Round Table Ontwikkelingen SAS 70 Mariska Baars IIAEquens

Round Table “Ontwikkelingen SAS 70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008 1

Round Table “Ontwikkelingen SAS 70” Agenda • Assurance producten TPM en SAS 70 • Ontwikkelingen • Rol internal auditor 3 november 2008 2

RT “Ontwikkelingen SAS 70” Third Party Mededeling (TPM) • Assurance rapport, komt voor in uitbestedingsituaties • TPM is niet terug te vinden in de bestaande regelgeving van de beroepsorganisaties van accountants en IT-auditors • TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd • Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen • Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking 3 november 2008 3

RT “Ontwikkelingen SAS 70” TPM rapportage De uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie Format: Scope: geen verplicht, standaard format uitbestede dienst Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie Oordeel: per aandachtsgebied van het referentiekader 3 november 2008 4

RT “Ontwikkelingen SAS 70” TPM aanpak (een voorbeeld) Fase 1 Vaststelling referentiekader 3 november 2008 Fase 2 Vaststelling auditprogramma & -planning Fase 3 Uitvoering onderzoek Fase 4 Rapportage & afstemming TPM 5

RT “Ontwikkelingen SAS 70” TPM: voorbeeld referentiekader Algemeen • Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie • ………………. . Beheer • Het probleemmanagement proces is gedocumenteerd en geformaliseerd • ………………. . Beveiliging • Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd • ………………. . 3 november 2008 6

RT “Ontwikkelingen SAS 70” TPM: oordeel (vb. opzet, bestaan en werking) • Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking wel wordt voldaan de gestelde normen • Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan de gestelde normen • Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan de gestelde normen 3 november 2008 7

RT “Ontwikkelingen SAS 70” TPM: voorbeeld rapportage Hoofd onderzoekreport – – – Introductie: achtergrondinformatie Managementsamenvatting: een verzameling van de managementsamenvattingen van de deelrapporten Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor Beveiliging Managementresponse: commentaar (feedback en verbeterplan) van de directie van de dienstverlener. ……………. . . ………………………. . Deel onderzoekreporten Algemeen deelrapport • • • Introductie Managementsamenvatting Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde functionarissen – …………………………………………………. . . – Beheer- en beveiliging deelrapporten • Idem 3 november 2008 8

RT “Ontwikkelingen SAS 70” TPM in uitbestedingsituatie en huidige wet- en regelgeving Enkele sterke punten • Vorm en inhoud: geen verplicht format • Bekendheid in Nederland • ……. Minder sterke punten • Internationaal uitleggen • …………………. . 3 november 2008 9

RT “Ontwikkelingen SAS 70” SAS 70 • Assurance rapport (TPM volgens SAS 70 richtlijnen) • Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service Organizations”). • Nav jaarrekeningcontrole van de gebruikers organisatie: – Rapportage tussen accountants – Scope: gerelateerd aan betrouwbaarheid financiële gegevens • Onderdeel bij contractonderhandelingen • Frequentie SAS 70 audit jaarlijks 3 november 2008 10

RT “Ontwikkelingen SAS 70” SAS 70 rapport: scope Service organisatie Geleverde services Scope van een SAS 70 rapport Uitbestede services Gebruikersorganisatie 3 november 2008 11

RT “Ontwikkelingen SAS 70” Wat is een SAS 70 rapport niet? • • Geen certificaat Beperkte, gedefinieerde gebruikers kring Rapport van de auditor SAS 70 is geen norm. Het is een auditing standaard die tekst en structuur van de mededeling auditor voorschrijft • SAS 70 zegt niets over niveau van interne beheersing: – Ambitie beheersdoelstellingen kan laag zijn – Scope kan te beperkt zijn 3 november 2008 12

RT “Ontwikkelingen SAS 70” SAS 70 type rapporten • Type 1 rapport (momentopname), de service auditor geeft een oordeel over: – De beschrijving van alle controle maatregelen die relevant zijn voor de gebruikersorganisatie – De beschreven controle maatregelen zijn ontworpen om de gespecificeerde controle doelstellingen te behalen – De beschreven controle maatregelen zijn geïmplementeerd • Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op: – Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport, en – De werking van de controle maatregelen 3 november 2008 13

RT “Ontwikkelingen SAS 70” SAS 70 -rapport secties en verantwoordelijkheden Sectie I. Rapport van de onafhankelijke auditor II. Bedrijf A’s beschrijving van de controle maatregelen en procedures III. Testen van de werking IV. Overige informatie 3 november 2008 Verantwoordelijkheden Service auditor Bedrijf A 14

RT “Ontwikkelingen SAS 70” Uitgifte van SAS 70 -rapport Volgende varianten zijn mogelijk • • • Geheel rapport op het briefpaper van de serviceorganisatie. Serviceauditor tekent sectie I Sectie I en Sectie III op het briefpapier van de serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie Geheel rapport op het briefpapier van de serviceauditor 3 november 2008 15

RT “Ontwikkelingen SAS 70” Totstandkoming SAS 70 rapport Voorbereiding Certificering Fase 1 Fase 2 Fase 3 Fase 4 Uitvoer en impacta nalyse Beschri jven serviceorganis atie Doorvo eren verbete ringen Uitvoer en SAS 70 audit Type I of Type II Verklaring Doorlooptijd ca. 4 weken 3 november 2008 ca 3 maanden ca. 1 -2 maanden Type I: 1 maand Type II: 6 maanden 16

RT “Ontwikkelingen SAS 70” SAS 70 in uitbestedingsituatie en huidige wet- en regelgeving Sterke punten • (internationale) naamsbekendheid • Continuïteit (jaarlijkse audit) • . . Minder sterke punten • Verplicht format: inhoud en vorm • Aansprakelijkheid (externe kantoren) • . . 3 november 2008 17

RT “Ontwikkelingen SAS 70” SAS 70, TPM of anders? Ø Wat vraagt de gebruikers organisatie? • • • Wet- en regelgeving (Sarbanes Oxley) Uitbestedings contract Scope (compliance, continuïteit) User controls Inzicht in impact afwijkingen Inzicht in risk afwegingen 3 november 2008 18

RT “Ontwikkelingen SAS 70” SAS 70, TPM of anders? Ø Wat wil de service provider? Efficiënt voldoen aan behoefte gebruikers organisatie(s) (contract): • Scope • Generiek versus maatwerk • Combinatie assurance producten 3 november 2008 19

RT “Ontwikkelingen SAS 70” International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Third Party Service Organization Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in 2009. Veel overeenkomsten met SAS 70 wordt op korte termijn herzien door AICPA 3 november 2008 20

RT “Ontwikkelingen SAS 70” ISAE 3402, aantal kenmerken (t. o. v. SAS 70) • • • Management Assertion Meer dan alleen financiële processen Risico’s en materialiteit expliciet Audit mededeling vermeldt gecombineerd afwijkingen Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal criteria • Eis aan auditors van gebruikers organisatie Overeenkomsten SAS 70 • • Type A (I) en B (II) Use of Internal Audit Rapportage format ongeveer gelijk LOR 3 november 2008 21

RT “Ontwikkelingen SAS 70” Verwachte impact ISAE 3402 op gebruikers organisatie • Managament assertion nodig • Criteria Control objectives, controls moet specifiek, relevant, meetbaar zijn • Overgang SAS 70 naar ISAE 3402 rapport • Uitleggen aan gebruiker (contracten) 3 november 2008 22

RT “Ontwikkelingen SAS 70” Is ISAE 3402 het antwoord? Komt tegemoet aantal wensen gebruiker organisaties en service provider: • Scope breder dan alleen financieel proces • Risico afwegingen explicieter Maar er blijven over: • Kosten (ook overgang vanuit SAS 70) • Geen eenduidig normen kader • 3 november 2008 23

RT “Ontwikkelingen SAS 70” Assurance: rol van de internal (operational/ IT) auditor • Assurance proces – Aan tafel op moment van uitbesteding: • “SAS 70 automatisme” • Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service auditor • Wat heeft service provider nog meer in huis qua assurance • User controls • Contractuele vastlegging assurance afspraken – Adviseur management; kennis van internationale assurance ontwikkelingen • Bouw – Internal Audit vaak betrokken bij opbouw product (project) • Audit – Integratie externe en interne assurance – Monitoren actie punten – Externe accountant 3 november 2008 24

RT “Ontwikkelingen SAS 70” Publicaties Assurance ISACA en IIA : position paper ”SAS 70 en de internal auditor”, januari 2008 3 november 2008 25

RT “Ontwikkelingen SAS 70” ? 3 november 2008 26