SAS70 en de internal auditor

Transcriptie

1 SAS70 binnenwerk :03 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

2 SAS70 binnenwerk :03 Pagina 2 Studio Mac_1

3 SAS70 binnenwerk :03 Pagina 3 Studio Mac_1 Voorwoord De missie van IIA Nederland is om het beroep en vak "internal audit" in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie. Hieraan wordt onder meer invulling gegeven met vaktechnische projecten waarin actuele onderwerpen worden uitgediept en waarvan de kennis vervolgens ter beschikking wordt gesteld aan de internal auditing belanghebbenden. Het IIA vaktechnische project "SAS70" heeft geleid tot deze Practice Advisory, tot stand gekomen door onderzoek en afstemming van kennis en visie met beroepsgenoten. Wij bedanken een ieder die aan de totstandkoming van deze Practice Advisory heeft meegewerkt. IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen De Commissie Vaktechniek, waaronder de werkgroep ressorteerde, en het bestuur van IIA Nederland zijn zeer verheugd met de publicatie van deze Practice Advisory. Wij willen dan ook de werkgroepleden bedanken voor hun inzet en gelukwensen met het resultaat. Wij bevelen lezing aan de leden van IIA Nederland van harte aan. Namens het bestuur IIA Nederland Namens de Commissie Vaktechniek Harrie de Poot Aad Vincenten, voorzitter 3

4 SAS70 binnenwerk :03 Pagina 4 Studio Mac_1

5 SAS70 binnenwerk :03 Pagina 5 Studio Mac_1 Inhoudsopgave VOORWOORD 3 1. INLEIDING 7 2. SAS DE AANLEIDING: UITBESTEDING DE OORSPRONG KENMERKEN EN DE INHOUD VAN HET SAS70 RAPPORT ROLLEN EN VERANTWOORDELIJKHEDEN HUIDIG EN TOEKOMSTIG GEBRUIK ALTERNATIEVEN SAS70 BIJ DE GEBRUIKERS ORGANISATIE: ROLLEN VAN DE INTERNAL AUDITOR INLEIDING ROLLEN INTERNAL AUDITOR VAN DE GEBRUIKERS ORGANISATIE Ex ante (voorafgaand aan het SAS70 rapport) Advisering management tijdens beginfase van uitbesteding Advisering management onder inhoud SAS Tijdens (SAS70 rapport ontvangen) Ex-post (na ontvangst SAS70 rapport) PRAKTISCH VRAAGSTUK 21 Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie 4. SAS70 BIJ DE SERVICE PROVIDER: ROLLEN VAN DE INTERNAL AUDITOR INLEIDING ROLLEN INTERNAL AUDITOR VAN DE SERVICE PROVIDER Ex-ante (voorafgaand aan het SAS70 rapport) Advisering management over nut SAS Advisering management over inhoud SAS Advisering management over externe accountant Tijdens (SAS70 traject) Advisering management over uitvoering SAS70 traject SAS70 audit werkzaamheden internal auditor Ex-post (na afgifte SAS70 rapport) Advisering management over verbeteringen naar aanleiding van SAS Advisering management over onderhoud van SAS70 rapport ENKELE PRAKTISCHE VRAAGSTUKKEN Onder uitbesteding Generiek of maatwerk? 30 BIJLAGE 1 SAS70 VERGELEKEN 31 5

6 SAS70 binnenwerk :03 Pagina 6 Studio Mac_1

7 SAS70 binnenwerk :03 Pagina 7 Studio Mac_1 1. Inleiding 7

8 SAS70 binnenwerk :03 Pagina 8 Studio Mac_1 1. Inleiding Wet- en regelgeving eisen in toenemende mate van ondernemingen dat zij aantoonbaar in control zijn. Voor ondernemingen die processen hebben uitbesteed brengt dit een complicatie met zich mee: zij moeten de eis van aantoonbaarheid doorvertalen naar de service provider. Uitbesteding verandert immers niets aan hun eigen verantwoordelijkheid voor risicobeheersing. Bij het onderling aan elkaar afleggen van verantwoording over de kwaliteit van het in control zijn, is een oude bekende, het SAS70 rapport, nieuw leven ingeblazen. SAS70 is van oorsprong exclusief gekoppeld aan de jaarrekeningcontrole en primair bedoeld als communicatiemiddel tussen de externe accountants van de gebruikers organisatie en de service provider onderling. Echter, er is een ontwikkeling gaande waarbij SAS70 anders wordt ingezet, bijvoorbeeld als verantwoording over de operationele beheersing (niet/beperkt gekoppeld aan de jaarrekening) en in uiterste gevallen zelfs als kwaliteitscertificaat. Hoewel hier vaktechnische (AICPA) grenzen worden geraakt (overschreden), wordt met dit andere gebruik van een SAS70 rapport klaarblijkelijk invulling gegeven aan een informatiebehoefte. Naast de verschillende rollen die een internal auditor kan spelen in het SAS70 traject, brengen de (on)mogelijkheden van SAS70 ook uitdagingen voor de internal auditor met zich mee. Zijn kennis van de organisatie en vaktechnische achtergrond maken hem de aangewezen persoon het management te ondersteunen in een SAS70 traject. Dit geldt zowel binnen de gebruikers organisatie als binnen de service provider en zowel op het vlak van advisering als van audit werkzaamheden. Over deze uitdagingen, de praktische invulling er van en vraagstukken uit de praktijk gaat deze Practice Advisory. In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van SAS70. Vervolgens worden in de hoofdstukken 3 en 4 de rollen van de internal auditor in een SAS70 traject bij een gebruikers organisatie respectievelijk een service provider uitgewerkt. 8

9 SAS70 binnenwerk :03 Pagina 9 Studio Mac_1 Hoofdstuk 2 SAS70 9

10 SAS70 binnenwerk :03 Pagina 10 Studio Mac_1 2.1 De aanleiding: uitbesteding Uitbesteding heeft geleid tot een nieuwe indeling van ondernemingen: zij die uitbesteden (de gebruikers organisaties) en zij die de uitbestede services voor hun rekening nemen (de service providers). Zowel business processen als IT processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de ITsystemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele administratieve processen uitbesteed, inclusief IT (back-office outsourcing). Bij uitbesteding blijft de gebruikers organisatie onverminderd verantwoordelijk voor de uitbestede processen. Ook voor het uitbestede gedeelte moet de gebruikers organisatie aantoonbaar kunnen voldoen aan wet- en regelgeving: - Wanneer het uitbestede proces is gekoppeld aan materiële posten van de jaarrekening, heeft de accountant voor de jaarrekeningcontrole van de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Vanuit Sarbanes Oxley heeft de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Financiële instellingen bijvoorbeeld hebben te maken met eisen vanuit Bazel II, en specifieke eisen van toezichthouders. Ook voor de door hen uitbestede processen gelden deze eisen. De service provider moet dus op zoek naar een middel om de informatiebehoefte van de gebruikers organisatie (de klant) in te vullen. Een veelgebruikt middel is SAS De oorsprong Het SAS70 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een communicatiemiddel tussen externe accountants onderling in een situatie van uitbesteding: de service provider verstrekt met het rapport, inclusief accountantsmededeling, assurance aan de accountant van de gebruikers organisatie. Dit rapport moet worden opgesteld conform de richtlijnen van SAS70 1. Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar assurance met COS "Inzake de taak van de accountant bij de uitbesteding van werkzaamheden aan een service organisatie" (ISA 402). 1 2 SAS70 staat voor Statement on Auditing Standards No. 70 van de Amerikaanse accountants organisatie AICPA. Na omnummering van de Amerikaanse standaarden staat SAS70 momenteel bekend als AU Section 324: Service Organizations Controle en Overige Standaarden (NivRA) 10

11 SAS70 binnenwerk :03 Pagina 11 Studio Mac_1 2.3 Kenmerken en de inhoud van het SAS70 rapport De belangrijkste kenmerken 3 van het SAS70 rapport zijn: Het betreft een assurance report; Het gaat over uitbestede processen, beheersdoelstellingen en de beheersmaatregelen die nodig zijn om deze doelstellingen te realiseren; De beschreven processen en beheersmaatregelen moeten zijn gerelateerd aan het informatiesysteem van de gebruikers organisatie (jaarrekening); Er bestaan twee typen: type I over opzet en bestaan en type II over opzet, bestaan op een moment en de werking van beheersmaatregelen over een bepaalde periode; SAS70 is geen normenkader, het betreft voorschriften voor de rapportage (rapportage format) waarbinnen de opsteller zelf zijn normenset en beheersmaatregelen kiest (de externe accountant toetst overigens wel de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen); Het SAS70 rapport kent een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toetstemming van de certificerende accountant. Een SAS70 rapport bevat de volgende onderdelen: De mededeling van een externe accountant naar aanleiding van de audit op het SAS70 rapport; De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau (de COSO componenten Control Environment, Risk Assessment, Information and Communication and Monitoring), de processen van de service provider en de beheersdoelstellingen (control objectives); Beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede processen maar de verantwoordelijkheid zijn van de gebruikers organisatie (user control considerations); Beschrijving van de beheersmaatregelen (in COSO termen de control activities) die realisatie van de beheersdoelstellingen moeten waarborgen. In geval van type II: beschrijving van de externe accountant betreffende de uitgevoerde testwerkzaamheden en uitkomsten daarvan. Facultatief is het onderdeel Overige informatie waarin bijvoorbeeld belangrijke recente ontwikkelingen of maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe accountant geen assurance. 3 Voor een volledig overzicht wordt verwezen naar de AICPA publication: Service Organizations: Applying SAS NO. 70 (May, 2004). 11

12 SAS70 binnenwerk :03 Pagina 12 Studio Mac_1 2.4 Rollen en verantwoordelijkheden Gevisualiseerd bestaat het SAS70 "spelersveld" uit: Internal Audit Gebruikers Organisatie Internal Audit Service Organisatie IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B ABC B.V. Amsterdam Jaarrekening 200x IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B 70 SAS APPROVED BY THE AUDITOR Bedrijfsproces C APPROVED BY THE AUDITOR Gebruikers organisatie: ontvanger van het SAS70 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen. Externe accountant van de gebruikers organisatie: Ontvanger van het SAS70 rapport en toetst het aan zijn behoefte voor de jaarrekening controle van de gebruikers organisatie. Service provider: verantwoordelijk voor het SAS70 rapport met uitzondering van de accountantsmededeling en bevindingen. Externe accountant van de service provider: verantwoordelijk voor certificering van het SAS70 rapport en het rapport van de service provider. Internal auditor: wanneer de gebruikers organisatie en de service provider beschikken over een internal audit functie, kunnen internal auditors op verschillende momenten rollen vervullen gedurende het SAS70 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt. 12

13 SAS70 binnenwerk :03 Pagina 13 Studio Mac_1 2.5 Huidig en toekomstig gebruik SAS70 is verbonden aan de jaarrekeningcontrole in een uitbestedingssituatie. Momenteel wordt een SAS70 rapport echter niet uitsluitend gebruikt voor de jaarrekeningcontrole. Ook bij de behoefte aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de Wet Financieel Toezicht) krijgt SAS70 een nadrukkelijker rol. In uiterste gevallen wordt een SAS70 rapport gebruikt als een marketing instrument of (onterecht) gepresenteerd als een kwaliteitscertificaat. Hierbij kan de situatie ontstaan dat gebruik, of mogelijk in sommige gevallen misbruik, wordt gemaakt van de (randen van) de vaktechnische uitgangspunten. In hoofdstuk 4, bij de rol van de internal auditor van de service provider, wordt dit aspect nader toegelicht. 2.6 Alternatieven Omdat SAS70 momenteel erg populair is, wordt dit, in toenemende mate als standaard onderdeel tijdens contractonderhandelingen tussen service provider en gebruikers organisatie meegenomen. Er zijn echter ook alternatieven. Een SAS70 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)- kosten met zich mee. Dit is niet altijd noodzakelijk. Wanneer bijvoorbeeld assurance op onderdelen (bijvoorbeeld specifieke (IT) controls) nodig is, hoeft men niet geïnteresseerd te zijn in het algemene gedeelte van het rapport (Control Environment enz.). Een alternatief kan zijn een Third Party Memorandum of een rapportage op basis van specifiek overeengekomen werkzaamheden. De werkzaamheden en kosten verbonden aan een TPM of een rapport van feitelijke bevindingen zijn vaak een stuk lager, terwijl het mogelijk is, vergeleken met SAS70, een voldoende mate van zekerheid te verstrekken. Naast assurance rapportages, kan een gebruikers organisatie, afhankelijk van haar informatie/ assurance behoefte, ook kijken naar kwaliteitskeurmerken van een service provider, bijvoorbeeld ISO certificeringen. ISO certificeringen kennen een andere basis en bieden in tegenstelling tot SAS70 geen assurance (in accountancy termen) maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikers organisatie. Bijlage 1 bevat een vergelijking van SAS70 met TPM en ISO certificering. In hoofdstuk 4 wordt uitgewerkt welke afwegingen de internal auditor maakt in dit kader en het gebruik dat hij kan maken van de verschillende mogelijkheden. 13

14 SAS70 binnenwerk :03 Pagina 14 Studio Mac_1

15 SAS70 binnenwerk :03 Pagina 15 Studio Mac_1 Hoofdstuk 3 SAS70 bij de gebruikersorganisatie: rollen van de internal auditor 15

16 SAS70 binnenwerk :03 Pagina 16 Studio Mac_1 3.1 Inleiding Wet- en regelgeving vragen de gebruikers organisatie aantoonbaar in control te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikers organisatie aan de service provider. Omdat het management van een gebruikers organisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurance vraagstuk vaak te liggen bij de auditors: de externe accountant en de internal auditor. 3.2 Rollen internal auditor van de gebruikers organisatie De taken en verantwoordelijkheden van de externe accountant in een SAS70 traject zijn beschreven in beroepsregels en vaktechnische voorschriften (AICPA guide SAS70). Dit is strikt gereguleerd. De internal auditor heeft echter een ander speelveld; hij ondersteunt het management als onderdeel van het totale risico management raamwerk van de organisatie. In een SAS70 traject kan de internal auditor grote toegevoegde waarde leveren, vooral door goed begrip te hebben van de (on)mogelijkheden van SAS70 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij. Door begrip te hebben van de (on)mogelijkheden van SAS70 kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding. voorstel foto van een hamer rechter/vergadering om deze ruimte op te vullen. 16

17 SAS70 binnenwerk :04 Pagina 17 Studio Mac_ Ex ante (voorafgaand aan het SAS70 rapport) In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht in de kwaliteit van de risicobeheersing van de uit te besteden processen moet worden verkregen, welke vragen hierbij gesteld moeten worden (intern en aan de service provider) en hoe het "assuranceproces" zo efficiënt mogelijk kan worden ingericht Advisering management tijdens beginfase van uitbesteding Met het voornemen tot uitbesteding ontstaat een aantal vragen op het vlak van voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een adviesrol. Zaken die de internal auditor bij het management onder de aandacht kan brengen zijn: - Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikers organisatie van toepassing is: Mag het proces worden uitbesteed? - Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance eisen van de gebruikers organisatie: welke regels worden geraakt? - Wordt getoetst of de service provider betrouwbaar is? - Welke controls zijn binnen de gebruikers organisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht) Stellen wet- en regelgeving hier aan eisen? - De aard en omvang van de beheersmaatregelen van de gebruikers organisatie op de in- en uitgaande stromen richting de service provider (user controls). - Bij het opstellen van het uitbestedingscontract moeten afspraken worden opgenomen over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de service provider. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract. De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding. In uitbestedingscontracten wordt veelal een right to audit bepaling opgenomen Dit betekent dat de gebruikers organisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de service provider door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen, zo houdt de gebruikers organisatie altijd het recht tot het doen van eigen waarnemingen. 17

18 SAS70 binnenwerk :04 Pagina 18 Studio Mac_ Advisering management over inhoud SAS70 De internal auditor die het management adviseert over de inhoud van het SAS70 rapport, neemt hierbij onder meer het volgende in acht: - Overleg met de externe accountant; - Wet- en regelgeving waar de gebruikers organisatie aan moet voldoen; - De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert; - De risico-analyse van internal audit. Overleg met de externe accountant De externe accountant van de gebruikers organisatie is één van de primaire belanghebbenden bij het SAS70 rapport van de service provider. Voor het bepalen van diens informatiebehoefte, zal de externe accountant beginnen met een analyse op basis van jaarrekening van de gebruikers organisatie: welke posten worden geraakt door de uitbesteding, wat is de impact, in andere woorden, zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen. Toepasselijke wet- en regelgeving voor de gebruikers organisatie Sarbanes Oxley stelt eisen aan de in Amerika beurs genoteerde ondernemingen, waartoe onder meer het opnemen van een In control Statement behoort. Vanuit de service provider kan hiervoor input worden geleverd met een SAS70 rapport. Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT risico's. Waar relevant of noodzakelijk zal de instelling de eigen controls, die deze aspecten borgen, willen terugvinden in het SAS70 rapport van de service provider. De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert Bij uitbesteding vindt er informatie uitwisseling plaats tussen de gebruikers organisatie en de service provider. De beheersmaatregelen die de gebruikers organisatie heeft, beïnvloeden de assurance vraag aan de service provider. Wanneer de gebruikers organisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk is aan de aan de service provider verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke totaalcontroles niet (kunnen) worden uitgevoerd. Risico-analyse conform de eigen audit risico-analyse methodiek De internal auditor beschikt veelal over een auditplanning gebaseerd op een risico-analyse. De inhoud van de risico-analyse kan goed worden benut als input voor de te bepalen informatiebehoefte omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico's en controls van de processen. 18

19 SAS70 binnenwerk :04 Pagina 19 Studio Mac_1 Wanneer op basis van interne inventarisatie de gewenste inhoud helder is moet worden gewaarborgd dat de controls waarover assurance wordt gewenst, overeenkomen met de controls van het SAS70 rapport dat de service provider gaat opleveren. Ter voorkoming van een mis-match achteraf, is het van het grootste belang dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzakelijke controle-informatie) tussen de betrokken partijen. Dit betekent dat: - Een overleg plaatsvindt tussen gebruikers organisatie, service provider, de betrokken externe accountants aan beide kanten en de betrokken internal auditors. - Voor alle partijen vastgelegd wordt wat er in het SAS70 rapport moet staan: welke processen (scope), welke beheersdoelstellingen en mogelijks zelfs welke beheersmaatregelen. Indien de service provider al de beschikking heeft over één of meerdere SAS70 rapporten zal de internal auditor, mogelijk in samenwerking met de externe accountant, de inhoud van het bestaande rapport toetsen aan de assurance behoefte. Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helder te hebben voor welke aspecten assurance verkregen moet worden Tijdens (SAS70 rapport ontvangen) Internal auditors voeren in de praktijk vaak een toetsing uit op het SAS70-rapport. Deze toetsing richt zich op de vraag of het SAS70-rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde: Toetsing op nakoming afspraken Komen de scope, de periode en de controls overeen met de control objectives en de gemaakte afspraken? Is het type rapport (type I, type II) conform afspraken? Wanneer verschillen bestaan met de gemaakte afspraken, dient hiervoor overleg plaats te vinden, zie paragraaf Ex-post. Inhoudelijke toetsing De inhoudelijke toetsing van het ontvangen SAS70 rapport moet leiden tot een antwoord op de vraag of de risico's bezien vanuit de gebruikers organisatie zijn afgedekt. In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen assurance. Bijvoorbeeld ten aanzien van: De periode die het SAS70 rapport afdekt De periode (werking) van het SAS70 rapport (type II) sluit niet aan op de gevraagde periode. De oplossing kan gevonden worden door het vragen om additionele zekerheid over de ontbrekende periode aan de service provider, welke bijvoorbeeld verkregen kan worden middels additionele gegevensgerichte werkzaamheden van de externe accountant of internal auditor (daarom strekt het tot de aanbeveling een "right to audit" clausule op te nemen) of een managementverklaring over de ontbrekende periode. 19

20 SAS70 binnenwerk :04 Pagina 20 Studio Mac_1 De strekking van de accountantsmededeling in het ontvangen SAS70 rapport De door de accountant geconstateerde afwijkingen kunnen op twee manieren terugkomen in het SAS70 rapport: Afwijkingen die het (positieve) oordeel niet beïnvloeden, de accountant volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden. Afwijkingen die het oordeel beïnvloeden. Dit wordt opgenomen in de accountantsmededeling. Voor de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het beheersingsraamwerk van de gebruikers organisatie. Dit zal zowel de externe accountant als de interne auditor van de gebruikers organisatie doen. Onderdeel van de impact analyse zijn ook de beheersingsmaatregelen van de gebruikers organisatie, mogelijk hebben bepaalde beheersingsmaatregelen bij de gebruikers organisatie een mitigerend effect op tekortkomingen bij de service provider. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaamheden en/of een management verklaring Ex-post (na ontvangst SAS70 rapport) De analyse van het ontvangen SAS70 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte afdekt. Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeengekomen dan moet door de gebruikers organisatie worden aangedrongen op naleving van het contract. Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, SLA) moeten worden overeengekomen. Het ontvangen SAS70 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken. 20

21 SAS70 binnenwerk :04 Pagina 21 Studio Mac_1 3.3 Praktisch vraagstuk Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie Een SAS70 rapport kan aanleiding zijn voor de gebruikers organisatie om (nog eens) kritisch te kijken naar het internal control framework van de organisatie: zijn definities van processen en beheersingmaatregelen helder en staan de belangrijkste beheersmaatregelen (ook wel key controls genoemd) vast? Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die uitbesteed worden aan de service provider en dientengevolge in de SAS70-rapportage moeten worden opgenomen. Ook wanneer meerdere processen aan mogelijk verschillende service providers worden uitbesteed levert een helder raamwerk voordelen op: aan de hand van het raamwerk kan worden vastgesteld welke assurance bij welke service provider moet worden neergelegd en kan worden bepaald of en in hoeverre de verschillende assurance rapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico's) van gebruikers organisatie en service providers is afgedekt. Duidelijk moge zijn dat hier een mooie rol voor de internal auditor is weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of beoordelende rol vervullen. 21

22 SAS70 binnenwerk :04 Pagina 22 Studio Mac_1 22

23 SAS70 binnenwerk :04 Pagina 23 Studio Mac_1 Hoofdstuk 4 SAS70 bij de service provider: rollen van de internal auditor 23

24 SAS70 binnenwerk :04 Pagina 24 Studio Mac_1 4.1 Inleiding Dit hoofdstuk behandelt de rollen die de internal auditor van de service provider kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/baten overwegingen en/of het gekozen samenwerkingsmodel tussen interne- en externe accountant. 4.2 Rollen internal auditor van de service provider Het SAS70 rapport van de service provider wordt van een accountantsmededeling voorzien door de externe accountant. Dit sluit niet uit dat er een aantal belangrijke taken zijn weg gelegd voor de internal auditor. De internal auditor van de service provider beschikt over een aantal eigenschappen welke hem bij uitstek geschikt maken voor het adviseren van het management in een SAS70 traject: - Kennis van de organisatie van de service provider: zowel intern (beheersings raamwerk) als extern: het speelveld waarin de service provider opereert (eisen van stakeholders zoals klanten, toezichthouder(s) en externe accountant). - Vaktechnische kennis: kennis van het assurance raamwerk: de verschillende mogelijkheden die de service provider kan benutten om te voldoen aan de informatiebehoefte van stakeholders. Door de (on)mogelijkheden van SAS70 goed te kennen, kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt invullen van assurance behoeften van externe partijen Ex-ante (voorafgaand aan het SAS70 rapport) Advisering management over nut SAS70 De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving en ontwikkelingen in de markt (transparantie, (cross-border) outsourcing, toenemende complexiteit producten en beheersomgeving) de vraag naar assurance van gebruikers organisatie(s) toeneemt. Een ander, concreter, argument is die van efficiency in verantwoording. Wanneer de service provider contracten heeft met meerdere gebruikers organisaties waarin een "right to audit" clausule is opgenomen, is de service provider verplicht (meerdere) andere auditors toe te laten. In dat geval is het efficiënter om met een (SAS70) rapport meerdere gebruikers organisatie(s) tevreden te stellen. Overigens kan het extern aantonen dat de onderneming in control is, een concurrentievoordeel zijn: potentiële nieuwe klanten kunnen met een SAS70 rapport overtuigd worden van de kwaliteit van risicobeheersing van de service provider. 24

25 SAS70 binnenwerk :04 Pagina 25 Studio Mac_ Advisering management over inhoud SAS70 Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze adviseren wat in het SAS70 rapport moet staan. Vaststelling van scope (proces), control objectives en controls Tot de scope van het SAS70 rapport moet minimaal behoren de door de gebruikers organisatie uitbestede processen. Aanknopingspunten voor de exacte inhoud (scope, beheersdoelstellingen en beheersmaatregelen) zijn: - Overleg met de gebruikers organisatie. Bij de start van een SAS70 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikers organisatie en die van de service provider; en - De gemaakte afspraken tussen de gebruikers organisatie en de service provider, in het algemeen vastgelegd in service level agreements. Wanneer sprake is van veel gebruikers organisaties en het eerste punt niet haalbaar is, is het een optie om uitsluitend uit te gaan van de deze afspraken. - Wet- en regelgeving kan ook input leveren voor de inhoud van het rapport: welke beheersdoelstellingen moeten minimaal worden gerealiseerd vanuit deze regels. Het SAS70 rapport bevat ten eerste de beschrijving van de service organisatie. Hier wordt aan de hand van de COSO componenten Control Environment, Risk Assessment, Information en Communication en Monitoring de organisatie beschreven. Deze beschrijving wordt in principe opgesteld door de organisatie, een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO) en deze laat toetsen door de organisatie. Na de beschrijving van de organisatie wordt specifiek beschreven over welke beheersdoelstellingen assurance wordt verstrekt, bijvoorbeeld, integriteit van uitgevoerde processen. De beheersmaatregelen beschrijven vervolgens op detailniveau de werkzaamheden die bij de service provider worden uitgevoerd om de beheersdoelstellingen te realiseren. Generiek of maatwerk Bij voorkeur wordt één generiek SAS70 rapport ontwikkeld: één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen ook maatwerk SAS70 rapporten worden ontwikkeld maar dan dient (onder mee) duidelijkheid te bestaan over wie de kosten draagt (zie Praktische vraagstukken in paragraaf 4.3). Normenkader Zoals eerder gezegd, is SAS70 geen normenkader. SAS70 schrijft voor hoe het rapport moet worden ingedeeld en wat beschreven moet worden, maar stelt geen inhoudelijke eisen aan de beheersdoelstellingen en de beheersmaatregelen. Voor het algemene gedeelte, waarin de organisatie wordt beschreven wordt geadviseerd COSO te volgen. Dit houdt in dat beschreven wordt hoe de Control Environment eruit ziet (inclusief de verschillende COSO elementen) en hoe de componenten Risk Assessment, Information and Communication en Monitoring zijn ingericht. Aan de component Control Activities wordt invulling gegeven met de beschrijving van de beheersmaatregelen. 25

26 SAS70 binnenwerk :04 Pagina 26 Studio Mac_1 Het strekt tot aanbeveling om waar mogelijk voor de beschrijving van de beheersmaatregelen aan te sluiten bij gerenommeerde (internationale) kaders, bijvoorbeeld CobiT voor IT controls. Gebruik hiervan biedt onder meer de volgende voordelen: - De controls kunnen op volledigheid (en juistheid) worden getoetst. CobiT kent bijvoorbeeld een uitgebreide set van beheersdoelstellingen met daaronder de controls die dit ondersteunen; en - Het vergemakkelijkt de afstemming met gebruikers omdat het bekende en veelgebruikte frameworks zijn Advisering management over externe accountant Een SAS70 rapport is geen SAS70 rapport zonder mededeling van een externe accountant. Bij de selectie van de certificerende accountant kan de internal auditor het management van advies dienen. Opties zijn: - De huisaccountant : het voordeel van inzet van de huisaccountant is dat deze de organisatie kent en daarmee efficiënter tot diens mededeling bij het SAS70 rapport kan komen. Bovendien kan de accountant SAS70 audit werkzaamheden combineren met de reguliere audit werkzaamheden waardoor voor de organisatie de totale kosten lager zullen zijn dan de kosten voor de reguliere audit samen met de kosten van de SAS70 audit. - Een andere externe accountant. Het voordeel is een frisse kijk op de organisatie (overigens wel op basis van dezelfde vaktechnische grondslagen als de huisaccountant). Nadeel is meer communicatie en de accountant zal meer tijd nodig hebben om de organisatie te leren kennen. Bij de beoordeling van de in te schakelen externe accountant is een belangrijk aandachtspunt de "SAS70 audit aanpak" (deze is niet universeel) waaronder ook de samenwerking met de internal auditor Tijdens (SAS70 traject) Advisering management over uitvoering SAS70 traject Het vervaardigen van een SAS70 rapport is geen sinecure: de internal auditor kan adviseren over timing, benodigde capaciteit en kosten en fasering van dit traject. Belangrijke aandachtspunten hierbij komen hierna aan de orde: Business case/project Om een SAS70 traject gestructureerd te laten plaatsvinden wordt aanbevolen om volgens een projectplan het traject te doorlopen. In een dergelijk projectplan dient aan de orde te komen: De kosten van het SAS70 traject Deze zijn onder meer afhankelijk van de inhoud van het rapport, het type rapport, de betrokkenheid van eventuele adviseurs en de review werkzaamheden van de externe accountant. Fasering van het traject Bepalend voor het succes van het SAS70 traject is onder meer de volwassenheid van de organisatie en het aantoonbaar uitvoeren van controls. Dit is een heel belangrijk punt: de externe accountant zal immers voor zijn audit werkzaamheden op een moment (type I rapport) of gedurende een periode (type II) moeten kunnen vaststellen dat controls zijn uitgevoerd. 26

27 SAS70 binnenwerk :04 Pagina 27 Studio Mac_1 Een SAS70 traject kent veelal de volgende fasering: 1. Pilotfase Doel is om vast te stellen wat nodig is om te komen tot een SAS70 rapport en betreft: de bepaling van scope, beheers doelstellingen, beheersmaatregelen. analyse van de organisatie: hoe ver is deze met procesbeschrijvingen, heldere definities van beheersmaatregelen en aantoonbaarheid van de uitvoering van deze beheersmaatregelen? 2. Eerste versie SAS70 rapport In deze fase wordt het rapport geschreven (control environment gedeelte, beheersdoelstellingen en de beheersmaatregelen) en worden verbeteringen aangebracht ten aanzien van procesbeschrijvingen en definiëring (aantoonbaarheid van) beheersmaatregelen. 3. Verbeterde versie SAS70 rapport Dit rapport wordt afgestemd met betrokkenen. Alle controls worden onderbouwd met procesdocumentatie (opzet) en van de uitvoering (bestaan, werking). De internal auditor kan hier testwerkzaamheden uitvoeren. Ook is het een optie om de externe accountant een soort pre-audit te laten uitvoeren. Eventueel gebleken leemtes zullen moeten resulteren in een SMART actieplan. 4. SAS70 audit: de audit door de externe accountant Inhoudelijk zijn er ten aanzien van de fasering verschillende varianten, gekozen kan worden voor een groeitraject waarbij wordt gekozen voor een start met een beperkte scope en het nadien uitbreiden ervan. Deze overweging zal door betroken partijen bij de scopebepaling moeten worden gemaakt. Begonnen wordt met een type I rapportage, dat focust op opzet en bestaan. Deze wordt in principe gevolgd door een type II rapport. Uitvoering en verantwoordelijkheid voor het SAS70 traject De internal auditor is vaak intensief betrokken bij de totstandkoming van het SAS70 rapport. Dit kan, maar opgepast moet worden voor de volgende twee valkuilen: - Het management kan de verantwoordelijkheid voor de inhoud minder voelen, zeker wanneer de internal auditor de communicatie met de externe accountant volledig voor eigen rekening neemt; en - De internal auditor moet zijn eigen vaktechnische afwegingen maken: wanneer hij nauw betrokken is bij de totstandkoming van het rapport, zal hij moeten nagaan of hij auditwerkzaamheden (voorbereidend voor externe accountant) kan uitvoeren op dezelfde controls. Onafhankelijk van de gekozen rol is het in alle gevallen van belang dat de internal auditor het management wijst op het feit dat zij uiteindelijk verantwoordelijk is voor de inhoud van het SAS70 rapport. 27

28 SAS70 binnenwerk :04 Pagina 28 Studio Mac_ SAS70 audit werkzaamheden internal auditor Het SAS70 rapport wordt voorzien van een mededeling van de externe accountant. Om de kosten te beperken van de externe controle kunnen veel audit-werkzaamheden worden uitgevoerd door de internal auditor. Bovendien kent de internal auditor de organisatie doorgaans meer in detail. Werkverdeling internal auditor en externe accountant Wanneer de externe accountant steunt op de audit werkzaamheden van de internal auditor moeten: - Afspraken gemaakt worden over de aard en omvang van de te verrichten testwerkzaamheden. Bij het bepalen van de omvang van deze werkzaamheden is de externe accountant bepalend. Deze moet op basis van vaktechnische gronden een risico-analyse uitvoeren ter bepaling van de omvang van de uit te voeren werkzaamheden. - Afspraken gemaakt worden over de wijze van documentatie. Documentatie van door de internal auditor uitgevoerde testwerkzaamheden moet goed toegankelijk zijn voor de externe accountant. De externe accountant is overigens verplicht gehouden eigen waarnemingen uit te voeren. Hier kan de internal auditor in overleg een faciliterende rol spelen in de zin van coördinatie en ondersteuning bij communicatie tussen externe accountant en lijnorganisatie. Voor de externe accountant is met betrekking tot de samenwerking met de internal auditor COS 402 bepalend. Op basis van deze richtlijn beoordeelt de externe accountant onder andere de positie en de kwaliteit van de internal audit dienst en dient hij tot een positieve beoordeling te komen alvorens hij mag steunen op werkzaamheden verricht door internal audit. Integratie SAS70 auditwerkzaamheden in de auditplanning van internal audit De internal auditor voert reguliere audits uit binnen de organisatie van de service provider. Om doublures in werkzaamheden te voorkomen, brengt SAS70 een planningsuitdaging met zich mee: het zodanig integreren van SAS70 audit werkzaamheden in de reguliere audit werkzaamheden dat de organisatie zo min mogelijk wordt belast en audit capaciteit zo efficiënt mogelijk wordt ingezet Ex-post (na afgifte SAS70 rapport) Advisering management over verbeteringen naar aanleiding van SAS70 Verbetering internal control De SAS audit kan leemtes aan het licht brengen (afhankelijk van de impact beïnvloeden deze wel of niet de strekking van de accountantsmededeling). Deze moeten onder verantwoordelijkheid van het management worden opgelost. Conform de werkwijze van bevindingen uit reguliere audits, kan de internal auditor de implementatie hiervan veelal volgen. 28

29 SAS70 binnenwerk :04 Pagina 29 Studio Mac_1 Integratie interne beheersingsraamwerk Het SAS70 rapport bevat de beheersmaatregelen, die zijn gevolgd uit een top down benadering van processen, omdat de natuurlijke neiging zal zijn het aantal maatregelen (en daarmee audit werk) zo minimaal mogelijk te houden, zijn dit vaak zogenaamde key controls : de belangrijkste beheersmaatregelen waarmee de belangrijkste risico s worden afgedekt. Interessant is, en daar kan de internal auditor een adviserende rol spelen, het interne beheersingsraamwerk zodanig in te richten dat de SAS70 beheersmaatregelen niet on top of" zijn maar onderdeel van het raamwerk Advisering management over onderhoud van SAS70 rapport Nadat het SAS70 rapport gereed is gekomen, begint het onderhoud. De audit, resulterend in de accountantsmededeling zal (minimaal) jaarlijks plaatsvinden. Met betrekking tot het onderhoud heeft de internal auditor de volgende uitdagingen: - Richting management benadrukken dat SAS70 een continu proces is en dat het niet continu (aantoonbaar) uitvoeren van beheersmaatregelen consequenties kan hebben voor de SAS70 rapportage; en - Toetsing van het rapport aan de organisatie. Belangrijke organisatorische veranderingen moeten leiden tot aanpassing van het SAS70 rapport. 4.3 Enkele praktische vraagstukken Onder uitbesteding Wanneer de service provider zelf uitbesteedt, is sprake van onderuitbesteding. Omdat de uitbesteding invloed kan hebben op het SAS70 rapport van de service provider, dient de internal auditor na te gaan of het SAS70 rapport geraakt door de onderuitbesteding, oftewel, maakt het uitbestede proces onderdeel uit van de scope, beheersdoelstellingen en de beheersmaatregelen? Bij positieve beantwoording van deze vraag, verandert voor het onder uitbestede gedeelte, de service provider in een gebruikers organisatie en geldt voor de internal auditors wat in hoofdstuk 3 is opgenomen. Er zijn twee methoden om onder uitbesteding te verwerken. De keuze voor verwerking hangt af van de impact van de uitbestede activiteiten op de SAS70 van de service provider: Impact is materieel: in dit geval verandert de SAS70 van de service provider inhoudelijk niet maar de werkzaamheden wel degelijk: van elke opgenomen beheersmaatregel zal bij de service provider (die de onder uitbestede services voor zijn rekening neemt) een zelfde mate van zekerheid moeten worden gevraagd. Zodat de beheersmaatregelen in de SAS70 van de service provider kunnen worden opgenomen. Voor de buitenwereld zal in dit geval niet direct zichtbaar zijn dat er verschillende organisaties zijn die de beheersmaatregelen uitvoeren. Impact is niet materieel: in dit geval is het een optie het onder uitbestede gedeelte buiten de scope van het SAS70 rapport te laten. 29

30 SAS70 binnenwerk :04 Pagina 30 Studio Mac_ Generiek of maatwerk? Er zijn ten aanzien van SAS70 rapporten twee smaken: de service provider kan een generiek rapport ontwikkelen of kiezen voor maatwerk SAS70 rapporten. Hierbij dient in acht genomen te worden dat de ontwikkeling van een SAS70 rapport een complex proces is waardoor het aanbeveling verdient eenvoudig te beginnen. Een generiek rapport is een SAS70 rapport dat aan verschillende klanten verstrekt kan worden. Dit heeft een groot efficiency voordeel. Echter de mogelijkheid bestaat dat gebruikers organisaties hier geen genoegen mee nemen omdat zij specifiek ten aanzien van de aan hen geleverde diensten assurance wensen. Dit kan in de vorm van een maatwerk SAS70 rapport, voor de gebruiker sluit deze veelal beter aan op de assurancebehoefte, voor de service provider betekent dit echter een toename in rapporten en daarmee samenhangende kosten (kosten discussie met gebruiker). Ook hier blijkt het belang van een helder gedefinieerd beheersraamwerk bij de service provider. Wanneer beheersmaatregelen immers helder en eenduidig zijn gedefinieerd - wat dan overigens wel moet gelden voor zowel generieke controls als eventuele klantspecifieke controls - dan heeft de service provider in principe de mogelijkheid om zowel generieke als maatwerk SAS70 rapporten te leveren of om verschillende maatwerkonderdelen te combineren. 30

31 SAS70 binnenwerk :04 Pagina 31 Studio Mac_1 Bijlage 1 SAS70 vergeleken 31

32 SAS70 binnenwerk :04 Pagina 32 Studio Mac_1 Uitgevende instantie Kenmerk Wie verstrekt een mededeling SAS 70 American Institute of Certified Public Accountants (AICPA) Accountantskantoor Gebruikersgroep - Management - Externe accountant Product Service Rapport met accountantsverklaring (type I) en toelichting van werkzaamheden (type II) Periode Format Normatief kader Type I: momentopname Type II: ten minste 6 maanden SAS70 richtlijn Op te stellen door organisatie, veelal structuur volgens COSO en COBIT framework. Biedt het zekerheid m.b.t. tot de opzet en werking t.b.v. accountants van gebruikers organisaties? Onderscheid financiële en operationele werkingsgebieden Type I: nee (allen opzet), Type II: ja Alle activiteiten van de service provider relevant voor de gebruikers organisatie. Zijn de resultaten van de werkzaamheden herkenbaar in het product/rapport? Ja 32

33 SAS70 binnenwerk :04 Pagina 33 Studio Mac_1 TPM ISO Niet specifiek International Standards Organisation Onafhankelijke, onpartijdige deskundige auditor - Opdrachtgever - Eén bekende gebruiker of beperkte kring van bekende gebruikers - Maatschappelijk verkeer Afhankelijk van opdracht: Assurance opdracht - Assurance rapport met redelijke mate van zekerheid - Assurance rapport met beperkte mate van zekerheid Opdracht specifiek overeengekomen werkzaamheden - Rapport van feitelijke bevindingen (geen zekerheid) Vrij Elk bedrijf dat mag ISO certificeren Management Certificaat 1 jaar Beroepsgebonden regels Geen standaard normenkader. Veelal gebaseerd op Good practice' standaarden. (Code voor informatie beveiliging, ITIL, Cobit) Rapport van bevindingen: nee Assurance rapport inzake beoordeling opzet, bestaan en werking : ja Vormvrije best practice benaderingen Ja (veelal negatief geformuleerd) ISO gebonden Betreffende ISO richtlijn Nee Kwaliteit van het managementproces (operational risk management) -> you do what you say you do. Nee 33

34 SAS70 binnenwerk :04 Pagina 34 Studio Mac_1 34

35 SAS70 binnenwerk :04 Pagina 35 Studio Mac_1 35

36 SAS70 binnenwerk :04 Pagina 36 Studio Mac_1 36