met betrekking tot saldi, transactiestromen of toelichtingen, of zij maken deel uit van onderbouwende informatie die de gebruikende accountant evalueert of hier gebruik van maakt bij het toepassen van de controlewerkzaamheden. [...] De bepaling of de interne beheersingsmaatregelen bij een serviceorganisatie die verband houden met activiteiten en naleving waarschijnlijk relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming, waarbij de interne beheersingsdoelstellingen die door de serviceorganisatie zijn opgezet en de geschiktheid van de criteria in acht moeten worden genomen."

Bron: NOREA, Artikel A1, NOREA Richtlijn 3402, 2010


” 14

Theoretisch kader

Een ISAE 3402 rapport dient volgens de IFAC (2009) omschreven standaard door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de "Code of Ethics for Professional Accountants" (ook wel als de IESBA Code aangeduid) welke is opgesteld door de International Ethics Standards Board for Accountants. In de IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een individu die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en RA), onderdeel is van een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. De Nederlandse vertaling van de ISAE 3402 standaard, opgesteld door de NOREA in samenwerking met de NIVRA, wordt gesproken over de beroepsbeoefenaar. Hierbij wordt door de NOREA specifiek verwezen naar de IT auditor, mits deze voldoet aan de Code of Ethics, wat inhoudt: • De IT-auditor is ingeschreven in het RE-register; • De IT-auditor is integer; • De IT-auditor is objectief; • De IT-auditor is deskundig en zorgvuldig; • De IT-auditor gaat vertrouwelijk met de informatie om; • De IT-auditor gedraagt zich professioneel. Hiermee wordt dus niet de koppeling met de externe auditfirma gelegd en kan de opdracht ook door een Internal Auditor getekend worden, mits er wordt voldaan aan bovenstaande code of ethics. Er dient dan wel rekening gehouden te worden met de perceptie van de ontvanger van een dergelijke rapportage.

“

"Deze Richtlijn behandelt de assurance-opdrachten die door een beroepsbeoefenaar1 worden uitgevoerd om voor gebruikende entiteiten en hun accountants een rapportage te verstrekken. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving. [...] 1De

IT-auditor, zoals gedefinieerd in het Reglement Gedragscode (Code of Ethics).”

Bron: NOREA, Artikel 1, NOREA Richtlijn 3402, 2010

”

De verspreidingskring van het ISAE 3402 rapport is beperkt en betreft enkel de gebruikersorganisaties die de diensten bij de serviceorganisatie afnemen en haar externe auditfirma.


15

Theoretisch kader

Opbouw ISAE 3402 rapport Een ISAE 3402 rapport bevat één onderdeel over de beoordeling van drie verschillende aspecten, te weten: Fairness of presentation, Suitability of Design, and Operating Effectiveness (Van Beek en Frankcen, 2010). • Fairness of Presentation: Hierbij controleert de auditor of de beschrijving ‘eerlijk’ (‘fair’) is. Geeft de beschrijving duidelijk en helder weer welke onderdelen wel/niet in de scope zijn opgenomen en/of door de gebruiker geïmplementeerd moeten worden? Bevat de beschrijving voldoende mate van detail en accurate informatie om een oordeel te kunnen geven over de beheersingsmaatregelen? Zijn de beheersingsmaatregelen in de beschrijving ook daadwerkelijk geïmplementeerd? • Suitability of Design: Hierbij controleert de auditor of de beheersingsmaatregel zodanig ontworpen is, dat de beheersdoelstelling met redelijke mate van zekerheid gehaald kan worden. Ook als een individuele beheersingsmaatregel niet afdoende is, kan de doelstelling nog steeds met een redelijke mate van zekerheid behaald worden door de effectiviteit van de andere beheersingsmaatregelen. • Operating Effectiveness: Hierbij controleert de auditor of de beheersingsmaatregel effectief werkt. Door diverse bewijsstukken of door het opnieuw uitvoeren van de beheersingsmaatregel, kan getest worden of de beheersingsmaatregel functioneert zoals beschreven. Daarnaast dient een managementbewering opgenomen te zijn in de rapportage. In dit onderdeel van het rapport wordt door het management van de serviceorganisatie beweerd dat zij 'in control' zijn. Dit impliceert dat de serviceorganisatie op voorhand zelf testwerkzaamheden moet uitvoeren, voorafgaand aan het testwerk van de externe auditor. Dit is echter niet noodzakelijk. Het management kan deze bewering ook tekenen en vervolgens het testwerk overdragen aan de externe auditor die dit vervolgens uitvoert (Van Beek en Frankcen, 2010). Het behoort wel tot de mogelijkheden om zélf het testwerk uit te voeren door de interne audit afdeling van de serviceorganisatie. De externe auditor kan deze documentatie vervolgens gebruiken in zijn werkzaamheden. Deze werkzaamheden kunnen op dat moment mogelijk worden beperkt tot het uitvoeren van een review. Type I en type II De ISAE 3402 standaard onderscheidt type I en type II rapporten2 . Er wordt bij type I een uitspraak gedaan over de opzet en het bestaan van de beheersmaatregelen op een gespecificeerde datum. Bij type II geldt dat er over de gespecificeerde verslagperiode van tijd de werking van de beheersmaatregelen wordt onderzocht (NOREA, 2010).

2In

eerdere exposure draft versies werd nog gesproken over type A en type B. In de uiteindelijke versie wordt gesproken over

type I en type II (NOREA, 2010). Dennis Buitendijk en Maarten van Gerner

16

Theoretisch kader

Gebruik werkzaamheden van de afdeling internal audit bij de serviceorganisatie Er wordt bij de ISAE 3402 standaard niet omschreven in welke mate er gemaakt mag worden gemaakt van de internal audit afdeling van de serviceorganisatie. Tevens wordt er niet gesproken over de direct assistance functie van de internal audit afdeling. De externe auditor heeft wel de mogelijkheid om de nature, timing and extent aan te passen op de door internal audit uitgevoerde werkzaamheden. Van deze werkzaamheden dient door de externe auditor van de serviceorganisatie wél specifieke melding gemaakt te worden (Ewals, 2010).

2.4 Overeenkomsten- / Verschillenanalyse standaarden Na het lezen van bovenstaande paragrafen wordt het wellicht al duidelijk: SAS 70 en ISAE 3402 lijken in grote lijnen hetzelfde. Voor zowel SAS 70 als ISAE 3402 geldt dat er geen normenkader wordt voorgeschreven en de beheersmaatregelen vooral door de serviceorganisatie opgesteld zullen zijn. Hier zal in het geval van ISAE 3402 een risicoanalyse aan ten grondslag liggen, maar dit is in geval van SAS 70 geen verplichting. Het is aan de klant van de serviceorganisatie om het SAS 70 danwel ISAE 3402 rapport te interpreteren en te bepalen of zij van mening zijn dat de beheersing voldoet aan de gemaakte afspraken met de serviceorganisatie. Af te vragen is dus of een klant daadwerkelijk baat heeft bij een TPA rapport als SAS 70 of ISAE 3402 wanneer de beheersdoelstellingen en maatregelen zijn opgesteld door de serviceorganisatie. Dekt dit de assurancebehoefte van de klant, of ontbreken de beheersmaatregelen die door de klant als belangrijk worden gezien? Daarnaast valt af te vragen of een SAS 70 of ISAE 3402 rapportage bijdraagt aan het behalen van de bedrijfsdoelstellingen, of dat deze audits enkel uit het oogpunt van weten regelgeving worden uitgevoerd. Beide rapporten zijn "after the fact", waarbij er in het geval van een type I een uitspraak wordt gedaan over de opzet en het bestaan van beheersmaatregelen op een bepaald moment in het verleden. In geval van een type II rapport wordt naast opzet en bestaan ook de werking in het verleden onderzocht. Op deze wijze biedt een dergelijk rapport geen informatie voor de toekomst. Daarbij werpt zich de vraag op in welke mate een opmerking dat er in het verleden geen excepties zijn geïdentificeerd bij, bijvoorbeeld de incidentmanagement procedure, bijdraagt bij het behalen van de doelstellingen van de gebruikersorganisatie. Toch zitten er wel degelijk wezenlijke verschillen in de beide standaarden. Een van de meest in het oog springende veranderingen zit in de reikwijdte van de standaarden. Waarbij de scope van de SAS 70 rapportage zich oorspronkelijk strikt beperkt tot de financiële verantwoording, is bij ISAE 3402 de mogelijkheid ontstaan om de scope te verbreden tot verantwoording op beheersmaatregelen af te leggen die niet direct van invloed zijn óp de financiële verantwoording, maar wel in relatie kunnen staan mét de financiële verantwoording. Hierbij kan bijvoorbeeld gedacht worden aan specifieke continuïteitsmaatregelen. Het management van de serviceorganisatie dient, in het geval van een ISAE 3402 rapportage, een formele bewering af te geven over de beheersing van zijn processen zoals opgenomen in de beheersmaatregelen uit de verklaring. Hier geeft de auditor vervolgens assurance over. Hierdoor ontstaat er direct een wezenlijk verschil met de SAS 70 standaard waarin de externe auditor een verklaring geeft over de opzet, bestaan en (in sommige


17

Theoretisch kader

gevallen) werking van de beheersmaatregelen. Een managementbewering is als optioneel aangemerkt (zie ook tabel 1). Beide standaarden geven de mogelijkheid om gebruik te maken van het werk van internal audit. Het verschil in beide standaarden is de verantwoording hiervan. Waar in de SAS 70 standaard geen uitsluitsel hoeft te worden gegeven over de werkzaamheden die door Internal Audit uitgevoerd zijn en waar de service auditor op steunt, vereist de ISAE 3402 een andere aanpak: Wanneer de service auditor werk van de Internal Auditors gebruikt om (delen) van zijn conclusie op te baseren moeten deze werkzaamheden en de door de service auditor uitgevoerde procedures ten aanzien van die werkzaamheden beschreven worden. In theorie is het met de ISAE 3402 standaard mogelijk om bij de serviceorganisatie de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review van de door de IA afdeling uitgevoerde werkzaamheden. Tot slot wordt er in de ISAE 3402 standaard een nuance aangebracht in wie de opdracht uit mag voeren en ondertekenen. Waarbij dit voor SAS 70 enkel gold voor een CPA (later heeft er een verplaatsing naar ook RA, etc. plaatsgevonden) van (met name) externe auditfirma's, is dit bij de ISAE 3402 standaard in het midden gelaten en wordt er verwezen naar de beroepsbeoefenaar waarbij gesteld wordt dat dit de IT Auditor is die voldoet aan de code of ethics zoals opgedragen door het NOREA. Hiermee wordt geïmpliceerd dat de internal audit afdeling, mits deze voldoet aan de code of ethics, ook een dergelijke opdracht uit mag voeren en ondertekenen. Onderstaande tabel geeft bovenstaande verschillen tussen SAS 70 en ISAE 3402 weer3: Onderwerp

SAS 70

ISAE 3402

Wie mag de audit rapportage aftekenen

Certified Public Accountant in de Amerikaanse situatie. RA of RE (in het geval van een geautomatiseerd systeem) in Nederland.

Volgens NOREA (2010): De beroepsbeoefenaar. De IT auditor, zoals gedefinieerd in het Reglement Gedragscode (Code of Ethics).

Scope

Gelimiteerd tot beheersmaatregelen in relatie tot de verwerking van financiële transacties. Later ook breder ingezet.

Op basis van professionele oordeelsvorming kan de scope van het ISAE 3402 uitgebreid worden, anders dan de financiële verantwoording.

Oordeel / bewering

De auditor geeft direct een oordeel over het onderzoeksobject. Managementbewering in de vorm van een Letter Of Representation is meestal ook het geval..

Management van de serviceorganisatie geeft zelf een bewering af. Oordeel van de auditor is hierop een aanvulling.

Vermelding gebruik werk Internal Audit afdeling

Er wordt geen verklaring gegeven omtrent de werkzaamheden die door de internal audit afdeling zijn uitgevoerd.

De mate waarin gebruik gemaakt wordt van het werk van de internal audit afdeling dient door de auditor verantwoord te worden.

Tabel 2 - Voornaamste verschillen SAS 70 en ISAE 3402

3

Er zijn meer verschillen tussen deze standaarden te benoemen (Gaskin, 2009). Wij beperken ons echter tot de voor deze

scriptie relevante verschillen. Dennis Buitendijk en Maarten van Gerner

18

Theoretisch kader

2.5 Conclusie theoretisch kader Op basis van het uitgevoerde literatuuronderzoek kunnen we concluderen dat er verschillen bestaan tussen beiden standaarden. In de eerste plaats, biedt de ISAE 3402 ten opzichte van de al bestaande SAS 70 de ruimte om assurance te bieden over een breder spectrum aan processen dan de SAS 70. In de tekst van ISAE 3402 wordt de reikwijdte van de standaard weliswaar beschreven als “Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving”, maar dit wordt later in de beschrijving voorzien van de nuance dat ook beheersmaatregelen die uiteindelijk betrekking hebben op de activiteiten tot het naleven van weten regelgeving hieronder kunnen vallen. De bepaling hiervan wordt overgelaten aan professionele oordeelsvorming. Gezien de ontwikkeling die in de praktijk onder SAS 70 al plaatsvond, namelijk het breder dan de oorspronkelijke bedoeling gebruiken van SAS 70 rapportages, en de breder te interpreteren mogelijkheden die ISAE 3402 biedt lijkt het voor de hand liggend om de ISAE 3402 standaard zodanig in te zetten dat deze bredere assurancebehoefte ingevuld wordt. Daarnaast heeft er een verschuiving van verantwoordelijkheden plaatsgevonden. De SAS 70 standaard is gericht op de auditor. De auditor stelt de verantwoording over de beheersmaatregelen op. Vervolgens geeft hij hier assurance over. In het geval van ISAE 3402 wordt de organisatie zelf verantwoordelijk voor het de verantwoording over de beheersmaatregelen, waarna de auditor hier assurance over geeft. In deze rolverdeling is de rol van de auditor meer toetsend. Tot slot biedt de Nederlandse vertaling van de ISAE 3402 standaard ook de ruimte om een andere partij, anders dan een externe auditfirma, in te schakelen ten behoeve van het uitvoeren van een ISAE 3402 audit. Dit is af te leiden uit de verwijzing naar de beroepsbeoefenaar; zijnde de IT auditor zoals gedefinieerd in het Reglement Gedragscode (Code of Ethics).


19

Dennis Buitendijk & Maarten van Gerner

20

Praktijkonderzoek

3. Praktijkonderzoek Dit hoofdstuk beschrijft het praktijkonderzoek van deze scriptie. Het doel van dit hoofdstuk is het toetsen van de resultaten van het literatuuronderzoek en de daarin getrokken conclusies. In de voorgaande hoofdstukken zijn de achtergrond, de opbouw en gebruik van twee TPA standaarden beschreven. Daarbij is door middel van een verschillenanalyse inzichtelijk gemaakt waar de voornaamste veranderingen zitten tussen de twee standaarden. Hierbij is ook ingegaan op de mogelijke veranderingen die dit in de praktijk zou kunnen teweegbrengen. Bij het literatuuronderzoek zijn al mogelijke antwoorden op deelvragen nummers 3 tot en met 6 ontstaan. Deze deelvragen zijn in het praktijkonderzoek nader uitgewerkt om tot een onderbouwing en conclusies te komen die aansluiten bij TPA in de praktijk. Daarnaast is het doel van het praktijkonderzoek het opdoen van nieuwe inzichten.

3.1 Onderzoeksopzet Het praktijkdeel van ons onderzoek is kwalitatief van aard; door middel van sessies met praktijkbeoefenaars die met het onderwerp TPA’s in aanraking komen. Dit geeft inzicht in hoe de verschillende betrokkenen vanuit hun rol omgaan met het fenomeen TPA’s, hoe deze ervaren en toegepast worden en wat de toekomstverwachting is. In het bijzonder hebben wij ons gericht op de rollen zoals deze zijn geïdentificeerd in het literatuuronderzoek (figuur 5), te weten (1) de gebruikersorganisatie, (2) de serviceorganisatie en (3) de auditor van de gebruikersorganisatie en de serviceorganisatie4. Naast deze rollen hebben wij gesproken met instanties en experts die een rol spelen op het gebied van TPA, zoals adviesorganisaties, internal auditdiensten en brancheorganisaties. Tijdens de sessies met deze betrokkenen hebben de volgende vragen als uitgangspunt voor de discussies gediend: 1. Hoe worden standaarden door gebruikersorganisaties en serviceorganisaties ervaren? Naast de perceptie van het fenomeen TPA valt hieronder ook het gebruik van TPA: Worden bijvoorbeeld de doelstellingen van de organisatie ondersteund door TPA? 2. Worden deze standaarden juist toegepast in het kader van de gemaakte afspraken tussen gebruikersorganisatie en serviceorganisatie? 3. Situatie nu vs. trends en verwachtingen voor de toekomst. 4. Welke alternatieven bestaan er en hoe toepasbaar zijn deze?

4Door

de dubbele rol die veel (met name big four) kantoren hebben, zijn zij in staat om beide auditrollen van het verhaal te

belichten. Dennis Buitendijk en Maarten van Gerner

21

Praktijkonderzoek

Na afloop van de sessies zijn de besproken zaken gedocumenteerd in gespreksverslagen en ter goedkeuring naar de betrokken personen gestuurd. De resultaten van de verschillende sessies zijn geanalyseerd en in de volgende paragraaf weergegeven. Het is van belang om op te merken dat het uitgevoerde onderzoek niet uitputtend van aard is; het voornaamste doel is om inzicht te krijgen in hoe Third Party Auditing in de praktijk wordt ervaren vanuit verschillende posities en wat men in de toekomst aan mogelijke ontwikkelingen ziet.

3.2 Resultaten Hieronder zijn de resultaten van het praktijkonderzoek uiteengezet. Hierbij zijn de resultaten van de sessies uitgewerkt om een weergave te geven van de visie van de verschillende betrokkenen. Een complicerende factor hierbij was dat er drie assen zijn waarlangs deze resultaten uitgewerkt konden worden: op basis van de rollen die we binnen het onderwerp TPA onderscheiden hebben, op basis van de uitgangspunten zoals uiteengezet in de onderzoeksopzet en tot slot kunnen wij de resultaten uitwerken per gehouden sessie. In de verwerking is de keuze gemaakt om de resultaten van de discussiesessies onder te verdelen in de onderdelen perceptie, gebruik en toepassing. Aan het eind van het hoofdstuk zijn wij gekomen tot een samenvatting per rol, te weten serviceorganisatie, gebruikersorganisatie en auditor. Perceptie van TPA Op de vraag hoe TPA’s en de bijbehorende standaarden worden ervaren, blijkt het uitvoeren van een TPA dusdanig uitgebreid en kostbaar geworden te zijn dat het zijn doel voorbij is geschoten. In de praktijk is dit is dit, bijvoorbeeld bij SAS 70, onder invloed van verouderde wetgeving, commerciële druk en onzekere gebruikersorganisaties uit zijn oorspronkelijke verband gehaald. Vanuit zowel gebruikersorganisaties als serviceorganisaties is de verwachting dat dit ook het geval zal zijn bij ISAE 3402, welke wordt beschreven als een goede ontwikkeling, maar in veel gevallen wordt aangeduid als ‘de nieuwe SAS 70’. Daarnaast wordt een TPA rapport als een typisch auditor-to-auditor aangelegenheid gezien die voor en door auditors onderling uitgevoerd en noodzakelijk geacht wordt en derhalve in de huidige vorm weinig tot geen toevoeging voor de business is. Tevens voelen de gebruikersorganisaties zich niet betrokken bij het opstellen van de beheersmaatregelen die hen wel aan gaan. TPA’s worden door zowel serviceorganisaties als gebruikersorganisaties als een verplichting gezien, waarbij de jaarrekeningcontrole aanleiding geeft om door middel van een TPA de externe auditor te voorzien van de informatie over de beheersing van de processen. Een gestandaardiseerd rapport als SAS 70 en ISAE 3402 wordt normaliter opgevraagd door de externe auditor wanneer de jaarrekeningcontrole bezig is. Door de generieke aard van de TPA rapportages die serviceorganisaties opleveren aan hun klanten, kunnen gebruikersorganisaties hieruit niet de assurance halen die zij zoeken; hierbij is genoemd dat het risico bestaat dat er door deze rapportages schijnzekerheid wordt geboden doordat de benodigde diepgang ontbreekt. Onderwerpen als continuïteit en capaciteitsmanagement worden genoemd als voorbeelden die voor de gebruikersorganisatie en de continuïteit van de dienstverlening wel relevant zijn maar nu ontbreken. Om dit te ondervangen is een gebruikersorganisatie een eigen audit uit gaan voeren naar deze aspecten.


22

Praktijkonderzoek

Voor de sturing van de organisatie beschrijven deze betrokkenen de waarde van de TPA als nihil; dit zien wij zowel bij serviceproviders als bij gebruikersorganisaties terug. De toegevoegde waarde van de standaarden, zowel SAS 70 als ISAE 3402 wordt hierbij als ‘laag’ getypeerd. Een veel gehoorde opmerking is dat gevonden wordt dat ISAE 3402 te laat geïntroduceerd is. In een aantal gevallen zijn internal audit afdelingen van gebruikersorganisaties begonnen met het vormen van eigen "standaarden" voor het verantwoorden van intern geïdentificeerde risico’s naar het hoger management. Deze standaarden zijn in enkele gevallen wel zijdelings gebaseerd zijn op SAS 70 en ISAE 3402, maar komen neer op een vrijere invulling hiervan. De daadwerkelijke TPA (in het geval van de door ons gesproken personen is dit een ISAE 3402) wordt uitgevoerd door een externe auditor, welke het rapport opstelt wat naar de klanten van de serviceorganisatie gaat. Een kritiekpunt wat vanuit een gebruikersorganisatie is geuit, is dat wanneer een externe auditor van zijn serviceorganisatie al langere tijd de TPA rapporten aftekent, er het risico bestaat dat er tunnelvisie ontstaat. Gebruik van TPA Bij enkele serviceorganisaties is het opvallend dat de TPA als onderdeel van de totale beheersorganisatie wordt opgevat. Hierbij is de beheersorganisatie opgezet in de volgende drie lagen: • Het management van de business, verantwoordelijk voor het opstellen van procesbeschrijvingen en beheersmaatregelen. In het geval van de ISAE 3402 rapportage wordt in deze fase ook een risicoanalyse uitgevoerd. • Een riskmanagement afdeling controleert deze beheersmaatregelen en bepaalt of de risico's in voldoende mate zijn geïdentificeerd en worden afgedekt met de opgestelde beheersmaatregelen. Vanaf dit punt dienen de procesbeschrijvingen tevens als basis van het controleraamwerk van de TPA. • De interne auditafdeling toetst het stelsel van beheersmaatregelen en geeft een kwaliteitsoordeel op basis van de door haar uitgevoerde audits. De resultaten worden door middel van reguliere overleggen met elkaar afgestemd en dienen als basis voor zowel verbeteringen in het proces, als het informeren en adviseren van het management over mogelijke knelpunten. Ook blijkt de rol van de internal auditor van de gebruikersorganisatie bij TPA’s verschillend ingevuld te worden: de gebruikersorganisatie ontvangt de TPA rapportage en de internal auditor fungeert als doorgeefluik door het rapport direct door te sturen naar de externe auditor. Een andere genoemde invulling is dat het TPA rapport door de internal audit afdeling van de gebruikersorganisatie wordt gebruikt als input voor verdere audits binnen de gebruikersorganisatie. Op deze wijze wordt de generieke TPA door de internal audit afdeling van de gebruikersorganisatie als basis gebruikt en ‘vertaald’ naar de door de gebruikersorganisatie specifieke assurancebehoefte. Bij alle gesproken serviceorganisaties zijn de TPA’s generiek van opzet, zodat deze aan zoveel mogelijk klanten verspreid kunnen worden. De dienstverlening die gebruikersorganisaties afnemen is globaal op te delen in drie categorieën: (1) De diensten en bijbehorende beheersmaatregelen die door alle klanten van de serviceorganisatie afgenomen worden. (2) De diensten en beheersmaatregelen die min of meer generiek zijn, maar niet voor alle klanten allemaal in gelijke mate van toepassing zijn. De inhoud van de generieke TPA’s is Dennis Buitendijk en Maarten van Gerner

23

Praktijkonderzoek

daarbij vaak beperkt tot deze categorieën. Tot slot zijn er nog (3) de klantspecifieke diensten en beheersmaatregelen. Wel is in de sessies met serviceorganisaties aangegeven dat het, indien gewenst, wel mogelijk is om deze beheersmaatregelen op te nemen in de TPA, maar dat dit aanvullende kosten met zich meebrengt; er wordt hiervoor een opdracht uitgegeven aan een externe auditor om de aanvullende werkzaamheden uit te voeren. Wij begrijpen dat dit kostenaspect in de praktijk voor veel gebruikersorganisaties reden is om af te zien van deze aanvullende werkzaamheden. In onderstaande figuur is dit gevisualiseerd, waarbij de vlakken gemarkeerd met ‘3’ dus buiten de scope van generieke TPA’s vallen. In de praktijk blijkt dat in de ogen van de gebruikersorganisatie de generieke TPA gebaseerd lijkt op een minimale inzet, waarbij het resultaat ‘net aan’ de noodzakelijke punten dekt om de externe auditor tevreden te houden.

3 1. Generieke beheersmaatregelen. 2

2

2. Beheersmaatregelen van toepassing op enkele klanten, maar niet in gelijke mate van toepassing op alle klanten.

1

3

3

3. Klantspecifieke beheersmaatregelen.

2

Figuur 6 - Model beheersmaatregelen TPA

Bij serviceorganisaties geldt in specifieke gevallen dat een TPA rapport wordt gebruikt als marketing tool via de website, maar ook bij gesprekken met toekomstige klanten. Hierbij is het zo dat het rapport dus van directeur naar directeur gaat in plaats van, zoals oorspronkelijk bedoeld, van auditor naar auditor. Deze constatering komt overeen met het beeld dat in een een artikel van Gartner (2010) wordt geschetst. Dit artikel laat ook een beeld zien waarin SAS 70 rapporten buiten de oorspronkelijke context gebruikt worden en als marketinginstrument richting nieuwe klanten worden ingezet. Ook een simpele zoekopdracht op Internet levert een veelvoud aan logo’s en illustraties op, die andere suggesties wekken dan het doel is.

Figuur 7 - SAS 70 illustraties op Internet Dennis Buitendijk en Maarten van Gerner

24

Praktijkonderzoek

Op 25 juni 2010 heeft Gartner een rapport gepubliceerd waarin het gebruik van SAS 70 onderzocht is. De belangrijkste bevindingen die uit dit onderzoek naar voren zijn gekomen hebben betrekking op het oneigenlijk gebruik van SAS 70 als certificaat of keurmerk.

“

“Key Findings:

• • • •

SAS 70 is being misused by many vendors, and often their customers and certified public accountants (CPAs), in the hosted-application, software as a service (SaaS) and cloudcomputing spaces. SAS 70 is not a brand or a certification. It is an "attestation" created by a service provider's auditor for use by its customers' auditors. A SAS 70 evaluation primarily addresses control objectives that are stated by the service provider; the auditor is required to determine whether the controls are reasonable and consistent with contractual obligations. The SAS 70 guidelines require that the auditor's report be given only to existing customers, but prospective customers can be given the service provider's control objectives document provided to the auditors before the evaluation.”

Bron: Heiser en Caldwell (2010)

”

Toepassing in het kader van gemaakte afspraken Uit de sessies is naar voren gekomen dat TPA op het gebied van gemaakte afspraken geen meerwaarde biedt. De TPA's zijn niet frequent genoeg, te globaal van opzet en geven zelden specifieke informatie zoals deze zijn opgenomen in de SLA, mede door misinterpretatie van de eisen. Eisen die door de gebruikersorganisatie aan de serviceorganisatie worden gesteld zijn onder andere vastgelegd in de SLA en worden gerapporteerd doormiddel van SLR’s. Deze SLR’s zijn gericht op functionaliteit en key performance indicators (KPI’s), oftewel zij richten zich op de prestatie van de geleverde dienst. Hiermee kunnen knelpunten sneller geïdentificeerd worden en kan hier snel actie op worden ondernomen. Een nadeel is wel dat onderliggende problemen hiermee niet inzichtelijk worden. Daarnaast is het nog maar de vraag of hierbij de focus ligt op het beheersingsaspect. In de discussies is gebleken dat deze SLR’s door IT Managers en CIO’s als nuttig beschouwd worden omdat deze informatie gebruikt kan worden als issue-driven stuurmiddel. Aangegeven wordt wel dat hieruit geen assurance verleend kan worden.


25

Praktijkonderzoek

Toekomst en alternatieven TPA In de literatuur draagt Gartner (2010) meerdere alternatieven aan:

“

“Alternative Assessment Standards for Vendor Security, Compliance and Risk Management: [...] • International Organization for Standardization (ISO) standard certifications [...] • BITS Shared Assessments [...] • SysTrust and WebTrust [...] • AT Section 101 [...]”

Bron: Heiser en Caldwell (2010)

”

Door auditors, gebruikersorganisaties en serviceorganisaties worden andere toekomstvisies geschetst. Serviceproviders geven aan de volgende vier typen bewegingen te onderscheiden bij hun klanten: 1. SOx plichtige gebruikersorganisaties die het liefste werken met standaarden zoals bv. SAS 70 en ISAE 3402; 2. Niet SOx plichtige gebruikersorganisaties die een Internal Audit Rapport (IAR) willen ontvangen; in deze situatie is het minder relevant wie deze rapportage beschikbaar stelt, zolang het maar gebeurt door een onafhankelijke derde die deskundig is en een standaard hanteert; 3. Gebruikersorganisaties die de voor hun relevante informatie op een continue basis, (bijvoorbeeld via een portal) beschikbaar en toegankelijk willen hebben en daaruit zelf de noodzakelijke assurance halen. Het aantal gebruikersorganisaties dat op deze wijze wenst te opereren neemt toe; 4. Gebruikersorganisaties die de voor hun relevante informatie middels zogenoemde ‘provider files’ beschikbaar willen krijgen. Dit gaat om een eenmalige set evidence en basisgegevens die opgeleverd wordt, waaruit de gebruikersorganisatie een selectie maakt. Met name van de laatste twee typen wordt verwacht dat deze zich in de toekomst verder zullen ontwikkelen. Bij deze typen is een quality & security afdeling bij de serviceprovider verantwoordelijk voor het verzamelen van de gegevens. In samenwerking met de internal audit afdeling worden deze opgeleverd aan de gebruikersorganisaties. De gebruikersorganisaties kunnen dan hun eigen audits, die zij relevant achten, op deze gegevens uitvoeren. De presentatie van deze audits zal dan middels de eigen "standaarden" plaatsvinden. Deze worden desgewenst aan de externe auditor in het kader van de jaarrekening doorgegeven. Gebruikersorganisaties zien het fenomeen TPA als een blijvend onderdeel in de financiële verantwoording, zeker wanneer dit door de externe auditor vereist blijft. Wel wordt hierbij aangegeven dat de meerwaarde voor de besturing van de organisatie minimaal blijft: de kanttekening wordt gemaakt dat dit ook niet de bedoeling is geweest van TPA’s en zij zien dit in de toekomst ook niet ontstaan. Het is opvallend dat TPA rapportages voor de business wel interessant zijn in de gevallen waarbij er een verhoogd risicobewustzijn ontstaat, bv. in geval van het moeten afgeven van ‘in control statements’. In dit soort situaties realiseert de business zich dat een deel


26

Praktijkonderzoek

van hun bedrijfsproces uitbesteed is en dat hierover een verklaring beschikbaar was. Deze verklaring wordt dan gebruikt als input voor- en aanvulling voor het opstellen en beschrijven van beheersmaatregelen door de eerste lijn, in het drielagenstelsel zoals eerder beschreven. Op sociaal gebied wordt verwacht dat voor het uitvoeren van TPA’s in de toekomst meer gesteund zal worden op de werkzaamheden die uitgevoerd zijn door de internal audit afdeling bij de serviceorganisatie. Waar in het verleden voor wat betreft werkzaamheden het zwaartepunt lag bij de externe auditor die het testwerk, dossiervorming en aftekenen van de verklaring op zich nam, is er een verplaatsing gaande. Hierbij is het de gebruikersorganisatie zelf dat een deel van het testwerk uitvoert en aanlevert aan de externe auditor. De externe auditor is vervolgens verantwoordelijk voor de dossiervorming en aftekening. In ISAE 3402 is het mogelijk om, mits duidelijk aangegeven op welke wijze dit gebeurd is, te steunen op de werkzaamheden van internal audit. Wanneer internal audit zorg draagt voor de uitvoering van het testwerk en dossiervorming, kan de externe auditor volstaan met het uitvoeren van een dossierreview en desgewenst reperformance van deze werkzaamheden. Deze verschuiving is in de volgende figuur weergegeven. ISAE 3402

Externe auditor voert grootste deel van de werkzaamheden uit.

Interne auditor voert grootste deel van de werkzaamheden uit.

Interne auditor

Externe auditor

SAS 70

Figuur 8 - Verschuiving werkzaamheden TPA


27

Praktijkonderzoek

3.3 Conclusie praktijkonderzoek Op basis van ons praktijkonderzoek kunnen wij concluderen dat er ten aanzien van TPA verschillende perspectieven bestaan welke afhankelijk zijn van de rollen die binnen TPA onderscheiden worden (Serviceorganisatie - gebruikersorganisatie - auditors). Deze perspectieven sluiten niet op elkaar aan. Hieronder worden deze perspectieven uiteen gezet. Perspectief serviceorganisatie Serviceorganisatie laten een TPA uitvoeren om aan hun klanten (de gebruikersorganisaties) inzichtelijk te maken hoe zij de processen beheersen. Zij zien een TPA ook als een mogelijkheid om hun eigen beheersing onder de loep te nemen en indien nodig hier verbeterslagen op uit te voeren. Daarnaast worden de uitgevoerde TPA’s ingezet als marketingmiddel richting nieuwe en bestaande klanten. De vorm van de uitgevoerde TPA is identiek van opzet voor alle serviceorganisaties: (1) generieke beheersmaatregelen, (2) beheersmaatregelen die voor meerdere klanten van toepassing zijn, maar niet per definitie voor allen en (3) klantspecifieke beheersmaatregelen. Bij de laatste dient de kanttekening gemaakt te worden dat dit enkel in exceptionele gevallen en veelal tegen extra betaling van toepassing is. Intern ontwikkelen serviceorganisaties steeds vaker een eigen rapportage standaard die gebruikt wordt om audits uit te voeren en deze te rapporteren aan de directie. De werkzaamheden van een internal auditor binnen een TPA is beperkt tot ondersteunen van de externe auditor. De serviceorganisaties zien, met de komst van ISAE 3402, echter wel een verschuiving van deze werkzaamheden en verwachten dat internal audit straks het grootste gedeelte van de werkzaamheden zal uitvoeren en de externe auditor gebruik zal maken van deze werkzaamheden in het kader van een TPA. Perspectief gebruikersorganisatie Gebruikersorganisaties zien de TPA rapportages als een verplichting, enkel omdat de externe auditor hierom vraagt, veelal in het kader van de jaarrekeningcontrole. Zelf zien zij de toegevoegde waarde van een TPA niet in, omdat dit de organisatie niet helpt bij het behalen van de bedrijfsdoelstellingen. Daarnaast komt de vraag op of er geen tunnelvisie ontstaat bij de auditor die de TPA’s uitvoert, daar deze in sommige gevallen langere tijd achtereen deze audits bij de serviceorganisatie uitvoert. Dit komt mede door de generieke aard van de rapportages, waarbij niet noodzakelijk die zaken geraakt worden die voor de organisatie wel van toepassing zijn (als voorbeeld is continuïteit genoemd als een van de aspecten die typisch niet in TPA’s zijn opgenomen). In het geval dat een gebruikersorganisatie beschikt over een internal audit afdeling, worden TPA rapportages in enkele gevallen gebruikt als input voor eigen audits binnen de gebruikersorganisaties. Specifieke afspraken tussen de serviceorganisatie en gebruikersorganisatie worden doormiddel van SLA’s vastgelegd en gerapporteerd met SLR’s. Deze worden door IT Managers en CIO's als nuttig beschouwd.


28

Praktijkonderzoek

Voor de toekomst wordt door gebruikersorganisatie genoemd dat men de verschuiving ziet van het enkel ontvangen van de TPA rapportage, naar de rapportage voor de externe auditor zelf op te stellen middels gegevens die beschikbaar worden gesteld door de serviceorganisatie. Perspectief auditor Vanuit het perspectief van de auditor is de TPA onderdeel van hun dienstverlening. Ook met de komst van ISAE 3402 wordt niet gezien als een reden tot grote verschuivingen in de verhoudingen tussen auditor, serviceorganisatie en gebruikersorganisatie. Voor de externe auditor geldt vooral dat zij in de vorm van externe assurance in de relatie tussen serviceorganisatie en gebruikersorganisatie toegevoegde waarde bieden voor de markt. Op basis van naam en reputatie kan de klant er van uit gaan dat er kwalitatief goed werk is geleverd en dat de verklaring op waarheid berust.


29


30

Conclusie

4. Conclusie 4.1 Conclusie Voorafgaand aan ons onderzoek hebben wij de volgende onderzoeksvraag gedefinieerd: Wat zijn de sociale en de vaktechnische aspecten aan Third Party Audits die bijdragen aan het behalen van de doelstellingen van de gebruikersorganisaties en serviceorganisaties en hoe kunnen deze zich in de toekomst ontwikkelen? Third Party Audit is van oorsprong primair niet bedoeld om aan de doelstellingen van de gebruikersorganisatie bij te dragen. Het product van een TPA (het TPA rapport) is bedoeld voor auditors onderling en heeft als doel om assurance te bieden over de uitbestede diensten in het kader van bijvoorbeeld de jaarrekeningcontrole. Hierdoor kunnen wij concluderen dat een TPA uitgevoerd bij een serviceorganisatie voor de gebruikersorganisaties weinig tot geen directe bijdrage levert aan het behalen van de doelstellingen. Als de gebruikersorganisatie op zoek is naar concrete stuurinformatie, kan er beter verwezen worden naar de SLR’s die rapporteren over de gemaakte afspraken tussen de serviceorganisatie en gebruikersorganisatie. Dit blijkt ook uit onderzoek van Gartner (2010) waarin wordt geconcludeerd dat SAS 70 (of de equivalenten hiervan als ISAE 3402) aangevuld moeten worden met aanvullende informatie. te verwachten dat rond 2012 gebruikersorganisaties SAS 70 of (inter)nationale equivalenten niet zullen worden geaccepteerd als bewijs van effectieve beveiliging. Er zijn echter wel enkele aspecten te benoemen die bijdragen aan het behalen van de doelstellingen van de serviceorganisatie. Met name de introductie van de ISAE 3402 standaard biedt mogelijkheden om hier invulling aan te geven. Met de introductie van de nieuwe standaard ISAE 3402 zien wij voor de toekomst mogelijkheden voor de serviceorganisatie om de TPA’s (en de inrichting hiervan) te herevalueren. Met name het opnieuw uitvoeren van een risicoanalyse draagt bij aan het meer gericht de beheersingsmaatregelen in te richten. De externe auditor kan door zijn ervaring hier een bijdrage aan leveren in de vorm van advies. Daarnaast zien wij geen vaktechnische bezwaren om, gegeven de randvoorwaarden die daaraan gesteld worden, als internal audit assurance te verschaffen over de managementverklaring van de eigen organisatie. Hierbij dient de perceptie van de ontvangende partij als sociaal aspect in ogenschouw genomen te worden. Wanneer het logo van de serviceorganisatie aanwezig is op het assurancerapport, kan hier de onafhankelijkheid van de auditor in twijfel getrokken worden door de ontvangende partij.


31

Conclusie

Het vakgebied ziet de ISAE 3402 standaard als een SAS 70 update in plaats van een wezenlijk andere standaard. Hierdoor worden de nieuw geboden kansen en mogelijkheden die deze standaard biedt niet genomen. Wat ons betreft een gemiste kans. Ter onderbouwing van bovenstaande conclusie hebben wij antwoord gegeven op de deelvragen.

?

Wat is een Third Party Audit en welke standaarden/soorten Third Party Audits zijn er onder andere beschikbaar?

Met een TPA rapport is het de bedoeling van de serviceorganisatie om aan de eigen klanten aan te tonen dat zij over een bepaalde periode van tijd conform de gemaakte afspraken gehandeld hebben. Deze afspraken zijn veelal beheersmaatregelen zoals opgesteld door de serviceorganisaties op basis van een risicoinschatting en ervaringen uit het verleden. De gebruikersorganisatie heeft doorgaans weinig tot geen invloed op de beheersmaatregelen in de TPA rapportages. Zoals uit het literatuuronderzoek blijkt zijn er meerdere TPA standaarden beschikbaar om te hanteren. In dit onderzoek hebben wij ons beperkt tot SAS 70 en ISAE 3402.

?

Wat zijn de overeenkomsten en verschillen tussen deze standaarden?

De verschillen tussen de standaarden zijn op het eerste gezicht niet heel groot. Dit wordt ook beaamd in ons praktijkonderzoek waarbij veelal werd gerefereerd naar “de nieuwe SAS 70”. Uit het literatuuronderzoek blijkt echter ook dat er wel degelijk een aantal verschillen tussen de standaarden zitten. Van belang hierbij is om op te merken dat dit specifiek het geval is voor de Nederlandse vertaling van de ISAE 3402. De meest in het oog springende punten zijn: 1. De managementverklaring, waarbij het management van een organisatie verklaart in control te zijn en waarbij de externe auditor een assurance verklaring bijvoegt. 2. De mogelijkheid om, volgens de standaard, de scope breder te trekken dan de financiële processen, mits dit op basis van professionele oordeelsvorming indirect te relateren is aan de financiële verantwoording. 3. En tot slot misschien wel de meest interessante: De speelruimte die de Nederlandse vertaling van de ISAE 3402 standaard biedt voor wat betreft de beroepsbeoefenaar die de opdracht uitvoert; hierbij wordt niet expliciet gesteld dat dit een externe auditfirma dient te zijn, zoals dit wel bij SAS 70 het geval was. Het is opvallend om te merken dat wij in de praktijk bovenstaande mogelijkheden niet terugzien wat op basis van het literatuuronderzoek wel te verwachten zou zijn: een nieuwe standaard als ISAE 3402 biedt nieuwe mogelijkheden om invulling te geven aan TPA’s. Echter niet alle partijen lijken zich bewust hiervan. ISAE 3402 wordt omschreven als ‘de nieuwe SAS 70’ en dit is weerspiegeld in de manier waarop men ermee omgaat: op dezelfde wijze als SAS 70. Dit is verrassend, aangezien het een wezenlijk andere standaard betreft. Wanneer


32

Conclusie

deze wordt gelezen met een ‘traditionele’ blik dan is het begrijpelijk dat hier geen radicaal andere invulling aan wordt gegeven. Wanneer de ISAE 3402 met een open, brede blik geïnterpreteerd wordt biedt deze tal van mogelijkheden om meer waarde te creëren voor TPA’s.

?

Hoe worden standaarden door gebruikersorganisaties en serviceorganisaties ervaren?

Gebruikersorganisatie Tijdens het praktijkonderzoek is gebleken dat een TPA niet wordt gebruikt voor de sturing door de gebruikersorganisatie, maar enkel doorgegeven wordt aan de externe auditor die naar het rapport vraagt in het kader van de jaarrekeningcontrole. Vanuit de bedoeling in het verleden is dit ook verklaarbaar: een TPA is ook niet bedoeld geweest om te dienen als stuurmiddel voor gebruikersorganisaties. Zelf zien gebruikersorganisaties de toegevoegde waarde van een TPA niet in, omdat dit de organisatie niet helpt bij het behalen van de bedrijfsdoelstellingen: het is generiek en bevat niet noodzakelijk die zaken die voor de organisatie wel interessant zijn. Voor een gebruikersorganisatie is het belangrijk dat het rapport leesbaar is. Daarnaast moet het bruikbaar zijn in het kader van risicobeheersing; is het te vertalen naar de lijnorganisatie, en zijn de zaken zoals beschreven ook interpreteerbaar? Op dit moment lijkt dit niet altijd het geval. In het geval dat een gebruikersorganisatie beschikt over een internal audit afdeling, worden TPA rapportages in enkele gevallen gebruikt als input voor eigen audits binnen de gebruikersorganisaties. Serviceorganisatie Een TPA wordt door serviceorganisaties over het algemeen als toevoegend beschouwd. Het geeft aan de serviceorganisatie een beeld van de beheersing van de maatregelen en biedt, mits de organisatie hierop ingericht is, de mogelijkheid om de procesgang bij te sturen. Hier ligt dan ook een mogelijkheid voor de serviceorganisaties: wanneer gebruikersorganisaties voor hun jaarrekeningcontrole komen vragen naar assurance over de uitbesteedde diensten zal dit in veel gevallen leiden tot het opstellen van een TPA rapportage. Wanneer deze dan toch opgesteld moet worden, is het ook voor de serviceorganisatie een gelegenheid om de interne beheersorganisatie tegen het licht te houden en waar nodig strakker in te richten.

?

Worden deze standaarden juist toegepast in het kader van de gemaakte afspraken tussen gebruikersorganisatie en serviceorganisatie?

Wanneer we onder ‘de gemaakte afspraken’ verstaan de afspraken zoals vastgelegd in de Service Level Agreements kunnen we op basis van het literatuuronderzoek concluderen dat dit niet het geval is. De TPA standaarden lenen zich hier niet voor en zijn gericht op de beheersing van risico's binnen processen. Het


33

Conclusie

controleren of afspraken uit de SLA worden behaald zijn beter uit te voeren door Service Level Reports; deze zijn gericht op functionaliteit en prestatie van diensten.

Beheersing van processen en beheersing van prestatie zijn twee onderwerpen die binnen serviceorganisaties vaak onder verschillende afdelingen vallen. Wanneer deze aspecten bij elkaar gebracht kunnen worden, bijvoorbeeld door het kwantificeren van beheersmaatregelen, kan er worden gekomen tot een document met zowel prestatie- als beheersingsonderdelen. Op basis van ons praktijkonderzoek kunnen wij concluderen dat de standaarden op een andere manier slechts deels juist worden toegepast. De standaarden zijn immers niet bedoeld als marketingmiddel, maar worden in de praktijk wel als zodanig gebruikt.

?

Situatie nu vs. trends en verwachtingen voor de toekomst (mbt TPA)

Het fenomeen TPA blijft bestaan, omdat hier ook vraag naar blijft. Met name vanuit de externe auditfirma ten behoeve van de jaarrekeningcontrole. De verantwoordelijkheden zullen wel verschuiven, deze trend lijkt nu al waarneembaar. Werd voorheen het werk ten behoeve van TPA door de externe auditor uitgevoerd, zal dit in de toekomst in toenemende mate door de interne auditor uitgevoerd worden. De introductie van de ISAE 3402 standaard leent zich hier ook voor, doordat er, mits gespecificeerd, gebruik kan worden gemaakt van de werkzaamheden van internal audit afdelingen. Wanneer de standaard met een open, brede blik gelezen wordt is het zelfs mogelijk om zonder betrokkenheid van de externe auditor de werkzaamheden uit te voeren en af te tekenen. Randvoorwaarde hiervoor is dat er voldaan wordt aan de regels zoals gesteld in de Nederlandse vertaling van de ISAE 3402 standaard en daaruit voortvloeiend de geldende beroepsregels voor auditors.

?

Welke alternatieven bestaan er en hoe toepasbaar zijn deze?

Er zijn in de loop van het onderzoek een aantal alternatieven genoemd voor SAS 70 en ISAE 3402. Van belang is om hierbij een onderscheid te maken in het doel waarvoor de TPA gebruikt wordt: Is dat de verantwoording in het kader van de jaarrekeningcontrole dan kan dat, afhankelijk van de eisen van de externe auditor, door middel van een SAS 70 of een ISAE 3402 rapport, maar ook bijvoorbeeld door een Internal Audit Report. Buiten de jaarrekeningcontrole zijn de volgende alternatieven genoemd: een dataportal waarop de gebruikersorganisatie zelf informatie kan selecteren voor het uitvoeren van auditwerkzaamheden. Deze informatie kan continue aangeboden worden of eenmalig opgeleverd worden.


34

Conclusie

Een ander alternatief wat genoemd is zijn de Service Level Reports. Zoals uit het praktijkonderzoek blijkt zijn deze niet zonder meer geschikt. SLR’s zijn van oorsprong niet gericht op de beheersing maar op de prestaties van dienstverlening. Daarnaast geven SLR’s weliswaar inzicht waar zaken wel of niet goed verlopen, maar worden onderliggende zaken of problemen die niet inzichtelijk; voor het leveren van assurance missen Service Level Reports de nodige diepgang. Wij vragen ons echter af wáárom er gezocht wordt naar alternatieven. De ISAE 3402 standaard wordt ten opzichte van de SAS 70 in de praktijk omschreven als "de opvolger van", maar is ook op te vatten als een wezenlijk andere standaard. Er is gezien het veranderende gebruik van SAS 70 aanleiding geweest om een nieuwe standaard op te stellen. Hierdoor is door de bredere formulering van de scope van het onderzoek en de formulering van het begrip beroepsbeoefenaar in de ISAE 3402 een nieuwe set mogelijkheden gecreëerd om invulling te geven aan Third Party Assurance. Zo is het mogelijk om als serviceprovider, wanneer het stelsel aan interne beheersmaatregelen zodanig ingericht is dat de eerste lijn zelf verklaart in control te zijn, de internal auditafdeling het ISAE 3402 onderzoek en aftekenen te laten uitvoeren. Hiervoor hoeft op dat moment geen beroep worden gedaan op de externe auditor. Kanttekening hierbij is wel dat dit alleen mogelijk is voor klanten die niet SOx plichtig zijn of in het buitenland opereren: alleen de Nederlandse vertaling heeft het over ‘de beroepsbeoefenaar’ en alleen in Nederland is de RE titel bekend/erkend en tekenbevoegd.

4.2 Reflectie Wat uit het onderzoek naar voren is gekomen is een duidelijke scheiding tussen vaktechnische argumenten en de meer ‘softe’ factoren als perceptie en gevoel. Op vaktechnische gronden lijkt het prima te verantwoorden om de verhouding tussen interne- en externe auditor te verleggen op een zodanige manier dat de rol van de externe auditor minimaal wordt en de ISAE 3402 audit door de interne auditor wordt ondertekend. Wanneer hij/zij onder andere voldoet aan de Code of Ethics kan de auditor van een interne audit afdeling de verantwoording, zoals afgelegd en gedocumenteerd door de business, reviewen en uiteindelijk een oordeel hierover vellen. Zoals gezegd spelen factoren als perceptie en gevoel ook een niet uit te vlakken rol. Vaak zal een gebruikersorganisatie kiezen voor de weg van de minste weerstand wanner het aankomt op third party assurance, zeker wanneer het bedrijf in kwestie moet voldoen aan zowel binnen- als buitenlandse weten regelgeving. Om elke schijn van partijdigheid te voorkomen is het mogelijk dat de gebruikersorganisatie hierbij geen genoegen neemt met een assuranceverklaring die de serviceprovider (eventueel middels een internal audit afdeling) zelf over haar eigen dienstverlening afgeeft. Hierbij is het voor te stellen dat men liever de naam van een gerenommeerde externe auditfirma op de assuranceverklaring heeft staan. Op zich is het een raar fenomeen: naar de buitenwereld geven de verschillende Register-functies aan dat onder andere de titel een bepaalde mate van kwaliteit en onafhankelijkheid waarborgt (zie ook de Code of Ethics), waarbij de gepresenteerde feiten voor waarheid mogen worden aangenomen. Wanneer wij ‘onder elkaar’ zijn lijkt deze aanname ineens niet meer op te gaan: de verklaring van een RE wordt niet zonder meer voor waarheid


35

Conclusie

aangenomen en het liefst lijkt men een dossier en verklaring op het briefpapier van een externe (Big Four) auditfirma te zien. Het is de moeite waard om als auditors deze discussie met elkaar aan te gaan.

4.3 Vervolgonderzoek Hieronder volgen mogelijke onderwerpen voor een vervolgonderzoek ten aanzien van Third Party Auditing. Toetsing van reeds uitgegeven ISAE 3402 rapporten Het is interessant om te onderzoeken of de verschillen die in dit onderzoek naar voren zijn gekomen, ook daadwerkelijk worden toegepast in Third Party Audits onder ISAE 3402. Of worden oude patronen, zoals deze onder SAS 70 zijn ontstaan, nog steeds gevolgd? Toetsing juistheid, tijdigheid en volledigheid provider files Zoals aangegeven in ons onderzoek zijn er steeds meer gebruikersorganisaties die aan hun serviceorganisatie het verzoek doen om relevante data (provider files) beschikbaar te stellen, zodat de gebruikersorganisatie op basis van eigen onderzoek assurance kan verlenen. Een mogelijk vervolgonderzoek zou zich kunnen richten op de totstandkoming van deze dataset, met een focus op de juistheid, tijdigheid en volledigheid. Assurance middels een Third Party Audit over CO2 footprints Tijdens de discussies die in het kader van het praktijkonderzoek uitgevoerd zijn, is een andere interessante mogelijkheid tot het schrijven van een afstudeerscriptie ter sprake gekomen. Het gaat hierbij om CO2 footprints zoals deze op eigen initiatief door organisaties in het jaarverslag opgenomen worden: bij de totstandkoming van deze cijfers wordt echter geen standaard gehanteerd, bedrijven kunnen naar eigen inzicht bepalen hoe deze cijfers tot stand komen. Daarnaast worden de CO2 cijfers, zoals deze gepresenteerd worden in het jaarverslag, door de organisatie opgesteld. Een uniform normenkader zou hierbij kunnen bijdragen aan het inzichtelijk maken van deze cijfers. Daarnaast is het af te vragen welke mogelijkheden bestaan om, middels een Third Party Audit door een onafhankelijke derde partij, assurance over deze cijfers te krijgen. Deze problematiek kan een interessant en uitdagend onderzoek opleveren gezien de verwachting dat dit onderwerp de komende jaren steeds relevanter zal worden.


36

Slotwoord

5. Slotwoord Voorafgaand aan het schrijven van deze scriptie zijn verschillende mogelijke onderwerpen in beeld geweest. Uiteindelijk heeft dit proces, begonnen gedurende het tweede jaar, geresulteerd in een scriptievoorstel dat op 15 juni 2010 is ingediend. In dit voorstel beschreven wij een scriptie waarin wij de overeenkomsten en verschillen tussen SAS 70 en ISAE 3402 uiteen wilden zetten. Na de zomervakantie was daar de goedkeuring voor dit onderwerp. Inmiddels was een nieuwe uitgave van het NOREA blad ‘de IT-Auditor’ uitgekomen met daarin het artikel ‘ISAE 3402: een nieuw hoofdstuk voor de ITauditor’. De toegevoegde waarde van een scriptie volgens de oorspronkelijke opzet was na het verschijnen van dit artikel een stuk kleiner geworden. Op advies van onze begeleider Abbas Shahim hebben wij onze initiële onderzoeksvraag herzien en meer relevant voor het IT Audit vakgebied gemaakt. Het doen van onderzoek en het schrijven van deze scriptie is voor ons een leerzaam traject geweest. Naast een vaktechnische verdieping van onze kennis is met name ook duidelijk geworden dat een standaard op verschillende manieren geïnterpreteerd kan worden. Vanuit onze beroepspraktijk was het begrip ‘Third Party Audit’ ons niet onbekend. Tijdens het schrijven van de scriptie is echter pas de breedte van het onderwerp echt duidelijk geworden. Met name de praktijksessies hebben bijgedragen een breder inzicht in het onderwerp; door het spreken met betrokkenen met verschillende achtergronden is duidelijk geworden dat naast de vaktechnische aspecten ook perceptie een grote rol speelt in de wisselwerking tussen betrokkenen. Ondanks de prima begeleiding van Abbas Shahim en Joop Winterink, heeft het schrijven van deze scriptie ons meer moeite gekost dan wij op voorhand hadden ingeschat; een wisseling van werkgever en woonplaats zijn hier mede debet aan. Dit, en de prima samenwerking tussen beide schrijvers én alle overige betrokkenen maakt dat wij trots zijn op het uiteindelijke resultaat. Het is de bedoeling dat deze scriptie aanleiding geeft tot een brede discussie in het vakgebied over de wijze waarop invulling wordt gegeven aan de ISAE 3402. Wij hopen dat hierbij niet geredeneerd wordt op basis van oude, traditionele zienswijzen maar dat de lezers met een open blik kijken naar de kansen en mogelijkheden die de nieuwe standaard biedt.


37


38

Bijlagen

Bijlage 1: Literatuur Caldwell, F. (2010). Hype cycle for regulations and related standards, 2010. Retrieved from http:// my.gartner.com/ Commissie corporate governance. (2003). De Nederlandse corporate governance code - Beginselen van deugdelijk ondernemingsbestuur en best practice bepalingen. Art. II.1.4. Ewals, R.Ch.T. (2010). Isae 3402: een nieuw hoofdstuk voor de it-auditor. De IT-Auditor, 3(3), 37-45. Gaskin, F. (2009). Goodbye sas 70 hello isae 3402?. Accountancy Ireland, 41(3) Haagen, F. en Meijer, M. (2007). Samenwerken bij contractueel aansturen beheeractiviteiten. IT Beheer Magazine (5). Pag. 18-21, 53. Den Haag: SDU Uitgevers Heiser, J. en Caldwell, F. (2010). Sas 70 is not proof of security, continuity or privacy compliance. Retrieved from http://my.gartner.com/ IFAC. (2009). INTERNATIONAL STANDARD ON ASSURANCE ENGAGEMENTS (ISAE) 3402 art. A1 IIA, . (n.d.). Internal audit. Retrieved from http://www.iia.nl/ Nieuw Amerongen, CM en de Jager, NG. (2005). Sox-404 en steunen op de testwerkzaamheden van de gecontroleerde onderneming. Maandblad voor Accountancy en Bedrijfseconomie, 2005(12), 602 NOREA. (2006). Reglement Gedragscode ('Code of Ethics') NOREA. (2010). NOREA Richtlijn 3402 art. A1 NOREA/VERA. (2008). Role based auditing: Update on ICT & control(e). in A. Shahim (2009). IT Governance Attestation: In search of proving compliance. Den Haag: Academic Service Paans, R. (2004). Outsourcing en Sarbanes-Oxley, in A. Shahim (red.), Kracht van de vernieuwing: Visies op ICT. Den Haag: Academic Service Paans, R. (2009). Relation between business partners. In R. Paans, De moderne aanpak van de externe ITauditor Paans, R. (2009). Typical parties to a third party audit. In R. Paans, De moderne aanpak van de externe ITauditor Shahim, A. (2009). IT Governance Attestation: In search of proving compliance. Den Haag: Academic Service


39

Bijlagen

Van Beek, J. en Francken, M. (2010). Sas 70 verdwijnt: het moment voor herevaluatie. Praktijkgids SAS 70 (3). KPMG Van der Blij, J. en Chen, P. (2008). ‘SAS 70: tekenbevoegdheid voor de IT-Auditor?’. Retrieved from http:// www.vurore.nl/ Van Gils, H. (2004). De revival van de “Third Party Mededeling (TPM)”, in A. Shahim (red.), Kracht van de vernieuwing: Visies op ICT. Den Haag: Academic Service Verweij, S. en Keijl, S. (2008). Sas 70 en daarna: controls reporting in een breder kader. Spotlight, 15(2). PWC


40

Bijlagen

Bijlage 2: Woordenlijst Afkorting

Omschrijving

AICPA

American Institute of Certified Public Accountants

CFO

Chief Financial Officer

CIO

Chief Information officer

CPA

Certified Public Accountant

IAASB

International Auditing and Assurance Standards Board

IFAC

International Federation of Accountants

IIA

Instituut van Internal Auditors

ISAE 3402

International Standard on Assurance Engagements 3402

KPI

Key Performance Indicator

RA

Register Accountant

RE

Register EDP-Auditor

SAS 70

Statement on Auditing Standards no. 70: Service Organizations

SLA

Service Level Agreement

SLR

Service Level Report

SOx

Sarbanes Oxley

SSAE 16

Statement on Standards for Attestation Engagements No. 16

TPA

Third Party Audit

Type I

Opzet, Bestaan

Type II

Opzet, Bestaan, Werking


41

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Recommend Documents