Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

Transcriptie

1 Scriptievoorstel v0.3 Het effect van organisatiecultuur op de IT-auditaanpak Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties Dennis Buitendijk ( ), Maarten van Gerner ( ) - Scriptienummer 1040

2

3 Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties Scriptienummer: 1040 Versie 1.0 (31 maart 2011) Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) Postgraduate opleiding IT audit De Boelelaan HV Amsterdam Auteurs: D. Buitendijk ( ) M. van Gerner ( ) Begeleider Vrije Universiteit: A. Shahim Bedrijfsbegeleider: J. Winterink

4

5 Contactgegevens Dennis Buitendijk Dennis Buitendijk is sinds april 2010 werkzaam op de Internal Audit Dienst van Univé-VGZ- IZA-TRIAS (UVIT). Hiervoor is hij ruim twee en een half jaar bij Ernst & Young IT Risk and A s s u r a n c e w e r k z a a m geweest, waar hij voornamelijk betrokken is geweest bij IT audits ten behoeve van de jaarrekeningcontrole van diverse multinationals en MKB bedrijven binnen en buiten de financiële dienstverlening. Bij UVIT is Dennis betrokken bij diverse audits die de IAD uitvoert. Zijn voornaamste werkzaamheden zijn het toetsen van IT General Controls binnen de verschillende bedrijfsonderdelen en de daarbij behorende applicaties binnen UVIT. Daarnaast is hij Maarten van Gerner Maarten van Gerner is sinds 2007 werkzaam bij IT Risk and Assurance van Ernst & Young te Amsterdam. Voor Ernst & Young voert Maarten werkzaamheden uit bij organisaties die buiten de financiële diensten sector vallen (o.a. automotive en consumer products). Het grootste deel van de werkzaamheden zijn het toetsen van de IT General Controls en de applicatieve controles binnen Oracle (Oracle E- Business Suite) en AS/400. Daarnaast is Maarten betrokken geweest bij enkele SAS 70 IT audits en het opstellen van de SAS 70 rapportages. betrokken bij diverse operational audits. Contactgegevens Dennis: Mail: dbuitendijk@gmail.com Telefoon: Contactgegevens Maarten: Mail: maarten@van-gerner.nl Telefoon: Begeleiding Vanuit de VU zijn wij begeleid door Abbas Shahim. Daarnaast hebben wij Joop Winterink (Univé-VGZ-IZA- TRIAS) bereid gevonden ons te begeleiden tijdens het scriptieproces. Dr. A. (Abbas) Shahim RE: Mail: abbas.shahim@atosorigin.com Telefoon: Dhr. J. (Joop) Winterink RE RA: Mail: joop.winterink@vgziza.nl Telefoon:

6 Voorwoord De scriptie die voor u ligt dient ter afsluiting van de postgraduate IT audit opleiding aan de Vrije Universiteit Amsterdam. Tijdens deze scriptie hebben wij een onderzoek uitgevoerd naar de toegevoegde waarde van Third Party Audits voor de bedrijfsdoelstellingen van gebruikersorganisaties en serviceorganisaties. De verschillende achtergronden van de auteurs, zowel interne als externe auditor, is bij het bepalen van het onderwerp voor deze scriptie nuttig gebleken. Zo zijn wij gekomen tot dit onderwerp dat vanuit beide perspectieven de moeite van het onderzoeken waard is gebleken. Het bestuderen van de theorie en het uitvoeren van ons praktijkonderzoek heeft onze kennis en inzichten ten aanzien van het fenomeen Third Party Audits vergroot. Het realiseren van deze scriptie was zonder de volgende personen niet mogelijk geweest. Daarom willen wij hierbij onze dank uitspreken aan de volgende personen: Joop Winterink en Abbas Shahim, voor de begeleiding, sturing en motiverende rol gedurende de totstandkoming van deze scriptie; Alle personen die wij hebben gesproken tijdens onze interviews, voor hun tijd en medewerking. Het heeft ons inzicht gegeven hoe er door verschillende partijen tegen Third Party Audit wordt aangegeven; En niet in de laatste plaats Linh en Susanne voor hun steun tijdens het scriptieproces. Almere, 31 maart 2011 Dennis Buitendijk Maarten van Gerner Dennis Buitendijk & Maarten van Gerner

7 Inhoudsopgave 1. Inleiding Aanleiding Probleemstelling Doelstelling Scope Leeswijzer 4 2. Theoretisch kader Wat is Third Party Audit? SAS ISAE Overeenkomsten- / Verschillenanalyse standaarden Conclusie theoretisch kader Praktijkonderzoek Onderzoeksopzet Resultaten Conclusie praktijkonderzoek Conclusie Conclusie Reflectie Vervolgonderzoek Slotwoord 37 Bijlage 1: Literatuur 39 Bijlage 2: Woordenlijst 41 Dennis Buitendijk en Maarten van Gerner

8 Dennis Buitendijk en Maarten van Gerner

9 Inleiding 1. Inleiding Het document dat voor u ligt is onze scriptie welke dient als sluitstuk van de Postgraduate IT Audit opleiding die wij hebben gevolgd aan de Vrije Universiteit te Amsterdam. In dit eerste hoofdstuk zullen wij de context van het afstudeeronderzoek verduidelijken. Hierin beschrijven wij de aanleiding (paragraaf 1.1), probleemstelling (paragraaf 1.2) doelstelling (paragraaf 1.3) en scope (paragraaf 1.4). Daarnaast bevat dit hoofdstuk een leeswijzer voor de rest van deze scriptie. 1.1 Aanleiding De recente financiële crisis en de daaraan voorafgaande boekhoudschandalen hebben ertoe geleid dat er meer aandacht is voor een aantoonbare beheersing van de processen binnen de organisaties. Bij veel bedrijven zijn deze bedrijfsprocessen in toenemende mate complex van aard, met onder andere IT diensten die zijn uitbesteed aan een of meerdere (externe) serviceorganisaties. Hierbij zijn bedrijven voor de aantoonbaarheid van de procesbeheersing afhankelijk van de eisen die gesteld zijn aan de serviceorganisatie. Deze aantoonbaarheid kan worden bereikt door als gebruikersorganisatie auditors de opdracht te geven om specifieke beheersmaatregelen bij de externe serviceorganisatie te laten toetsen. Dit kan bij een veelvoud aan klanten van de serviceorganisatie leiden tot een stormloop aan auditors. Een alternatief hiervoor is om als serviceorganisatie een zogenaamde Third Party Audit (TPA) uit te laten voeren. Hierbij levert een onafhankelijke auditor door middel van een verklaring uitsluitsel over de opzet, bestaan, en in sommige (specifieke) gevallen ook de werking van de beheersmaatregelen die bij de serviceorganisatie in operatie zijn en als relevant voor de procesbeheersing worden geacht. Met een TPA rapport is het de bedoeling van de serviceorganisatie om aan de eigen klanten (dat wil zeggen de gebruikersorganisaties) aan te tonen dat de de beheersorganisatie conform bepaalde afspraken ingericht is (in geval van een type I rapport), en dat de maatregelen in de beheersomgeving over een bepaalde periode van tijd conform de gemaakte afspraken gewerkt hebben (in geval van een type II rapport). De werkelijkheid laat echter ook een beeld zien waarin TPA rapporten buiten de oorspronkelijke context gebruikt worden en bijvoorbeeld als marketinginstrument richting nieuwe klanten gebruikt worden (Heiser en Caldwell, 2010). Een tot nu veel voorkomende manier van een TPA is om dit uit te voeren aan de hand van de Statement on Auditing Standards No. 70 (SAS 70) audit. Hierin wordt vastgesteld in welke mate de serviceorganisatie de, op basis van een risicoanalyse opgestelde, beheersmaatregelen naleeft. Een dergelijke audit wordt veelal door een onafhankelijke externe auditorganisatie uitgevoerd. Dennis Buitendijk en Maarten van Gerner 1

10 Inleiding 1.2 Probleemstelling Een inherent feit van een TPA rapport is dat het altijd 'after the fact' is en de serviceorganisatie in de basis zelf een risicoanalyse uitvoert. Op basis hiervan worden de beheersmaatregelen bepaald, die vervolgens door de externe auditor getoetst worden. Het is dan aan de gebruikersorganisatie om deze rapporten te interpreteren en te bepalen of zij de beheersing voldoende vindt om haar assurancebehoefte af te dekken. Dit is ook het geval met de nieuwe standaarden die op termijn SAS 70 gaan vervangen, te weten de internationale International Standard on Assurance Engagements 3402 (ISAE 3402) en de Amerikaanse standaard Statement on Standards for Attestation Engagements 16' (SSAE 16). De verklaringen zijn van toepassing op de situatie in het verleden, maar daarbij wordt geen assurance gegeven voor de correcte werking in de toekomst; terwijl dit juist voor bedrijven relevant is als stuurinformatie. De vraag werpt zich op of dergelijke rapportages daadwerkelijk zijn wat de gebruikersorganisaties gaat helpen bij het bieden van een adequate dienstverlening aan hun klanten in de toekomst, of dat men daar andere hulpmiddelen bij kan gebruiken. Daarnaast is af te vragen of de TPA rapportages conform de oorspronkelijke bedoeling en voorgeschreven gebruik worden ingezet door de serviceorganisatie. Wat is de invloed van de rapportagestandaarden op de verhouding gebruikersorganisatie - serviceorganisatie - externe auditor? En welke rol speelt de interne auditor in dit proces? Hoe kunnen deze verhoudingen zich in de toekomst ontwikkelen op het gebied van samenwerking tussen interne en externe auditors? Om antwoord te geven op deze vragen is de volgende hoofdvraag opgesteld: Hoofdvraag De hoofdvraag van deze scriptie luidt: Wat zijn de sociale en de vaktechnische aspecten aan Third Party Audits die bijdragen aan het behalen van de doelstellingen van de gebruikersorganisaties en serviceorganisaties en hoe kunnen deze zich in de toekomst ontwikkelen? Deze hoofdvraag hebben wij opgesplitst in de volgende deelvragen: Deelvragen 1. Wat is een Third Party Audit en welke standaarden/soorten Third Party Audits zijn er onder andere beschikbaar? (Theorie) 2. Wat zijn de overeenkomsten en verschillen tussen deze standaarden? (Theorie) 3. Hoe worden standaarden door gebruikersorganisaties en serviceorganisaties ervaren? (Met name praktijk) 4. Worden deze standaarden juist toegepast in het kader van de gemaakte afspraken tussen gebruikersorganisatie en serviceorganisatie? (Theorie en praktijk) 5. Situatie nu vs. trends en verwachtingen voor de toekomst (mbt Third Party Audit) (Theorie en praktijk) A. Op sociaal gebied; B. Op vaktechnisch gebied; 6. Welke alternatieven bestaan er en hoe toepasbaar zijn deze? (Theorie en praktijk) Dennis Buitendijk en Maarten van Gerner 2

11 Inleiding Onderzoeksopzet Om tot beantwoording van bovenstaande vragen te komen, is ons onderzoek tweedelig opgesteld: (1) een literatuurstudie en (2) een praktijkonderzoek. De literatuurstudie had als doel de kennis over het gekozen onderwerp te vergroten en te komen tot een theoretisch kader waarbinnen ons praktisch onderzoek is uitgevoerd. Het praktijkonderzoek had als doel het toetsen van de resultaten van het literatuuronderzoek door het bevestigen dan wel ontkrachten van de daarin getrokken conclusies. Dit heeft geresulteerd in een concluderend hoofdstuk waarin wij antwoord geven op de deelvragen en hoofdvraag. Daarnaast is op basis van de vastgestelde zaken een aanbeveling gedaan hoe binnen het auditvakgebied invulling kan worden gegeven aan het fenomeen TPA. Deze onderzoeksopzet is schematisch weergegeven in figuur 1. Theoretisch kader Literatuurstudie Third Party Audit Literatuurstudie SAS 70 Literatuurstudie ISAE 3402 Overeenkomsten- / Verschillenanalyse Praktijkonderzoek Conclusie en aanbeveling Onderzoeksopzet Resultaat Discussies met experts Figuur 1 - Onderzoeksopzet Dennis Buitendijk en Maarten van Gerner 3

12 Inleiding 1.3 Doelstelling Middels deze scriptie is inzicht verkregen in de wijze waarop TPA s op dit moment uitgevoerd en gebruikt worden. Met dit inzicht is het doel om aanbevelingen te doen om op een adequatere wijze invulling te geven aan de assurancebehoefte van bedrijven die op dit moment vooral door TPA s worden ingevuld. Daarnaast was de doelstelling dat er binnen het vakgebied een brede discussie ontstaat over de wijze waarop invulling kan worden gegeven aan nieuwe ontwikkelingen op het gebied van TPA en de verhoudingen tussen de betrokken partijen. 1.4 Scope Voor deze scriptie is gekozen om het brede begrip assurance te onderzoeken. Hierbij is de scope niet beperkt gebleven tot bijvoorbeeld enkel jaarrekening- of compliance gerelateerde aspecten. Wel zijn twee soorten TPA standaarden uitgelicht, waarbij de volgende aandachtsgebieden in het bijzonder zijn onderzocht: Algemene kenmerken van de standaard; De componenten waaruit de rapportages van deze standaard zijn opgebouwd; De rol van internal audit bij het opstellen van deze rapportages. Perceptie, gebruik en toepassing van een third party audit Toekomstvisie over third party audits 1.5 Leeswijzer In het volgende hoofdstuk (hoofdstuk 2) zullen wij het theoretisch kader schetsen, waarin wij tevens onze begripsafbakening zullen doen. In hoofdstuk 3 zullen wij ons praktijkonderzoek uiteenzetten. Onze conclusies van beide onderzoeken zullen wij bundelen in hoofdstuk 4. Tot slot volgt er een slotwoord. Dennis Buitendijk en Maarten van Gerner 4

13 Theoretisch kader 2. Theoretisch kader In dit hoofdstuk is het verschijnsel TPA uiteengezet. Daarnaast zijn twee soorten TPA standaarden uitgelicht. Tot slot is een overeenkomsten- en verschillenanalyse gemaakt, welke de inleiding vormt voor ons praktijkonderzoek. 2.1 Wat is Third Party Audit? Om het begrip TPA toe te lichten, is het noodzakelijk om eerst de achtergrond rondom uitbesteding van diensten toe te lichten. Op deze manier wordt het ontstaan van TPA s duidelijk en worden de context en betrokkenen daarvan inzichtelijk. IT Projecten Procesverbeteringen Bedrijfsvoering Beheersingsaspecten Wet- en regelgeving Figuur 2 - Invloeden bedrijfsvoering (Shahim, 2009) Er zijn interne en externe factoren te onderscheiden die binnen een bedrijfsvoering de noodzaak van een IT beheersomgeving vereisen. Shahim (2009) onderscheidt onder andere wet- en regelgeving als voorbeeld van een externe factor en strategic alignment als een interne factor die hieraan ten grondslag kunnen liggen (zie ook figuur 2). Ook IT projecten, met de mogelijkheid tot ontsporen en de invloed die deze kunnen hebben op de bedrijfsvoering, maken dat het voor een bedrijf nodig en soms zelfs verplicht is om aantoonbaar te maken dat IT op een juiste manier bijdraagt aan de organisatiedoelen, om zodoende van toegevoegde waarde te zijn voor de bedrijfsvoering. Het is daarvoor nodig om aantoonbaar te maken dat de IT faciliteiten op een gecontroleerde wijze worden ontworpen, ontwikkeld, geïmplementeerd, gebruikt, geregistreerd en gedocumenteerd, waarbij gebruik wordt gemaakt van de juiste middelen. Hiervoor is voor een bedrijf het inrichten van een IT beheersomgeving van Dennis Buitendijk en Maarten van Gerner 5

14 Theoretisch kader belang, om te kunnen voldoen aan de doelen en eisen die de organisatie stelt en om de mogelijke risico s zoveel mogelijk te mitigeren. Paans (2004) geeft aan dat bedrijven historisch gezien geneigd zijn geweest om de volledige productieketen in eigen beheer te hebben. Het verminderen van afhankelijkheid van anderen is hierbij een drijvende factor gebleken: afhankelijkheid is een risico, men kan anderen niet aansturen zoals men de eigen medewerkers zou aansturen. Volgens Paans (2004) vormden computers hierop geen uitzondering. Een eigen infrastructuur, eigen apparatuur, eigen applicaties en eigen medewerkers voor IT deden hun intrede rond de jaren vijftig. In veel gevallen werd standaard apparatuur en programmatuur aangepast naar de eisen die gesteld werden door specifieke bedrijfsprocessen. Nadat deze trend zich tientallen jaren voortzette, ontstonden er twijfels over de toegevoegde waarde die IT had voor het behalen van de bedrijfsdoelstellingen. Hoewel het duidelijk was welke kosten er gemaakt werden voor IT, waren de baten hiervan niet altijd even inzichtelijk. Een ander groot probleem van de ontstane complexe IT infrastructuren was het niet kunnen volgen van nieuwe ontwikkelingen. De pluriformiteit van de omgevingen heeft geleid tot een situatie waarin het aangebrachte maatwerk voor elke nieuwe versie van standaardcomponenten of updates van programma s aangepast diende te worden, hetgeen leidde tot steeds hogere kosten. Rond de jaren negentig kwam in toenemende mate het besef dat de eisen aan IT nauwelijks uniek waren per bedrijf, maar dat standaard oplossingen ook zouden voldoen, en dat het niet nodig was om IT zelf te bezitten en de bijbehorende specialisten in dienst te hebben. Meer gebruik maken van standaard oplossingen en best practices maakte het onder andere mogelijk om eenvoudigere IT systemen en -organisaties op te zetten en voordeel te halen uit schaalvergroting. Volgens Paans (2004) gebeurde dit op twee manieren: 1. Migreren naar standaard apparatuur, besturingssystemen en informatiesystemen: Door het werken met standaard producten verminderde de inspanningen die nodig waren voor het aanpassen van nieuwe versies aan specifieke wensen. 2. Uitbesteden van IT: (een deel van) de IT wat in eigen beheer is, overdragen aan een gespecialiseerde serviceorganisatie. Deze uitbesteding kan lagere kosten bieden door schaalgrootte, aangezien deze vaak voor meerdere klanten de IT bezitten en beheren. Daarnaast kan er gebruik gemaakt worden van kennis die is opgedaan bij andere klanten van deze serviceorganisatie. Met het uitbesteden van diensten van een gebruikersorganisatie aan een serviceprovider ontstaat er in veel gevallen een afhankelijkheid, waarbij de gebruikersorganisatie als uitbestedende partij afhankelijk is van de kwaliteit van de diensten en producten van de serviceorganisatie. Deze afhankelijkheid is in figuur 3 gevisualiseerd. Dennis Buitendijk en Maarten van Gerner 6

15 Theoretisch kader Gebruikersorganisatie Gebruikersorganisatie: Draagt informatiesystemen en (vitale) informatie over aan serviceorganisatie. Levert IT diensten Hoe kan de gebruikersorganisatie erop vertrouwen dat de serviceorganisatie hier goed mee om gaat? Serviceorganisatie Serviceorganisatie: Heeft beschikking over deze businesstransacties en informatie en kan hier van alles mee doen. Figuur 3 - Relation between business partners (Paans, 2009) Wanneer de serviceorganisatie niet in staat is om de gewenste kwaliteit te leveren kan dat een continuïteitsrisico vormen voor de gebruikersorganisatie, vooral wanneer de uitvoering van de dagelijkse operationele activiteiten van de uitbestedende partij afhankelijk zijn van de uitbestede diensten. Wanneer de serviceorganisatie de gegevensverwerking verzorgt, kan de gebruikersorganisatie in verlegenheid worden gebracht wanneer de gegevens na een calamiteit niet meer beschikbaar zijn, of wanneer de gegevens (on)opzettelijk gemanipuleerd worden. Het is voor de gebruikersorganisatie daarom ook vaak van belang om de kans op het optreden van verstoringen in de dienstverlening zo laag mogelijk te houden. Vaak beperkt zich dit niet tot de kwaliteit van het geleverde product of dienst, maar is dit breder op te vatten als de interne beheersmaatregelen bij de serviceorganisatie. Hier gaat het om maatregelen om afwijkingen te voorkomen, tijdig te signaleren en te herstellen. Kortom: niet alleen het product of de dienst, maar ook het interne beheersingssysteem wordt onderwerp van de kwaliteitseisen (Van Gils, 2004). In de praktijk zullen deze aspecten worden meegewogen in de keuze voor een externe serviceorganisatie. Uiteindelijk zullen deze eisen worden vastgelegd in een contract, en in veel gevallen aangevuld door bijvoorbeeld een Service Level Agreement (SLA) en eventueel daarop aansluitend een Dossier Afspraken en Procedures (DAP) (van Haagen en Meijer, 2007). In de SLA zijn afspraken vastgelegd ten aanzien van aspecten zoals beschikbaarheid, vertrouwelijkheid en integriteit, hoe om wordt gegaan met incidenten en hoe wijzingen worden doorgevoerd en gecommuniceerd. Het doel hierbij is om de eigen betrokkenheid bij beheer en de kosten van IT te minimaliseren, om zich meer te kunnen richten op de eigen bedrijfsprocessen (Paans, 2004). Echter, het vertrouwen zoals vooraf gegund en de afspraken zoals vastgelegd in de SLA zijn geen garantie voor de uitvoering en werking in de praktijk. De gebruikersorganisatie heeft daarnaast veelal te maken met wet- en regelgeving die verantwoording eist. Zo geldt er voor beursgenoteerde organisaties in Nederland de Nederlandse Corporate Governance Code, (ook wel bekend als de Code Tabaksblat) die bijvoorbeeld stelt: Dennis Buitendijk en Maarten van Gerner 7

16 Theoretisch kader "In het jaarverslag verklaart het bestuur dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn en geeft hij een duidelijke onderbouwing hiervan. Het bestuur rapporteert in het jaarverslag over de werking van het interne risicobeheersings- en controlesysteem in het verslagjaar. Het bestuur geeft daarbij tevens aan welke eventuele significante wijzigingen zijn aangebracht, welke eventuele belangrijke verbeteringen zijn gepland en dat één en ander met de auditcommissie en de raad van commissarissen is besproken." Bron: Commissie Corporate Governance, Artikel II.1.4, De Nederlandse corporate governance code, 2003 Er is in de Code Tabaksblat geen verwijzing opgenomen naar de verantwoordelijkheid bij uitbesteding, maar het lijkt onwaarschijnlijk dat het management zich bij problemen kan verschuilen achter tekortkomingen bij de serviceorganisatie indien geen aanvullende eisen en verantwoording zijn geëist (Van Gils, 2004). Een aantal bedrijven in Nederland heeft te maken met de Amerikaanse Sarbanes Oxley (SOx) wetgeving. Deze is onder andere van toepassing op bedrijven die aan de Amerikaanse beurs genoteerd zijn, maar geldt ook voor dochterbedrijven ongeacht de geografische locatie. Volgens SOx dienen middels een mededeling de Chief Executive Officer (CEO) en Chief Financial Officer (CFO) te verklaren dat zij de (financiële) bedrijfsrisico s hebben geanalyseerd en dat de organisatie voldoende beheersmaatregelen heeft getroffen. Van Gils (2004) omschrijft dat diensten die zijn uitbesteed zijn op te vatten als onderdeel van het informatiesysteem van de uitbestedende partij (figuur 4). De gebruikersorganisatie dient dan aan de beheersmaatregelen bij de serviceorganisatie dezelfde eisen te stellen als dat ze zou stellen wanneer de informatiesystemen in eigen beheer zouden zijn. Onder deze eisen zijn ook het verkrijgen van zekerheid over opzet, bestaan en werking van de relevante beheersmaatregelen bij de serviceorganisatie op te vatten. De getrouwheid van de beweringen van het management over de effectiviteit van de interne beheersingsmaatregelen is in SOx 404 vastgelegd als een taak (attestfunctie) van de auditor (Nieuw Amerongen en de Jager, 2005). Dennis Buitendijk en Maarten van Gerner 8

17 Theoretisch kader Oude situatie: Verantwoordelijkheid beheersmaatregelen duidelijk gescheiden Uitbestedende organisatie Serviceorganisatie Nieuwe situatie: gedeeld Management van uitbestedende organisatie dient dirigerend en controlerend op te treden ten aanzien van de beheersmaatregelen bij de service provider Figuur 4: Verandering van managementverantwoordelijkheid van de uitbestedende partij voor de beheersingsprocessen bij de service provider. Bron: Van Gils (in Shahim, 2004) De externe auditor die in dit kader zijn controle komt uitvoeren wil ook weten in hoeverre er bij controlewerkzaamheden gesteund kan worden op de gegevens uit de (uitbestede) geautomatiseerde gegevensverwerking. Zoals beschreven in de inleiding, kan dit voor de service provider betekenen dat zijn klanten ieder een eigen auditor naar de externe serviceorganisatie sturen. Deze auditor toetst daar specifieke beheersmaatregelen die voor de klant relevant zijn. Dit kan bij een veelvoud aan klanten van de serviceorganisatie leiden tot een stormloop aan auditors. Een alternatief hiervoor is om als serviceorganisatie een zogenaamde Third Party Audit' uit te laten voeren. Hierbij levert een onafhankelijke auditor door middel van een verklaring uitsluitsel over de opzet, bestaan, en in sommige (specifieke) gevallen ook de werking van de beheersmaatregelen die bij de serviceorganisatie in operatie zijn en als belangrijk worden geacht. De bij een TPA betrokken partijen en hun onderlinge relatie zijn in volgend schema (figuur 5) gevisualiseerd. Dennis Buitendijk en Maarten van Gerner 9

18 Theoretisch kader Gebruikersorganisatie Audit Externe auditor (b.v ten behoeve van financiële verantwoording) Levert IT diensten Serviceorganisatie Audit TPA Service auditor Figuur 5 - Typical parties to a third party audit (Paans, 2009) De volgende rollen zijn te onderscheiden binnen een TPA: Gebruikersorganisatie: is een entiteit welke IT diensten afneemt bij een serviceorganisatie. Gebruikersauditor: Voert de audit ten behoeve van de jaarrekeningcontrole uit bij de gebruikersorganisatie. Steunt daarbij op het rapport zoals opgesteld door de auditor van de serviceorganisatie. Serviceorganisatie: een entiteit die IT diensten levert aan de gebruikersorganisatie. Deze diensten maken deel uit van de informatiesystemen van de gebruikersorganisatie. Service auditor: Rapporteert over de controlemaatregelen van de serviceorganisatie die mogelijk relevant zijn voor de verantwoording van de interne controle van de gebruikersorganisatie. Met een TPA rapport is het de bedoeling van de serviceorganisatie om aan de eigen klanten aan te tonen dat zij op een bepaald moment in tijd, óf over een bepaalde periode van tijd, conform de gemaakte afspraken gehandeld hebben. Deze afspraken zijn veelal beheersmaatregelen zoals opgesteld door de serviceorganisatie op basis van een risicoinschatting en ervaringen uit het verleden. De gebruikersorganisatie heeft doorgaans weinig tot geen invloed op de beheersmaatregelen in de TPA. Op basis van de opgestelde beheersmaatregelen kunnen normen opgesteld worden. De auditor van de serviceorganisatie zal deze beheersmaatregelen vervolgens toetsen en zijn bevindingen documenteren in de vorm van een TPA rapport. Het rapporteren van een TPA kent verschillende vormen van uitvoering, zoals de veel gebruikte Statement on Auditing Standards No. 70 (SAS 70) of de internationale opvolger: de ISAE 3402 standaard. Gezien het brede gebruik van SAS 70 binnen de praktijk van de IT auditor en de aanstaande vervanging ervan door ISAE 3402 en de verschillen die tussen beide standaarden bestaan zullen wij ons in de uitvoering van het onderzoek richten op SAS 70 en ISAE Bij de analyse van deze twee standaarden zal de nadruk liggen op de achtergrond van de standaard, de opbouw van de rapportage en de rol die een internal auditor kan vervullen in een TPA. In uitbestedingsrelaties wordt tevens met Service Level Agreements (SLA s) gewerkt. In de SLA s zijn afspraken vastgelegd over het overeengekomen niveau van dienstverlening, kwaliteitseisen en prestatie-indicatoren. Afspraken in een SLA zijn doorgaans geen onderdeel van de TPA s, maar worden gerapporteerd doormiddels Dennis Buitendijk en Maarten van Gerner 10

19 Theoretisch kader van Service Level Reports (SLR s). De frequentie van SLR's ligt hoger dan een TPA. De SLR s kunnen door de gebruikersorganisatie gebruikt worden om inzicht te krijgen in welke mate er door de serviceorganisatie wordt voldaan aan de gemaakte afspraken. 2.2 SAS 70 Introductie De van oorsprong Amerikaanse standaard Statement on Auditing Standards no. 70: Service Organizations (SAS 70) 1 is een in 1992 door de Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA) uitgegeven audit standaard. Door middel van een SAS 70 rapport kunnen dienstverlenende organisaties inzicht geven in de manier waarop zij hun interne processen beheersen. Wat de SAS 70 echter niet voorschrijft is een set van voorgedefinieerde normen waaraan door de serviceorganisatie voldaan moet worden (Van der Blij en Chen, 2008). De SAS 70 standaard is na de introductie van de Sarbanes-Oxley (SOx) wet in 2002 in bekendheid en belang toegenomen, doordat in sectie 404 van deze wet een SAS 70 type II wordt voorgeschreven als methode voor een TPA om zekerheid te verlenen over de interne controle bij een service organisatie (Van der Blij en Chen, 2008). Dit toegenomen gebruik van SAS 70 heeft ook buiten SOx plichtige organisaties en buiten de Verenigde Staten bijgedragen aan een bewustwordingsproces omtrent het belang van beheersing van uitbestede processen. Het management van de gebruikersorganisatie is tenslotte verantwoordelijk voor de processen binnen de organisatie, dus ook de processen die uitbesteed zijn. Om inzicht te kunnen verkrijgen in de beheersing van deze processen wordt er door de serviceorganisatie, in overleg met een derde partij zoals de externe auditor, een reeks van beheersdoelstellingen en bijbehorende maatregelen gedefinieerd. Het is relevant om in dit kader rekening te houden met het eerder genoemde feit dat er bij SAS 70 door de standaard geen beheersmaatregelen voorgeschreven worden. Hierdoor zijn SAS 70 rapportages niet zonder meer met elkaar te vergelijken en is het van belang dat de ontvanger van het rapport dit in ogenschouw neemt. Gartner (Caldwell, 2010) omschrijft dit met de volgende metafoor: A SAS 70 assessment is like a camera that can be fitted with different lenses and filters that affect what is portrayed. Buyers should beware that a pretty picture may just mean that a lens was chosen that didn't focus on every risk-relevant item. Properly applied, it is a useful form of assessment with a material impact on Sarbanes-Oxley compliance, as well as on the fair and accurate presentation of financial information for any entity. Bron: Caldwell (2010) 1 SAS 70 bestaat officieel al geruime tijd niet meer, deze is van naam veranderd naar AU 324. In de praktijk wordt echter toch voornamelijk de naam SAS 70 gebruikt. Dennis Buitendijk en Maarten van Gerner 11

20 Theoretisch kader De auditor toetst de opgestelde maatregelen in geval van een type I rapport op opzet en bestaan op een bepaald moment in tijd. In geval van een type II rapport toetst de auditor op opzet, bestaan en werking over een bepaalde periode van tijd. Afwijkingen worden vervolgens door de auditor in de SAS 70 rapportage opgenomen. Het gebruik van een SAS 70 rapport is tweeledig. (1) Doormiddel van het SAS 70 rapport kan de serviceorganisatie zelf een beeld vormen in hoeverre de beheersdoelstellingen behaald worden, en (2) door middel van het SAS 70 rapport kan de serviceorganisatie aan zijn klanten inzicht geven in de manier waarop zij hun interne processen beheersen. Het management van de klant kan vervolgens door kennisname van het SAS 70-rapport zelf vaststellen of de beheersing van de uitbestede processen op een niveau ligt dat voldoet aan de normen (Van Beek en Francken, 2010). In de Verenigde Staten wordt het SAS 70 rapport getekend door een certified public accountant (CPA), of een accountantskantoor dat ingeschreven is bij de AICPA. Er heeft echter een vertaling naar lokale IFAC lidorganisaties plaatsgevonden waardoor, in het geval van Nederland, een Register Accountant een SAS 70 af kan tekenen (Van der Blij en Chen, 2008). Anno 2011 zal in de Verenigde Staten SAS 70 vervangen worden door de Statement on Standards for Attestation Engagements (SSAE) No. 16. Doelstelling van deze nieuwe standaard is gelijk aan de SAS 70 doelstelling, echter: 1. Het management van de serviceorganisatie is verplicht om de externe auditor een geschreven verklaring te geven over de beheersmaatregelen. De zgn. management assertion. 2. De externe auditor dient een eigen onderzoek naar mogelijk bewust door de serviceorganisatie achtergehouden risico's uit te voeren. Opbouw SAS 70-rapport De AICPA heeft voor de SAS 70 standaard twee soorten rapportages omschreven: type I en type II. Het type I rapport beschrijft de beheersmaatregelen op een specifiek moment, waarbij dus enkel een uitspraak wordt gedaan over opzet en bestaan van deze beheersmaatregelen. Met het type II rapport wordt ook een uitspraak gedaan over de werking van de beheersmaatregelen over een bepaalde periode van tijd (minimaal 6 maanden). Hierdoor wordt een redelijke mate van zekerheid gegeven dat de beheersmaatregelen hebben gewerkt in de aangegeven periode. Een SAS 70 rapport is opgebouwd uit een assurancerapport van een externe auditor, een algemene beschrijving van de organisatie (dienstverlening, structuur, relaties met de omgeving), een beschrijving van de COSO- categorieën van interne beheersing op organisatieniveau (control environment, risk assessment, monitoring en information & communication) en een sectie met gedetailleerde beschrijvingen van de beheersmaatregelen, gekoppeld aan interne controledoelstellingen per proces of subproces (Verweij en Keijl, 2008). Deze onderdelen worden door het AICPA in 4 secties omschreven, waarbij voor zowel de type I en type II rapportages een aantal secties al dan niet verplicht zijn. De inhoud van beide typen rapporten worden door de AICPA als volgt beschreven: Dennis Buitendijk en Maarten van Gerner 12

21 Theoretisch kader Sectie Omschrijving Type I Type II 1. Oordeel onafhankelijke auditor. 2. Omschrijving van de controlemaatregelen en procedures. 3. Resultaten van de uitgevoerde testwerkzaamheden. Het oordeel van de onafhankelijke auditor over de opzet, bestaan en/of werking van de beheersmaatregelen. Geeft een beschrijving weer van de controlemaatregelen en procedures bij de serviceorganisatie waarvoor SAS 70 guidance het gebruik van COSO adviseert. Presenteert de resultaten van de uitgevoerde testwerkzaamheden door de onafhankelijke auditor. 4. Overige informatie. In deze sectie wordt de overige informatie opgenomen zoals bijvoorbeeld een managementresponse van de serviceorganisatie. Tabel 1 - SAS 70 Report components (Shahim, 2009) Verplicht Verplicht Optioneel Optioneel Verplicht Verplicht Verplicht Optioneel Gebruik werkzaamheden van de afdeling internal audit bij de serviceorganisatie In een aantal gevallen zal een serviceorganisatie ook beschikken over een interne audit afdeling. Deze onafhankelijke afdeling beoordeelt in welke mate de organisatie erin slaagt om het bedrijfsproces en de daarmee samenhangende risico s te beheersen (IIA, n.d.). Deze onderzoeken worden veelal op verzoek van de raad van bestuur uitgevoerd. Een dergelijke afdeling kan uiteraard ook prima de beheersmaatregelen van de serviceorganisatie toetsen. De resultaten van dit onderzoek kunnen dan door de externe auditor gebruikt worden om tot een oordeel te komen. Echter, in de SAS 70 staat niet omschreven in welke mate er door de externe auditor gebruik gemaakt mag worden van de werkzaamheden van de internal audit afdeling, echter het is mogelijk om op de volgende wijzen gebruik te maken van de internal audit afdeling (Ewals, 2010): 1. Met de zogenaamde direct assistance, waarbij de medewerker van de afdeling Internal Audit wordt ingezet als onderdeel van het auditteam. 2. Gebruik maken van de werkzaamheden van de afdeling internal audit, waardoor de werkzaamheden beperkt kunnen blijven tot het uitvoeren van een review op deze werkzaamheden. Bij het gebruik van de internal audit afdeling dient wel rekening gehouden te worden met onder andere de mate van expertise van de internal auditor en de onafhankelijkheid van de internal auditor zoals vastgelegd in de Code of Ethics, zoals opgesteld door het NIVRA. De SAS 70 standaard schrijft niet voor op welke wijze de externe auditor moet verantwoorden of (en op welke wijze) er gebruik wordt gemaakt van de werkzaamheden van de interne auditor. Dennis Buitendijk en Maarten van Gerner 13

22 Theoretisch kader 2.3 ISAE 3402 Introductie Ondanks het feit dat SAS 70 een van origine Amerikaanse standaard is, heeft deze standaard sinds de introductie wereldwijd een flinke groei doorgemaakt en in veel sectoren bekendheid verworven als de meest gebruikte standaard voor het verkrijgen van redelijke mate van zekerheid over de beheersing van uitbestede processen. In 2011 zal SAS 70 een internationale opvolger krijgen: ISAE Gezien de Amerikaanse oorsprong van de SAS 70 standaard en het bredere internationale gebruik ervan is er behoefte ontstaan naar een internationale standaard. De International Standard on Assurance Engagements (ISAE) 3402 is het resultaat van de wens van het International Auditing and Assurance Standards Board (IAASB) om tot deze wereldwijde standaard te komen. De internationale standaard is in 2009 goedgekeurd en zal per 15 juni 2011 als dé standaard voor rapportage over processen die van belang zijn voor de financiële verantwoording gelden. Het gebruik ervan is verplicht voor perioden van onderzoek waarin de datum 15 juni 2011 is inbegrepen. (Ewals, 2010) De SAS 70 standaard was oorspronkelijk bedoeld voor de verantwoording van financiële processen en dus niet de continuïteit van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen uitvoerder en opdrachtgever en de (vertrouwelijke) omgang met data. Dit was echter ook wenselijk, getuige het veranderende gebruik van SAS 70 waarbij ook niet-financiële processen worden verantwoord. Daarom is bij ISAE 3402 de mogelijkheid ontstaan om de scope te verbreden tot verantwoording op beheersmaatregelen af te leggen die niet direct van invloed zijn óp de financiële verantwoording, maar wel in relatie staan mét de financiële verantwoording. Hierbij kan bijvoorbeeld gedacht worden aan specifieke continuïteitsmaatregelen. "Interne beheersing is een proces dat is opgezet om een redelijke mate van zekerheid te verschaffen betreffende het bereiken van de doelstellingen die verband houden met de betrouwbaarheid van de financiële verslaggeving, de effectiviteit en efficiency van activiteiten en het naleven van toepasselijke wet- en regelgeving. Interne beheersingsmaatregelen met betrekking tot doelstellingen met betrekking tot de activiteiten en het naleven van wet- en regelgeving van een serviceorganisatie kunnen relevant zijn voor de interne beheersing van een gebruikende entiteit in relatie tot de financiële verslaggeving. Dergelijke interne beheersingsmaatregelen maken deel uit van de beweringen betreffende de presentatie en toelichting met betrekking tot saldi, transactiestromen of toelichtingen, of zij maken deel uit van onderbouwende informatie die de gebruikende accountant evalueert of hier gebruik van maakt bij het toepassen van de controlewerkzaamheden. [...] De bepaling of de interne beheersingsmaatregelen bij een serviceorganisatie die verband houden met activiteiten en naleving waarschijnlijk relevant zijn voor de interne beheersing van gebruikende entiteiten in relatie tot de financiële verslaggeving is een aangelegenheid van professionele oordeelsvorming, waarbij de interne beheersingsdoelstellingen die door de serviceorganisatie zijn opgezet en de geschiktheid van de criteria in acht moeten worden genomen." Bron: NOREA, Artikel A1, NOREA Richtlijn 3402, 2010 Dennis Buitendijk en Maarten van Gerner 14

23 Theoretisch kader Een ISAE 3402 rapport dient volgens de IFAC (2009) omschreven standaard door een professionele auditor in een publieke praktijk afgetekend te worden. Hierbij moet deze auditor voldoen aan de "Code of Ethics for Professional Accountants" (ook wel als de IESBA Code aangeduid) welke is opgesteld door de International Ethics Standards Board for Accountants. In de IESBA Code wordt een professionele auditor in een publieke praktijk omschreven als een individu die lid is van de IFAC en daarnaast, ongeacht functie (bijvoorbeeld RE en RA), onderdeel is van een onderneming die professionele diensten levert op het gebied van auditing, zoals een externe auditfirma. De Nederlandse vertaling van de ISAE 3402 standaard, opgesteld door de NOREA in samenwerking met de NIVRA, wordt gesproken over de beroepsbeoefenaar. Hierbij wordt door de NOREA specifiek verwezen naar de IT auditor, mits deze voldoet aan de Code of Ethics, wat inhoudt: De IT-auditor is ingeschreven in het RE-register; De IT-auditor is integer; De IT-auditor is objectief; De IT-auditor is deskundig en zorgvuldig; De IT-auditor gaat vertrouwelijk met de informatie om; De IT-auditor gedraagt zich professioneel. Hiermee wordt dus niet de koppeling met de externe auditfirma gelegd en kan de opdracht ook door een Internal Auditor getekend worden, mits er wordt voldaan aan bovenstaande code of ethics. Er dient dan wel rekening gehouden te worden met de perceptie van de ontvanger van een dergelijke rapportage. "Deze Richtlijn behandelt de assurance-opdrachten die door een beroepsbeoefenaar 1 worden uitgevoerd om voor gebruikende entiteiten en hun accountants een rapportage te verstrekken. Deze rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving. [...] 1 De IT-auditor, zoals gedefinieerd in het Reglement Gedragscode (Code of Ethics). Bron: NOREA, Artikel 1, NOREA Richtlijn 3402, 2010 De verspreidingskring van het ISAE 3402 rapport is beperkt en betreft enkel de gebruikersorganisaties die de diensten bij de serviceorganisatie afnemen en haar externe auditfirma. Dennis Buitendijk en Maarten van Gerner 15

24 Theoretisch kader Opbouw ISAE 3402 rapport Een ISAE 3402 rapport bevat één onderdeel over de beoordeling van drie verschillende aspecten, te weten: Fairness of presentation, Suitability of Design, and Operating Effectiveness (Van Beek en Frankcen, 2010). Fairness of Presentation: Hierbij controleert de auditor of de beschrijving eerlijk ( fair ) is. Geeft de beschrijving duidelijk en helder weer welke onderdelen wel/niet in de scope zijn opgenomen en/of door de gebruiker geïmplementeerd moeten worden? Bevat de beschrijving voldoende mate van detail en accurate informatie om een oordeel te kunnen geven over de beheersingsmaatregelen? Zijn de beheersingsmaatregelen in de beschrijving ook daadwerkelijk geïmplementeerd? Suitability of Design: Hierbij controleert de auditor of de beheersingsmaatregel zodanig ontworpen is, dat de beheersdoelstelling met redelijke mate van zekerheid gehaald kan worden. Ook als een individuele beheersingsmaatregel niet afdoende is, kan de doelstelling nog steeds met een redelijke mate van zekerheid behaald worden door de effectiviteit van de andere beheersingsmaatregelen. Operating Effectiveness: Hierbij controleert de auditor of de beheersingsmaatregel effectief werkt. Door diverse bewijsstukken of door het opnieuw uitvoeren van de beheersingsmaatregel, kan getest worden of de beheersingsmaatregel functioneert zoals beschreven. Daarnaast dient een managementbewering opgenomen te zijn in de rapportage. In dit onderdeel van het rapport wordt door het management van de serviceorganisatie beweerd dat zij 'in control' zijn. Dit impliceert dat de serviceorganisatie op voorhand zelf testwerkzaamheden moet uitvoeren, voorafgaand aan het testwerk van de externe auditor. Dit is echter niet noodzakelijk. Het management kan deze bewering ook tekenen en vervolgens het testwerk overdragen aan de externe auditor die dit vervolgens uitvoert (Van Beek en Frankcen, 2010). Het behoort wel tot de mogelijkheden om zélf het testwerk uit te voeren door de interne audit afdeling van de serviceorganisatie. De externe auditor kan deze documentatie vervolgens gebruiken in zijn werkzaamheden. Deze werkzaamheden kunnen op dat moment mogelijk worden beperkt tot het uitvoeren van een review. Type I en type II De ISAE 3402 standaard onderscheidt type I en type II rapporten 2. Er wordt bij type I een uitspraak gedaan over de opzet en het bestaan van de beheersmaatregelen op een gespecificeerde datum. Bij type II geldt dat er over de gespecificeerde verslagperiode van tijd de werking van de beheersmaatregelen wordt onderzocht (NOREA, 2010). 2 In eerdere exposure draft versies werd nog gesproken over type A en type B. In de uiteindelijke versie wordt gesproken over type I en type II (NOREA, 2010). Dennis Buitendijk en Maarten van Gerner 16

25 Theoretisch kader Gebruik werkzaamheden van de afdeling internal audit bij de serviceorganisatie Er wordt bij de ISAE 3402 standaard niet omschreven in welke mate er gemaakt mag worden gemaakt van de internal audit afdeling van de serviceorganisatie. Tevens wordt er niet gesproken over de direct assistance functie van de internal audit afdeling. De externe auditor heeft wel de mogelijkheid om de nature, timing and extent aan te passen op de door internal audit uitgevoerde werkzaamheden. Van deze werkzaamheden dient door de externe auditor van de serviceorganisatie wél specifieke melding gemaakt te worden (Ewals, 2010). 2.4 Overeenkomsten- / Verschillenanalyse standaarden Na het lezen van bovenstaande paragrafen wordt het wellicht al duidelijk: SAS 70 en ISAE 3402 lijken in grote lijnen hetzelfde. Voor zowel SAS 70 als ISAE 3402 geldt dat er geen normenkader wordt voorgeschreven en de beheersmaatregelen vooral door de serviceorganisatie opgesteld zullen zijn. Hier zal in het geval van ISAE 3402 een risicoanalyse aan ten grondslag liggen, maar dit is in geval van SAS 70 geen verplichting. Het is aan de klant van de serviceorganisatie om het SAS 70 danwel ISAE 3402 rapport te interpreteren en te bepalen of zij van mening zijn dat de beheersing voldoet aan de gemaakte afspraken met de serviceorganisatie. Af te vragen is dus of een klant daadwerkelijk baat heeft bij een TPA rapport als SAS 70 of ISAE 3402 wanneer de beheersdoelstellingen en maatregelen zijn opgesteld door de serviceorganisatie. Dekt dit de assurancebehoefte van de klant, of ontbreken de beheersmaatregelen die door de klant als belangrijk worden gezien? Daarnaast valt af te vragen of een SAS 70 of ISAE 3402 rapportage bijdraagt aan het behalen van de bedrijfsdoelstellingen, of dat deze audits enkel uit het oogpunt van wet- en regelgeving worden uitgevoerd. Beide rapporten zijn "after the fact", waarbij er in het geval van een type I een uitspraak wordt gedaan over de opzet en het bestaan van beheersmaatregelen op een bepaald moment in het verleden. In geval van een type II rapport wordt naast opzet en bestaan ook de werking in het verleden onderzocht. Op deze wijze biedt een dergelijk rapport geen informatie voor de toekomst. Daarbij werpt zich de vraag op in welke mate een opmerking dat er in het verleden geen excepties zijn geïdentificeerd bij, bijvoorbeeld de incidentmanagement procedure, bijdraagt bij het behalen van de doelstellingen van de gebruikersorganisatie. Toch zitten er wel degelijk wezenlijke verschillen in de beide standaarden. Een van de meest in het oog springende veranderingen zit in de reikwijdte van de standaarden. Waarbij de scope van de SAS 70 rapportage zich oorspronkelijk strikt beperkt tot de financiële verantwoording, is bij ISAE 3402 de mogelijkheid ontstaan om de scope te verbreden tot verantwoording op beheersmaatregelen af te leggen die niet direct van invloed zijn óp de financiële verantwoording, maar wel in relatie kunnen staan mét de financiële verantwoording. Hierbij kan bijvoorbeeld gedacht worden aan specifieke continuïteitsmaatregelen. Het management van de serviceorganisatie dient, in het geval van een ISAE 3402 rapportage, een formele bewering af te geven over de beheersing van zijn processen zoals opgenomen in de beheersmaatregelen uit de verklaring. Hier geeft de auditor vervolgens assurance over. Hierdoor ontstaat er direct een wezenlijk verschil met de SAS 70 standaard waarin de externe auditor een verklaring geeft over de opzet, bestaan en (in sommige Dennis Buitendijk en Maarten van Gerner 17

26 gevallen) werking van de beheersmaatregelen. Een managementbewering is als optioneel aangemerkt (zie ook tabel 1). Theoretisch kader Beide standaarden geven de mogelijkheid om gebruik te maken van het werk van internal audit. Het verschil in beide standaarden is de verantwoording hiervan. Waar in de SAS 70 standaard geen uitsluitsel hoeft te worden gegeven over de werkzaamheden die door Internal Audit uitgevoerd zijn en waar de service auditor op steunt, vereist de ISAE 3402 een andere aanpak: Wanneer de service auditor werk van de Internal Auditors gebruikt om (delen) van zijn conclusie op te baseren moeten deze werkzaamheden en de door de service auditor uitgevoerde procedures ten aanzien van die werkzaamheden beschreven worden. In theorie is het met de ISAE 3402 standaard mogelijk om bij de serviceorganisatie de werkzaamheden van de externe auditor te beperken tot het uitvoeren van een review van de door de IA afdeling uitgevoerde werkzaamheden. Tot slot wordt er in de ISAE 3402 standaard een nuance aangebracht in wie de opdracht uit mag voeren en ondertekenen. Waarbij dit voor SAS 70 enkel gold voor een CPA (later heeft er een verplaatsing naar ook RA, etc. plaatsgevonden) van (met name) externe auditfirma's, is dit bij de ISAE 3402 standaard in het midden gelaten en wordt er verwezen naar de beroepsbeoefenaar waarbij gesteld wordt dat dit de IT Auditor is die voldoet aan de code of ethics zoals opgedragen door het NOREA. Hiermee wordt geïmpliceerd dat de internal audit afdeling, mits deze voldoet aan de code of ethics, ook een dergelijke opdracht uit mag voeren en ondertekenen. Onderstaande tabel geeft bovenstaande verschillen tussen SAS 70 en ISAE 3402 weer 3 : Onderwerp SAS 70 ISAE 3402 Wie mag de audit rapportage aftekenen Scope Oordeel / bewering Vermelding gebruik werk Internal Audit afdeling Certified Public Accountant in de Amerikaanse situatie. RA of RE (in het geval van een geautomatiseerd systeem) in Nederland. Gelimiteerd tot beheersmaatregelen in relatie tot de verwerking van financiële transacties. Later ook breder ingezet. De auditor geeft direct een oordeel over het onderzoeksobject. Managementbewering in de vorm van een Letter Of Representation is meestal ook het geval.. Er wordt geen verklaring gegeven omtrent de werkzaamheden die door de internal audit afdeling zijn uitgevoerd. Volgens NOREA (2010): De beroepsbeoefenaar. De IT auditor, zoals gedefinieerd in het Reglement Gedragscode (Code of Ethics). Op basis van professionele oordeelsvorming kan de scope van het ISAE 3402 uitgebreid worden, anders dan de financiële verantwoording. Management van de serviceorganisatie geeft zelf een bewering af. Oordeel van de auditor is hierop een aanvulling. De mate waarin gebruik gemaakt wordt van het werk van de internal audit afdeling dient door de auditor verantwoord te worden. Tabel 2 - Voornaamste verschillen SAS 70 en ISAE Er zijn meer verschillen tussen deze standaarden te benoemen (Gaskin, 2009). Wij beperken ons echter tot de voor deze scriptie relevante verschillen. Dennis Buitendijk en Maarten van Gerner 18