2014 KPMG Advisory N.V

Transcriptie

1 01

2 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van deze activiteiten. Een van de manieren om die te verkrijgen is rapportage hierover in de vorm van een assurancerapport. In dit artikel zetten we uiteen wat zo n assurancerapport precies behelst, geven we adviezen over hoe een assurancerapport dient te worden geïnterpreteerd en geven we een doorkijkje naar toekomstige ontwikkelingen. Het gestructureerd uitbesteden van processen is begonnen met de automatisering van bedrijfsprocessen. Die heeft ertoe geleid dat de verwerking van gegevens vaak niet meer onder de eigen aansturing plaatsvindt, maar wordt uitbesteed aan een externe organisatie. Om blind te vertrouwen op de door die organisatie geleverde kwaliteit is echter wel wat veel gevraagd. De gebruiker wil inzicht in de kwaliteit van de geleverde diensten. Dit betekent dat de gebruiker de serviceorganisatie zou moeten bezoeken om die kwaliteit in beeld te krijgen. Dat is voor beide partijen echter niet efficiënt. De oplossing die hiervoor gevonden is we spreken over ongeveer 30 jaar geleden is een audit ten behoeve van de uitbestedende organisatie. In de Nederlandse accountantsliteratuur werd dit al snel aangeduid met de term TPM, wat staat voor Third Party Mededeling. De TPM is de eerste vorm van een assurancerapportage. Voor pensioenfondsen is de strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren een normaal onderdeel van de bedrijfsvoering geworden. Een veel voorkomende uitbesteding is die van vermogensbeheer, maar uitbesteding

3 12 De Pensioenwereld in 2015 Het management van het pensioenfonds blijft verantwoordelijk voor de uitbestede activiteiten en wil dus weten hoe het zit met kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. kan op bijna elk proces betrekking hebben. Ook bij uitbesteding blijft het pensioenfonds te allen tijde verantwoordelijk voor de uitvoering. Deze constatering vormt de basis voor nut en noodzaak van assurancerapportages. Het gaat hierbij verder dan alleen het beschikbaar stellen van het assurancerapport; dit rapport krijgt pas toegevoegde waarde als het daadwerkelijk gelezen wordt. To assure is bevestigen dat iets waar is. Onder assurance verstaan we het verschaffen van zekerheid over informatie door een neutrale partij, om het vertrouwen bij de gebruikers van die informatie te versterken. Het pensioenfonds is in assurancetermen de gebruikersorganisatie, de organisatie die gebruikmaakt van diensten zoals geleverd door zijn dienstverlener (bijvoorbeeld een bank voor vermogensbeheer), ook wel de serviceorganisatie genoemd. Om comfort te krijgen over de uitbestede activiteiten kan de gebruikersorganisatie de serviceorganisatie vragen om een assurancerapport, ook wel aangeduid als Service Organisatie Control (SOC)-rapport. De serviceorganisatie legt daarin verantwoording af aan haar gebruikersorganisatie(s) (hier de pensioenfondsen). Ook de accountant van het pensioenfonds heeft behoefte aan zekerheid. Voor zijn controle heeft hij bewijs nodig dat interne controlemaatregelen met betrekking tot de uitbestede

4 Uitbesteding & assurance 13 processen op orde zijn. Een SOC-rapport dat aan alle vaktechnische eisen voldoet, maakt het voor de accountant van de gebruikersorganisatie mogelijk zich een oordeel te vormen over de kwaliteit van de uitbestede activiteiten zonder dat hij verdere controlewerkzaamheden bij de serviceorganisatie hoeft uit te voeren. Deze controlewerkzaamheden worden namelijk door de auditor van de serviceorganisatie uitgevoerd die hierover rapporteert aan de gebruikersorganisatie. In het verleden werden SOC-rapporten veelal opgesteld op basis van de Amerikaanse SAS 70-standaard. Deze standaard is niet meer van toepassing. De rapportages worden nu meestal uitgebracht onder de internationale standaard ISAE 3402 of ISAE Standaard ISAE 3402 dient te worden gebruikt voor de beoordeling van de interne beheersing van processen die van belang zijn voor de financiële verantwoording. Voor de overige beheersingsmaatregelen (niet gerelateerd aan financiële verantwoordingsprocessen) kan gebruik worden gemaakt van de assurancestandaard ISAE Een SOC-rapport is een rapport waarin een serviceorganisatie beschrijft hoe zij processen beheerst. In het rapport worden beheersingsdoelstellingen gedefinieerd en wordt het geheel van beheersingsmaatregelen dat de organisatie neemt om die doelstellingen te realiseren weergegeven. Een externe auditor voegt een verklaring auditorsrapport toe aan dit rapport van de serviceorganisatie. In dit auditorsrapport gaat de auditor in op de realisatie van de beheersingsdoelstellingen. In een toelichting beschrijft hij welke testen hij heeft uitgevoerd en wat het resultaat van zijn werkzaamheden is. Deze in een afzonderlijke sectie opgenomen toelichting vormt een verantwoording van de uitgevoerde testwerkzaamheden. Er zijn twee typen SOC-rapporten: Een type I-SOC-rapport beschrijft het proces en de beheersingsmaatregelen zoals deze op een bepaald moment geïmplementeerd zijn. Hierin beantwoordt de auditor de vraag: komt de beschrijving van het rapport overeen met de werkelijke situatie? Het type II-rapport betreft een periode, meestal 6 maanden tot 1 jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. Het type I-rapport is vaak het fundament voor een toekomstig type II-rapport.

5 14 De Pensioenwereld in 2015 In de praktijk leven er enkele misverstanden over wat een SOC-rapport precies is: 1. Het is geen certificaat: Een certificaat is beperkter dan een rapport. Bij een certificaat staan de normen en daarmee de scope vast. Een SOCrapport geeft een uitgebreide beschrijving volgens een vast format, terwijl een certificaat slechts vermeldt of de normen wel of niet zijn behaald. De lezer kan het rapport gebruiken voor een eigen evaluatie van de beheersingsmaatregelen binnen de serviceorganisatie. 2. Het rapport wordt niet opgesteld door de auditor: De SOC-rapportage wordt opgesteld door een serviceorganisatie. De verklaring van de auditor heeft zonder de beschrijving van het systeem en de daarbij behorende beheersingsmaatregelen geen betekenis. 3. ISAE 3402 geeft geen inhoudelijke norm: In feite is de ISAE 3402-standaard leeg. De serviceorganisatie bepaalt de scope, de beheersingsdoelstellingen en de beheersingsmaatregelen van het rapport en daarmee de norm. In de praktijk blijkt deze norm vaak in overleg met pensioenfondsen te worden bepaald. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie. Accountant gebruikersorganisatie Pensioenfonds SOC-rapport Accountant serviceorganisatie Serviceorganisatie Figuur 1: De partijen die betrokken zijn bij een ISAE 3402 rapport

6 Uitbesteding & assurance 15 Door een SOC-rapport aan haar gebruikers beschikbaar te stellen voorkomt de serviceorganisatie dat zij capaciteit vrij moet maken voor het begeleiden van auditors van iedere gebruikersorganisatie. Serviceorganisaties die een SOCrapport beschikbaar stellen aan hun klanten hebben vaak een streepje voor op hun concurrenten die geen onafhankelijk inzicht in hun activiteiten verstrekken. Voor de accountant van de uitbestedende organisatie komt het SOC-rapport in de plaats van eigen testwerkzaamheden. Dit is mogelijk omdat het rapport niet alleen een oordeel van een collega bevat, maar ook omdat het rapport informatie bevat over de door die collega uitgevoerde testwerkzaamheden. Voor het management van de gebruikersorganisatie is het rapport enerzijds een bron om vast te stellen in hoeverre de afspraken uit de contracten zijn nagekomen. Anderzijds maakt het deel uit van het bouwwerk van interne controles. De informatie uit het SOC-rapport in combinatie met de eigen complementary user entity controls moet ertoe leiden dat het uitbestede proces aantoonbaar in control is. Naast rapporten bestemd voor een specifiek pensioenfonds zijn er ook rapporten die bestemd zijn voor een groep gebruikers (bijvoorbeeld meerdere pensioenfondsen en/of andere organisaties). Een SOC-rapport voor een groep gebruikers is vaak efficiënter voor de serviceorganisatie die hiervoor een generieke audit kan laten uitvoeren. Voor het individuele fonds kan dit betekenen dat zijn inbreng in de formulering van de beheersingsdoelstellingen van het SOC-rapport beperkt is. In de praktijk Uit onderzoek van KPMG 1 blijkt 70% van de pensioenfondsen gebruik te maken van assurancerapportages in de relatie met zijn pensioenuitvoerder. De pensioenfondsen zijn hierbij de gebruikersorganisatie, de pensioenuitvoerders de serviceorganisaties. Zoals in figuur 2 is aangegeven, worden deze rapportages door verschillende partijen binnen de pensioenfondsen gelezen, het meest door de fondsaccountant en de directies. 1 KPMG heeft in oktober 2014 een onderzoek uitgevoerd onder 91 pensioenfondsen; de uitkomsten hiervan zijn in de bijlagen van deze Pensioenwereld opgenomen (KPMG-onderzoek 2014).

7 16 De Pensioenwereld in % 2% 2% 19% 20% 32% 26% 77% 27% 45% 48% 29% Externe accountant Directie Risk en compliance afdeling Interne audit dienst Hoofd administratie Bestuurders Anders Afdeling inkoop Weet ik niet Figuur 2: Wie leest het ISAE 3402 rapport Leeswijzer voor een SOC-rapport Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. Het is aan de lezer zelf om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde kwaliteitseisen voldoet. De rapportage kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor. Let op: het is van belang het SOC-rapport te lezen en te interpreteren ten behoeve van de situatie van de gebruikersorganisatie. De ISAE-standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. In een SOC-rapport dienen de hieronder genoemde vijf onderwerpen te worden opgenomen. Deze worden vaak voorafgegaan door een inleiding of leeswijzer voor het rapport. Per onderdeel is aangegeven waarop gelet kan worden bij het lezen van het rapport.

8 Uitbesteding & assurance 17 Een SOC-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. 1. Auditorsrapport Het auditorsrapport is de rapportage die de auditor aan het SOC-rapport toevoegt. Al lijkt het auditorsrapport standaard te zijn, het moet worden gelezen; nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Het eindoordeel van de audit en eventuele beperkingen van dit oordeel zijn opgenomen in het auditorsrapport. Let op de beperkingen in dit hoofdstuk. Een beperking bij de serviceorganisatie betekent vaak dat er bij de gebruikersorganisatie aanvullende maatregelen moeten worden genomen (en gecontroleerd door de accountant) om het risico van deze beperking te beheersen. De serviceorganisatie waaraan het werk is uitbesteed kan op haar beurt een deel van het proces uitbesteden aan een derde. Denk aan een serviceorganisatie die de salarisverwerking verzorgt en die voor de IT-infrastructuur gebruikmaakt van een derde partij. Volgens de standaard kan hier op twee manieren mee worden omgegaan: Carve-out: het aan de subserviceorganisatie uitbestede proces wordt niet in het rapport betrokken (in de Nederlandse standaard wordt dit de uitsluitingsmethode genoemd); Inclusive: het aan de subserviceorganisatie uitbestede proces wordt in het rapport opgenomen (in de Nederlandse standaard wordt dit de opnamemethode genoemd). In het auditorsrapport worden de subserviceorganisatie en de gehanteerde methode benoemd. Let op: carve-out van processen betekent dat het oordeel mogelijk niet het gehele proces van uitbesteding betreft.

9 18 De Pensioenwereld in 2015 In de laatste paragraaf van het auditorsrapport is in de meeste gevallen vermeld dat het rapport uitsluitend bestemd is voor gebruik door de specifieke gebruikers en hun accountants. De distributieverantwoordelijkheid ligt bij de serviceorganisatie. Gezien het vertrouwelijke karakter van het rapport moet de serviceorganisatie hier verantwoord mee omgaan. Het rapport is beslist niet bedoeld voor een vrije publicatie op het internet. 2. Managementbewering In de managementbewering verklaart het management van de serviceorganisatie dat het rapport aan de vereisten van de standaard voldoet. Er vindt geen audit plaats op de managementbewering door de serviceauditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen, voorzien van twee kwaliteitsuitspraken: één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn. 3. De systeembeschrijving Het proces waarop het SOC-rapport betrekking heeft wordt in de ISAE 3402-standaard systeem genoemd. De systeembeschrijving is de verantwoordelijkheid van de serviceorganisatie, die in deze sectie beschrijft op welke wijze de procesbeheersing is ingericht en welke maatregelen (controls) zij heeft getroffen om deze situatie te handhaven. De beschrijving moet van een dusdanig niveau zijn dat de uitbestedende organisatie in staat is om zich een beeld te vormen van de interne beheersing van de serviceorganisatie en de specifiek met betrekking tot de uitvoering van uitbestede processen getroffen controlemaatregelen. In de praktijk wordt voor de beschrijving vaak het COSOmodel gevolgd, met de volgende opbouw: Inleiding, Control environment, Risk assessment, Control activities, Information & Communication, Monitoring en End-user control considerations. De term systeem dekt dus veel meer af dan alleen het informatiesysteem. De beschrijving van de organisatie vertelt iets over het geheel van interne beheersing, maar ook over de relatie met de eindgebruiker. De reikwijdte van het SOC-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het rapport moet aansluiten bij een dienst die als geheel wordt afgenomen. Het is aan te raden om de reikwijdte van het rapport voorafgaand aan het onderzoek vast te stellen, zodat gebruikers en serviceorganisatie hierover hetzelfde beeld hebben.

10 Uitbesteding & assurance 19 Om praktische redenen is vaak een korte beschrijving van de control activities opgenomen en wordt voor de uitwerking verwezen naar de volgende sectie van het rapport, waarin de auditor verslag doet van de wijze waarop hij voor een type II-onderzoek de werking van deze beheersingsmaatregelen heeft vastgesteld. De COSO-elementen Control environment, Risk assessment, Information & Communication en Monitoring worden ook wel samenvattend aangeduid met entity level controls. Samen met de algemene proces- en structuurbeschrijving vormen zij het randvoorwaardelijk kader van de control activities. Om een sluitend geheel van beheersingsmaatregelen te krijgen moeten dikwijls ook door de gebruikersorganisatie controles worden uitgevoerd. Het betreft hier controles die door de serviceorganisatie niet uitgevoerd kunnen worden: denk hierbij bijvoorbeeld aan de beheersing van de volledigheid van mutatiebestanden zoals deze door de gebruikersorganisatie aan de serviceorganisatie worden aangeleverd. Let op: user control considerations betreffen controles die door de gebruikersorganisatie zijn geïmplementeerd en door de accountant van de gebruikersorganisatie worden gecontroleerd. 4. Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor In dit hoofdstuk documenteert de auditor de testaanpak. De auditor beschrijft in het rapport de beheersingsmaatregelen, de uitgevoerde tests en de testresultaten. Dit hoofdstuk bevat de bevindingen per beheersingsmaatregel en eventuele verbeterpunten en geeft de volwassenheid van de serviceorganisatie weer. 5. Overige informatie In deze sectie kan de serviceorganisatie eventueel nadere informatie opnemen die niet thuishoort in de systeembeschrijving. De sectie Overige informatie valt buiten de scope van de audit. Het onderzoek van de auditor gaat niet verder dan vast te stellen dat de inhoud van deze sectie niet strijdig is met zijn beeld van de organisatie en de systeembeschrijving.

11 20 De Pensioenwereld in 2015 Het is aan de lezer(s) om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan de daaraan gestelde eisen voldoet en of het rapport daarmee bruikbaar is voor bijvoorbeeld de controle van de externe accountant. Bevatten het auditorsrapport en de aanvullende informatie van de auditor geen bevindingen, dan is het onwaarschijnlijk dat de inhoud van de rapportage leidt tot aanpassingen in de werkzaamheden ten behoeve van de controle van het pensioenfonds. Uit het eerder genoemde KPMG-onderzoek blijkt dat bij 23% van de ondervraagden het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering leidt (zie ook figuur 3). Dit kan veroorzaakt worden door de gedefinieerde end-user control considerations, een oordeel met beperking of een oordeelsonthouding. De wijzigingen betreffen veelal aanvullende werkzaamheden bij de serviceorganisatie en in mindere mate opvolging door de externe accountant van het fonds of door het fonds zelf. 6% Ja 12% 23% Nee 75% Binnen mijn organisatie Bij de accountantscontrole Bij de uitvoeringsorganisatie Figuur 3: Heeft het gebruiken van het SOC-rapport tot wijzigingen in de uitvoering geleidt?

12 Uitbesteding & assurance 21 Tot slot In de afgelopen jaren zijn de in dit artikel beschreven SOC-rapporten steeds meer een standaard geworden ingeval een pensioenfonds bepaalde processen uitbesteedt. Uit de praktijk blijkt dat deze rapporten maar beperkt worden gebruikt door de ontvangende pensioenfondsen. De lezerskring van het rapport is vaak beperkt tot een aantal personen, waaronder met name de externe accountant. De uitdaging voor de serviceorganisatie is ervoor te zorgen dat deze rapporten door meerdere personen worden gelezen, vooral gezien het feit dat de totstandkoming ervan vaak kostbaar is. De ontvangende partij zou zich moeten realiseren dat de serviceorganisatie vaak veel tijd en energie steekt in het tot stand brengen van een SOC-rapport. In aanvulling daarop brengt ook het accountantskantoor kosten in rekening voor zijn reviewwerkzaamheden. Wij verwachten (en hopen) dan ook dat de rapporten toegankelijker worden, waardoor ze een breder publiek krijgen en de toegevoegde waarde ervan stijgt.