SAS 70: Tekenbevoegdheid voor de IT-Auditor?

Transcriptie

1 SAS 70: Tekenbevoegdheid voor de IT-Auditor? Scriptie Postgraduate IT-Audit Opleiding Vrije Universiteit Amsterdam Jacob van der Blij M.Sc. & Poké Chen M.Sc. April 2008 Bedrijfscoach: Michael van der Meulen RA RE drs. Jeroen van der Vinne RE RO Begeleidend docent: drs. Evert Koning RA RE

2 Inhoudsopgave HOOFDSTUK 1: INLEIDING AANLEIDING PROBLEEMSTELLING ONDERZOEKSOPZET... 5 HOOFDSTUK 2: FORMEEL PERSPECTIEF SAS 70 REGELGEVING IN DE VERENIGDE STATEN Bestaande regelgeving Tekenbevoegdheid SAS 70 REGELGEVING IN NEDERLAND SAS 70 in Nederland Zienswijzen Bestaande regelgeving NIVRA regelgeving NOREA regelgeving CONCLUSIE FORMEEL PERSPECTIEF HOOFDSTUK 3: PRAKTISCH PERSPECTIEF PRAKTIJKCASES Werkzaamheden en betrokkenheid RE/RA Benodigde expertise voor SAS 70 traject ALGEMENE MENING PROFESSIONALS Benodigde deskundigheid Typische rol en werkzaamheden Toekenning van tekenbevoegdheid CONCLUSIE PRAKTISCH PERSPECTIEF HOOFDSTUK 4: CONCLUSIE FORMELE CRITERIA PRAKTISCHE CRITERIA BEANTWOORDING ONDERZOEKSVRAAG HOOFDSTUK 5: REFLECTIE ONTWIKKELINGEN IN DE PRAKTIJK TOEKOMSTIG ONDERZOEK PERSOONLIJKE LEERPUNTEN LITERATUURLIJST...29 BIJLAGE: INTERVIEWVERSLAGEN...30 A-1 INTERVIEWVERSLAG RE/RA PROFESSIONAL I A-2 INTERVIEWVERSLAG RE/RA PROFESSIONAL II A-3 INTERVIEWVERSLAG RE/RA PROFESSIONAL III A-4 INTERVIEWVERSLAG RE/RA PROFESSIONAL IV A-5 INTERVIEWVERSLAG RE/RA PROFESSIONAL V

3 Hoofdstuk 1: Inleiding 1.1 Aanleiding Uitbesteding is een niet te missen trend in vrijwel alle sectoren van de maatschappij. Daarbij gaat het om een veelheid aan processen, variërend van IT en salarisverwerking tot en met processen op het gebied van administratie of logistiek. Als gevolg van de trend rondom het uitbesteden van processen is er steeds meer behoefte aan assurance hierover [6]. Door de introductie van de Sarbanes-Oxley Act, waarin voor het verkrijgen van zekerheid over uitbestede processen specifiek een SAS 70 verklaring wordt voorgeschreven, is de SAS 70 verklaring een bekend en daardoor steeds belangrijker algemeen middel geworden om zekerheid te bieden over de mate waarin de uitvoerder haar systeem van interne beheersing op orde heeft. Uitbesteding ontslaat het management namelijk niet van haar verantwoordelijkheid voor een proces waar zij als management geen directe invloed op heeft. Het management wil grip houden op de beheersing van de uitbestede processen en een SAS 70 rapport helpt hen te voorzien in die behoefte. Het is een middel om inzicht te krijgen in de beheersing van die uitbestede processen. De accountant van de organisatie die processen heeft uitbesteed, heeft dezelfde behoefte. Voor haar controle heeft zij bewijs nodig dat interne beheersmaatregelen met betrekking tot de uitbestede processen op orde zijn [6]. Een SAS 70 rapport is een verklaring over opzet, bestaan en eventueel de werking van de beheersmaatregelen van een service organisatie. Hierbij is een onderscheid te maken tussen een SAS 70 Type I rapport (de beoordeling van opzet en bestaan van de beheersmaatregelen) en een SAS 70 Type II rapport (beoordeling van de opzet, bestaan en werking van de beheersmaatregelen). Deze verklaring wordt afgegeven door een service auditor. SAS 70 staat voor Statement on Auditing Standards No. 70. Officieel bestaat deze standaard echter niet meer. Na een omnummering van de Amerikaanse auditstandaarden heet deze standaard nu officieel AU Section 324. In de praktijk wordt echter vooral SAS 70 als aanduiding gebruikt [6]. Anders dan SOx richt SAS 70 zich niet op het topmanagement en de shareholders, maar op een specifieke doelgroep. Waar SOx betrekking heeft op financial reporting en alle processen die daar invloed op kunnen hebben, kan een SAS 70-rapport worden opgesteld over elk proces of deelproces. Het moet wel een relatie hebben met de jaarrekening van de uitbestedende organisatie (de gebruikersorganisatie) [8]. In de praktijk speelt de IT-auditor vaak een belangrijke en onmisbare rol binnen een SAS 70 traject, daarentegen is de tekenbevoegdheid van de IT-auditor voor een SAS 70 verklaring in Nederland niet formeel geregeld. In de Verenigde Staten is tekenbevoegdheid formeel geregeld voor de Certified Public Accountant (CPA). In Nederland lopen de meningen uiteen of alleen een accountant (RA, equivalent aan de Amerikaanse CPA) of ook een IT-auditor (RE) gerechtigd zou moeten zijn om een SAS 70 verklaring te tekenen. In deze scriptie willen wij beschrijven wat de rol van de IT-auditor is binnen een SAS 70 traject en wat dit zegt over de tekenbevoegdheid van de IT-auditor voor een SAS 70 verklaring in Nederland. Hiermee 3

4 hopen we een inhoudelijke basis te kunnen bieden voor de huidige lopende discussie over de tekenbevoegdheid van de IT-auditor voor een SAS 70 verklaring in Nederland. 1.2 Probleemstelling De doelstelling is om te komen tot een beschrijving van de criteria die ten grondslag kunnen liggen aan een besluit over het toekennen van tekenbevoegdheid voor een SAS 70 verklaring in Nederland aan een IT-auditor. In dit onderzoek worden zowel de formele criteria (wat volgt er uit de regelgeving?) als de praktische criteria (wat is de rol van een IT-auditor in de praktijk en hoe verhoudt deze zich tot zijn deskundigheid?) vastgesteld. Onderzoeksvraag: In welke gevallen en onder welke omstandigheden zou een IT-auditor de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend kunnen worden? Deelvragen: Om een antwoord te geven op de onderzoeksvraag dienen de volgende deelvragen te worden beantwoord. Formele criteria: 1. Wat voor regelgeving is van toepassing in de Verenigde Staten? Wie heeft in de Verenigde Staten tekenbevoegdheid voor een SAS 70 verklaring? 2. Hoe vertaalt deze regelgeving zich naar de Nederlandse situatie? Wat voor regelgeving bestaat er momenteel en/of is in ontwikkeling in Nederland omtrent de tekenbevoegdheid voor een SAS 70 verklaring? 3. Welke mogelijkheden geeft de huidige regelgeving in Nederland voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaring aan de IT-auditor? Praktische criteria: 1. Wat is de rol van een RE versus de rol van een RA binnen een SAS 70 traject? 2. Welke typische RA en RE deskundigheid is vereist binnen een SAS 70 traject? 3. Zijn er verschillende categorieën SAS 70 trajecten te onderkennen waarin de typische deskundigheid van de RE of de RA in meer of mindere mate geboden is? 4. Welke voor de binnen de SAS 70 trajecten vastgestelde vereiste deskundigheid heeft de RE in huis en welke specifieke kennis op dit gebied mist de RE die de RA wel in huis heeft? 4

5 5. Zijn er hieruit categorieën SAS 70 trajecten en/of specifieke SAS 70 deskundigheidseisen voor de RE vast te stellen die het toekennen van tekenbevoegdheid aan de IT-auditor formeel mogelijk maken? 1.3 Onderzoeksopzet Om antwoorden te geven op de deelvragen hebben we een onderzoeksopzet opgesteld. De onderzoeksopzet hebben we onderverdeeld in een formeel en een praktisch perspectief. Formeel perspectief: Door middel van een studie van relevante literatuur, NIVRA-, NOREA- en de AICPA-regelgeving hebben we geïnventariseerd waaruit de huidige regelgeving in de Verenigde Staten en in Nederland bestaat en wat daaruit volgt ten aanzien van de tekenbevoegdheid van een IT-auditor voor een SAS 70 verklaring in Nederland. Praktisch perspectief: Door middel van een analyse van een vijftal SAS 70 praktijkcases en interviews met de bij SAS 70 opdrachten betrokken RE/RA professionals, hebben we geïnventariseerd wat de werkzaamheden en de typische rollen van de IT-auditor en de accountant binnen een SAS 70 traject in de praktijk zijn. Tevens hebben we aan de hand van deze praktijkcases geïnventariseerd welke deskundigheid van de RE en de RA wordt verlangd in de praktijk en of een RE dan wel een RA deze kennis bezit op basis van wat in de opleidingen aangeboden wordt. Een gedetailleerde analyse van het bovenstaande levert een antwoord op de onderzoeksvraag in welke gevallen en onder welke omstandigheden een IT-auditor de formele tekenbevoegdheid voor een SAS 70 verklaring toegekend zou kunnen worden. De hierboven beschreven onderzoeksopzet is hieronder schematisch weergegeven. 5

6 Figuur 1: Schematische onderzoeksopzet 6

7 Hoofdstuk 2: Formeel perspectief Door middel van een studie van relevante literatuur, AICPA, NIVRA en NOREA regelgeving, wordt hier geïnventariseerd waaruit de huidige regelgeving in de Verenigde Staten en in Nederland bestaat en wat daaruit volgt voor de tekenbevoegdheid van een IT-auditor voor een SAS 70 verklaring in Nederland. We schetsen eerst wat voor regelgeving van toepassing is in de Verenigde Staten en wie er in de Verenigde Staten tekenbevoegd is voor een SAS 70 verklaring. Vervolgens onderzoeken we hoe deze regelgeving zich vertaalt naar de Nederlandse situatie. We zien wat voor regelgeving er momenteel bestaat en/of in ontwikkeling is in Nederland omtrent de tekenbevoegdheid voor een SAS 70 verklaring. Hieruit volgen de mogelijkheden die de huidige regelgeving in Nederland geeft voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaring aan de IT-auditor. 2.1 SAS 70 regelgeving in de Verenigde Staten Hier schetsen we de huidige situatie en relevante regelgeving in de Verenigde Staten met betrekking tot SAS 70. Hierbij wordt ingegaan op hoe de tekenbevoegdheid in de Verenigde Staten geregeld is voor Certified Public Accountants (CPA s) Bestaande regelgeving Statement on Auditing Standards No. 70: Service Organizations is een audit standaard die in april 1992 is uitgegeven door de Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA), onder de officiële titel Reports on the Processing of Transactions by Service Organizations. Naar aanleiding van de vele vragen en eisen van de financiële auditors van dienstafnemende klanten en de daardoor hoge besteding van middelen door dienstverlenende organisaties, bracht de AICPA de SAS 70 standaard uit. Op een hieruit resulterende service auditor s rapportage (de SAS 70 verklaring) kan door de user auditor s van alle dienstafnemende klanten gesteund worden. Met de introductie van de Sarbanes-Oxley Act (SOx) in 2002 werd SAS 70 bekend en belangrijk, doordat Sectie 404 van deze wet een SAS 70 Type II rapportage voorschrijft als de enige aanvaardbare methode voor een third party om zekerheid te verlenen over de interne controle bij een service organisatie. Audit Standard 2, uitgegeven door de Public Company Accounting Oversight Board (PCAOB), beschrijft hoe een SAS 70 audit gebruikt moet worden in relatie met SOx. In 2005 bracht de AICPA een geactualiseerde audit guide uit voor SAS 70, genaamd Service Organizations: Applying SAS No. 70, as Amended. SAS 70 maakt tegenwoordig deel uit van AU Section 324 Service Organizations [9]. 7

8 2.1.2 Tekenbevoegdheid Aangezien de SAS 70 standaard is uitgegeven door de AICPA - de Amerikaanse organisatie voor CPA s - vallen service auditor s die een SAS 70 verklaring afgeven onder de AICPA Professional Standards. 1 Dit betekent dat SAS 70 verklaringen alleen uitgevoerd kunnen worden door een CPA of accountantskantoor dat ingeschreven is bij de AICPA. Hierdoor dwingt de AICPA haar deskundigheidseisen en beroepsregels af bij auditor s die SAS 70 verklaringen afgeven. Daarnaast wordt in een SAS 70 traject vaak door CPA kantoren de hulp ingeschakeld van niet-cpa s met specifieke informatietechnologie en beveiligingspecialisaties. IT-auditors vallen in de Verenigde Staten niet onder de AICPA, maar zijn georganiseerd in de beroepsvereniging ISACA (Information Systems Audit and Control Association). In de praktijk worden bij SAS 70 werkzaamheden en rapportages vaak IT-auditors ingezet die voldoende ervaring hebben en gecertificeerd zijn door de ISACA als CISSP (Certified Information System Security Professional) of als CISA (Certified Information Systems Auditors). Deze certificering is mogelijk na het afleggen van een examen met 200 multiple choice vragen, vijf jaar relevante werkervaring, onderwerping aan de code of professional ethics, het voldoen aan de eis van permanente educatie en het volgen van de information systems auditing standards [10] [11]. De uiteindelijke SAS 70 verklaring wordt echter altijd getekend door een CPA als officiële uitgever. 2.2 SAS 70 regelgeving in Nederland Hier schetsen we de huidige situatie en relevante regelgeving in Nederland met betrekking tot SAS 70. Hierbij wordt ingegaan op het feit dat de tekenbevoegdheid voor de SAS 70 verklaringen in Nederland nog niet formeel is geregeld SAS 70 in Nederland In navolging van de Verenigde Staten is ook in Nederland de bekendheid en daarmee de vraag in de markt naar SAS 70 verklaringen enorm toegenomen. Het verplichte gebruik van een SAS 70 verklaring voor SOx attestations heeft als gevolg gehad dat de bewustwording van de noodzaak van beheersing van uitbestede processen in het algemeen is toegenomen, waardoor een SAS 70 rapportage ook buiten het SOx domein een veelgevraagd product is geworden. Hiermee is een Amerikaanse standaard geïntroduceerd als nieuw assurance product op de Nederlandse markt, zonder dat er direct specifieke Nederlandse regelgeving op van toepassing is. 1 Als de service organisatie moet voldoen aan de SOx Act en de gerelateerde Securities and Exchange Commission (SEC) voorschriften, moet haar auditor ook voldoen aan de PCAOB Standards and Related Rules. 8

9 Met de introductie van een van origine Amerikaanse standaard in Nederland is onduidelijk aan welke eisen en regelgeving de uitgever van zo n verklaring in Nederland moet voldoen. In de Verenigde Staten is dit alleen toegestaan voor CPA s, welke daardoor aan de deskundigheidseisen en beroepsregels van de AICPA voldoen, maar in Nederland kennen we een andere situatie - zonder het bestaan van CPA s, maar met het bestaan van accountants (RA) en IT-auditors (RE) Zienswijzen Er is momenteel een discussie gaande over de invoering van het SAS 70 product binnen de Nederlandse context, die zich met name toespitst op wie hiervoor kan tekenen, een Register-Accountant (RA) of ook een IT-auditor (RE). Op basis van de lopende discussie schetsen we hier de verschillende standpunten. Na categorisering kunnen we drie verschillende zienswijzen en bijbehorende redeneringen onderkennen: 1. Het formele perspectief Een SAS 70 verklaring is een Amerikaanse standaard van het AICPA. Dientengevolge kan een SAS 70 verklaring alleen getekend worden door een CPA, of in Nederland door een door het AICPA als CPA geaccrediteerde RA. 2. Het RA perspectief Aangezien een SAS 70 verklaring in de Verenigde Staten als accountantsverklaring door een CPA moet worden getekend, mag in de Nederlandse situatie het Nederlandse equivalent voor de Amerikaanse CPA een SAS 70 verklaring tekenen. Het Nederlandse equivalent van de CPA is de RA, aangezien bij wet is vastgelegd dat deze verantwoordelijk is voor de afgifte van accountantsverklaringen. Daarnaast waarborgt NIVRA s lidmaatschap van de IFAC (International Federation of Accountants) opvolging van de internationaal erkende auditstandaarden en beroepsregels. 3. Het RE perspectief In Nederland bestaat naast de met de Amerikaanse CPA vergelijkbare RA nog een deskundige beroepsgroep die voldoende kennis en ervaring bezit om een SAS 70 verklaring te kunnen tekenen: de IT-auditor (RE). Het voeren van de kwalificatie RE is niet beschermd door specifieke Nederlandse wetgeving, maar NOREA heeft civielrechtelijk de titulatuur beschermd. De RE heeft een door de NOREA geaccrediteerde 3-jarige opleiding gevolgd, minimaal 3 jaar relevante werkervaring en voldoet aan de eis van Permanente Educatie. Bovendien is de NOREA lid van het IFAC (International Federation of Accountants), wat opvolging van de internationaal erkende audit-standaarden en beroepsregels (waaronder de Code of Ethics) waarborgt en waarmee het niveau van de beroepsbeoefening in Nederland erkend wordt. Alle assurance-opdrachten worden door gekwalificeerde IT-auditors uitgevoerd in overeenstemming met het IFAC-Raamwerk en richtlijnen. Een extra argument is dat vaak juist IT-gerelateerde beheersingsmaatregelen getoetst worden bij uitbestede diensten. 9

10 2.2.3 Bestaande regelgeving Zoals vastgesteld, is de tekenbevoegdheid van de SAS 70 verklaringen in Nederland nog niet formeel geregeld en laat dit ruimte over voor discussie en verschil van inzicht. De volgende regelgeving is thans van toepassing NIVRA regelgeving Op 1 maart 2007 gaf het NIVRA het document Nadere voorschriften accountantskantoren ter zake van Assurance-opdrachten uit. Hierin wordt gesteld dat een accountantskantoor een openbaar accountant (RA) aan dient te wijzen als verantwoordelijke voor de uitvoering van een assurance-opdracht [7]. HOOFDSTUK 2 STELSEL VAN KWALITEITSBEHEERSING Artikel 8 Het accountantskantoor zorgt ervoor dat: a. de naam van de voor de uitvoering van een assurance-opdracht verantwoordelijke openbaar accountant wordt bekendgemaakt aan het leidinggevende orgaan en het toezichthoudende orgaan van de opdrachtgever; b. de voor de uitvoering van een assurance-opdracht verantwoordelijke openbaar accountant over de vereiste vakbekwaamheid beschikt; en c. de taken en bevoegdheden van de voor de uitvoering van een assurance-opdracht verantwoordelijke openbaar accountant met hem worden besproken en vastgelegd. Artikel Het accountantskantoor wijst een openbaar accountant aan die verantwoordelijk is voor de uitvoering van een assurance-opdracht. 2. Het accountantskantoor zorgt ervoor dat aan de voor een assurance-opdracht verantwoordelijke openbaar accountant de benodigde tijd, middelen en personeel ter beschikking worden gesteld, opdat hij zijn taak naar behoren kan uitvoeren. Ook IT-auditors (RE) in dienst van een accountantskantoor vallen onder de regelgeving van de NIVRA. Dientengevolge bepalen de nadere voorschriften dat een assurance-opdracht binnen een accountantskantoor niet mag worden uitgevoerd onder verantwoordelijkheid van een IT-auditor die niet tevens Openbaar Accountant is, ook niet voor assurance-opdrachten die voornamelijk betrekking hebben op IT-aspecten. Dit heeft ten eerste een ongelijkheid tot gevolg tussen IT-auditors die werkzaam zijn binnen een accountantskantoor en IT-auditors die zelfstandig of in een ander verband in een praktijk samenwerken. Daarnaast komt het in de praktijk veel voor dat ( niet-financiële ) assurance-opdrachten worden uitgevoerd door IT-auditors en daarom moet het mogelijk zijn dat IT-auditors hiervoor de eindverantwoordelijkheid dragen. 10

11 De NOREA is hierover het gesprek aangegaan met het NIVRA, dat nu onderzoekt welke mogelijkheden er zijn om deze bepaling te verruimen. Er is voorgesteld om de term openbaar accountant te verruimen met andere professionals, verbonden aan een accountantskantoor, met voldoende opleiding en ervaring, onderhevig aan een vorm van tuchtrecht en lid van een erkende beroepsvereniging. De beroepsvereniging dient bovendien gedrags- en beroepsregels te hebben, vergelijkbaar met zoals deze gelden voor openbare accountants NOREA regelgeving Per 1 januari 2008 gelden het door de NOREA uitgegeven Raamwerk voor Assurance-opdrachten [1] en de NOREA Richtlijn 3000, Assurance-opdrachten door IT-Auditors [2]. De IT-auditors (RE) conformeren zich hiermee aan de International Standard on Assurance Engagements 3402 [5] van de internationale beroepsorganisatie IFAC (International Federation of Accountants). De NOREA is sinds november 2007 affiliate-member van het IFAC geworden. IT-auditors (RE) zijn sinds 2006 onderworpen aan het Reglement Gedragscode, gebaseerd op de IFAC Code of Ethics. Tegen het handelen van IT-auditors in strijd met het Reglement Gedragscode kan worden opgetreden door middel van een klachtprocedure bij de Raad van Tucht van de NOREA. Door het lidmaatschap van de IFAC en het overnemen van hun gedrags- en beroepsregels, zijn deze regels vergelijkbaar met zoals deze gelden voor openbare accountants, opgelegd door het eveneens van het IFAC lid zijnde NIVRA. Momenteel zijn er beroepsregels en kwaliteitseisen gesteld aan IT-audit werkzaamheden, maar vindt hierop geen actieve kwaliteitstoetsing plaats. De controle op de naleving van de beroepsregels en kwaliteitseisen middels een klachtprocedure bij de Raad van Tucht is een repressieve maatregel, die in werking treedt als het kwaad al is geschied. Een striktere regulatie van de uitvoering van IT-audits kan schade aan de beroepsgroep voorkomen. Binnen accountantskantoren vindt wel een interne kwaliteitscontrole plaats, maar zelfstandige RE s zijn hier niet aan onderworpen. Een gevolg hiervan is dat een evenwichtig kwaliteitsniveau van de uitvoering van de werkzaamheden niet op voorhand is gewaarborgd voor alle RE s en bij falen slechts achteraf middels een klachtprocedure is aan te kaarten. NOREA is op dit moment beleid aan het ontwikkelen met betrekking tot de kwaliteitsbeheersing van de uitvoering van de IT-audit werkzaamheden voor de RE, en is daarvoor in overleg met het CTK-NIVRA (College Toetsing Kwaliteit) en het IIA (Instituut van Internal Auditors) over de invoering van kwaliteitstoetsing voor IT-auditors. Overigens vindt er nu ook geen volledige kwaliteitstoetsing plaats op accountantsverklaringen. De AFM (Autoriteit Financiële Markten) heeft de controletaak van het CTK- NIVRA overgenomen, maar toetst alleen werkzaamheden van accountantsorganisaties die wettelijke controles inhouden (zoals vastgelegd in de Wet toezicht accountantsorganisaties). Alle overige verklaringen afgegeven door accountants zijn ook niet aan actieve externe kwaliteitstoetsing onderhevig. 2.3 Conclusie formeel perspectief We hebben de huidige situatie en relevante regelgeving in de Verenigde Staten met betrekking tot SAS 70 geschetst en vastgesteld dat in de Verenigde Staten alleen CPA s tekenbevoegd zijn. SAS 70 verklaringen 11

12 kunnen alleen uitgevoerd worden onder de verantwoordelijkheid van een CPA of accountantskantoor dat ingeschreven is bij de AICPA. Hierdoor dwingt de AICPA haar deskundigheidseisen en beroepsregels af bij auditor s die SAS 70 verklaringen afgeven. We hebben de huidige situatie en relevante regelgeving in Nederland geschetst met betrekking tot SAS 70 en vastgesteld dat het bij het invoeren van een Amerikaans product in de Nederlandse context niet eenduidig is aan welke eisen en regelgeving de uitgever van zo n verklaring in Nederland moet voldoen. De tekenbevoegdheid van de SAS 70 verklaringen in Nederland is nog niet formeel geregeld en aan discussie onderhevig. Er spelen verschillende zienswijzen. De formele zienswijze waarin alleen CPA s mogen tekenen, ingevolge de Amerikaanse uitgifte van de SAS 70 verklaring door de AICPA, zou een zeer strikte interpretatie zijn en in Nederland een onwerkbare situatie met zich mee brengen. Echter, door het lidmaatschap van de IFAC door zowel de NOREA als de NIVRA voldoen deze beide partijen aan de gedrags- en beroepsregels van de internationale overkoepelende accountantsorganisatie IFAC, waar ook de AICPA zelf onder valt. Net zoals de AICPA haar deskundigheidseisen en beroepsregels afdwingt bij haar leden CPA s die SAS 70 verklaringen afgeven, zo dwingt het IFAC lidmaatschap ook de internationale deskundigheidseisen en beroepsregels af. Formeel biedt dit dezelfde waarborgen. Zodra middels de geplande aanpassing in de Nadere voorschriften accountantskantoren ter zake van Assurance-opdrachten een RE als lid van NOREA ook bevoegd wordt tot het afgeven van assuranceopdrachten in Nederland, zijn er formeel geen obstakels voor IT-auditors om SAS 70 verklaringen te tekenen, mits zij voldoende opleiding en ervaring bezitten. De precieze definitie die hier gehanteerd gaat worden is vooralsnog niet duidelijk. Na een analyse van de formele situatie en bestaande regelgeving blijken er nog net zoveel mogelijkheden te zijn voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaring in Nederland aan de ITauditor als aan de accountant. De beroepsorganisatie van de IT-auditor heeft haar leden onderworpen aan gedrags- en beroepsregels die gelijk staan aan de regels bij de AICPA en de NIVRA. Een onderscheid op wet- en regelgeving valt hier dus niet te maken. Wel blijft de vraag nog open staan wie in Nederland de beste professionele kwalificaties bezit om SAS 70 werkzaamheden uit te voeren, de RA of de RE. We zullen daarom in Hoofdstuk 3 onderzoeken welke deskundigheid (kennis en ervaring) vereist is in een SAS 70 traject en wat de rol van een accountant (RA) en een IT-auditor (RE) is, overeenkomstig hun kennisprofiel. 12

13 Hoofdstuk 3: Praktisch perspectief Door middel van een analyse van een vijftal SAS 70 praktijkcases en interviews met de bij deze SAS 70 opdrachten betrokken RE/RA professionals, wordt hier geïnventariseerd welke deskundigheid (kennis en ervaring) vereist is in een SAS 70 traject en wat de rol van een accountant (RA) en een IT-auditor (RE) is. Tevens wordt aan de hand van deze praktijkcases geïnventariseerd welke deskundigheid van de RE en de RA wordt verlangd in de praktijk en of een RA dan wel een RE deze kennis bezit op basis van wat in de opleidingen aangeboden wordt. De selectie van vijf representatieve praktijkcases heeft zodanig plaatsgevonden dat bij alle geselecteerde praktijkcases zowel een Type I als een Type II traject doorlopen is. De hierbij betrokken en door ons geïnterviewde professionals (zowel RE als RA) zijn allen werkzaam op de IT-audit afdeling waar in dit geval de SAS 70 werkzaamheden in de organisatie zijn belegd. De in de interviews gebruikte vragenlijst bestaat uit twee delen. In het eerste deel zijn de vragen opgenomen die betrekking hebben op de geselecteerde praktijkcase. Dit deel betreft de vaststelling van de rol en werkzaamheden van de IT-auditor en accountant binnen het betreffende SAS 70 traject. Ook is aan de professionals gevraagd welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen het geselecteerde SAS 70 traject. De professionals hebben vervolgens voor deze kennisdomeinen aangegeven of een RE en/of een RA deze kennis bezit. In het tweede deel zijn de vragen opgenomen die betrekking hebben op SAS 70 trajecten in het algemeen en de op de praktijk gestoelde visie van de ervaren professional op het vraagstuk van toekenning van tekenbevoegdheid voor een SAS 70 verklaring Praktijkcases In deze paragraaf beschrijven we wat de werkzaamheden en betrokkenheid is geweest van de RE en RA bij de geselecteerde praktijkcases. Ook wordt de benodigde expertise van de RE en RA voor de SAS 70 trajecten beschreven. We vatten hier samen wat in de eerste delen van de vijf interviews met de betrokken professionals in zijn algemeenheid naar voren is gekomen als antwoord op een vooropgezette vragenlijst. De interviewverslagen zelf met de antwoorden per geïnterviewde professional zijn opgenomen in de bijlage Werkzaamheden en betrokkenheid RE/RA Voor de geselecteerde praktijkcases hebben de professionals aangegeven dat IT-auditors voornamelijk werkzaamheden met betrekking tot IT general controls en application controls hebben uitgevoerd en accountants met name de manuele beheersmaatregelen voor hun rekening hebben genomen. RA s waren bij sommige trajecten betrokken. Hun betrokkenheid en inzet op de manuele beheersmaatregelen was echter niet ingegeven vanwege noodzakelijke expertise die specifiek bij RA s aanwezig is, maar vanwege de opgedane ervaring bij de klant en kennis van de klantspecifieke processen die de accountants jarenlang 13

14 opgebouwd hadden tijdens de terugkerende jaarrekeningcontroles. Doordat RA s de beschikking hadden over deze proceskennis die opgedaan was door ervaring bij de betreffende klant, konden zij de manuele beheersmaatregelen beter testen dan de RE s die deze ervaring nog niet hadden opgedaan. Bij een aantal SAS 70 trajecten hebben IT-auditors ook manuele beheersmaatregelen getest, omdat zij kennis hadden over de processen van de betreffende organisatie en ervaring in de betreffende industrie hadden opgedaan. Deze proceskennis en ervaring hadden zij opgedaan in eerdere trajecten en waren daardoor in staat om deze werkzaamheden uit te voeren. De proceskennis is van belang bij het uitvoeren van de manuele beheersmaatregelen (zie bijlage voor de interviewuitwerkingen) Benodigde expertise voor SAS 70 traject Door middel van de interviews met de professionals hebben we geïnventariseerd welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen de geselecteerde SAS 70 trajecten. Deze kennisdomeinen zijn afkomstig uit de eindtermen van de door de NOREA en NIVRA erkende IT- Audit en accountancy-opleidingen [3] [4]. Aan de professionals hebben we tevens gevraagd of een RE dan wel een RA deze kennis bezit vanuit zijn specifieke achtergrond en of de werkzaamheden met betrekking tot het kennisdomein dus uitvoerbaar zijn door een RE en/of een RA binnen een SAS 70 traject. In de onderstaande tabellen zijn de kennisdomeinen opgenomen die van toepassing zijn geweest op de geselecteerde SAS 70 opdrachten en is een totaalbeeld gegeven van de antwoorden van de professionals op de vraag of een RE en/of RA hierin bekwaam is en hun toelichting daarop (zie bijlage voor de interviewuitwerkingen). De eerste tabel bevat de kennisdomeinen die afkomstig zijn uit de eindtermen van de RE opleidingen; de tweede tabel bevat de kennisdomeinen die afkomstig zijn uit de eindtermen van de RA opleidingen. Kennisdomein Van toepassing geweest op de SAS 70 opdracht? Indien van toepassing geweest, uitvoerbaar door RE? Indien van toepassing geweest, uitvoerbaar door RA? Kennisdomeinen uit de RE eindtermen Informatiestrategie Het geheel van doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan met informatie binnen een organisatie en voor de organisatie van de informatievoorziening zelf. JA JA JA Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE en een RA. Dit kennis kennisdomein zou door een RA door ervaring en het opdoen van kennis hierover ook kunnen uitvoeren. Informatiemanagement en De door de leiding van een organisatie te scheppen voorwaarden voor de ontwikkeling, het JA JA NEE 14

15 informatietechnologie management (IM/ITmanagement) beheer en het gebruik van geautomatiseerde systemen, alsmede de besturing van deze processen, zodanig dat de leiding kan vaststellen dat aan de door haar in de informatiestrategie geformuleerde doelstellingen en randvoorwaarden wordt voldaan. Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE. Informatiesystemen De geautomatiseerde processen die primair zijn ontworpen om de mens te voorzien van gegevens, dan wel om de mens in staat te stellen de gegevens opgeslagen in computers - en overdraagbaar via datacommunicatietechnieken - te creëren, muteren, verwijderen,verspreiden en/of anderszins te manipuleren. Het geheel van organisatie en hulpmiddelen, dat primair dient voor de ontwikkeling en het gebruik van informatiesystemen, behoort tot het domein van de informatiesystemen. JA JA NEE Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE. Technische systemen Systemen die ontworpen zijn om te worden geïmplementeerd in hardware en systeemprogrammatuur met het doel de hardware en of (ander systeem-)programmatuur aan te sturen. Technische systemen ondersteunen de geautomatiseerde processen binnen de informatiesystemen en processystemen door het aansturen en geautomatiseerd beheersen van de hardware die deel uitmaakt van de technische infrastructuur. JA JA NEE Toelichting: De professionals hebben aangegeven dat dit kennisdomein typisch binnen de deskundigheid van de RE valt en niet van de RA. Operationele ondersteuning Alle activiteiten binnen een organisatie die gericht zijn op het beheren en beschikbaar stellen van de technische infrastructuur en de onder beheer zijnde IT-processen, conform de afgesproken standaarden en service level agreements, alsmede de administratie daarvan. De operationele ondersteuning van een organisatieonderdeel betreft de installatie, het beheer en het onderhoud van de automatiseringsmiddelen die ter beschikking staan van het organisatieonderdeel (inclusief de geleverde programmatuur) JA JA NEE Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE. Tabel 1: Relevante kennisdomeinen uit de RE opleiding 15

16 Kennisdomein Van toepassing geweest op de SAS 70 opdracht? Indien van toepassing geweest, uitvoerbaar door RE? Indien van toepassing geweest, uitvoerbaar door RA? Kennisdomeinen uit de RA eindtermen Audit en Assurance De hoofdlijn van een doeltreffende en efficiente aanpak van een specifieke controlevraagstuk te ontwerpen en deze op een overtuigende wijze te presenteren. JA JA JA Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE en een RA. Bestuurlijke informatieverzorging Bestuurlijk informatieverzorging en de rol hiervan bij de beheersing van organisaties met betrekking tot de kennisdomeinen: mensen, structuren, processen, efficientie en effectiviteit van de bedrijfsvoering, risicomanagement, informatie- en communicatietechnologie, relevantie van informatie, betrouwbaarheid van informatie, bewaking van de activa van organisaties en naleving van wet- en regelgeving. JA JA JA Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE en een RA. Aan de kernvakgebieden gerelateerde bedrijfseconomisch/ac countancy vakgebieden Boekhouden: Kennis opdoen van het boekhoudkundige model en de grootboekrekeningen en is in staat een eenvoudige administratie met financiele instrumenten te voeren. Kennis opdoen om een balans en een resultatenrekening op te stellen en de permance te verwerken in de boekhouding. Inzicht in het systematisch verzamelen, vastleggen, verwerken en verstrekken van financiele informatie ten behoeve van het besluitvormingsproces binnen en buiten de organisatie alsmede ten behoeve van de verantwoording die over de financiele aspecten van de bedrijfsvoering wordt afgelegd. Inzicht in de administratieve verwerking van financiele feiten met betrekking tot afdelingen en activiteiten. Begrijpen van de comptabele aspecten van de relaties tussen afdelingen en activiteiten en deze kunnen vertalen in journaalposten. JA (bij twee praktijkcases van toepassing geweest) NEE JA Toelichting: De professionals hebben aangegeven dat de RA, vanwege de complexiteit, dit kan uitvoeren. Management accounting: Kritische houding ontwikkelen, zodat in besluitvorming over vraagstukken op het terrein van kostenbepalingsvraagstukken en planning & control zinvol kan worden geparticipeerd. Inzicht in JA (bij twee praktijkcases van toepassing geweest) NEE JA 16

17 geavanceerde instrumenten zoals bijvoorbeeld activity-based management, customer profitability, quality control, planningvraagstukken en budgettering & verschillenanalyse. Inzicht in stuuren beheersingsvraagstukken in organisatie en daarbij in staat om deskundig oordeel te geven over het functioneren van bestaande management-controlsystemen, hierbij behoort de advisering ter verbetering van de functie van het management-controlsysteem. Toelichting: De professionals hebben aangegeven dat alleen de RA, vanwege de complexiteit, dit kan uitvoeren. Financieel management/financiering: Kennis opdoen op het gebied van de grondbeginselen van financieel management. In staat om problemen te herkennen en heeft kennis van de technieken die benodigd zijn om de rekenkundige aspecten van het probleem op te lossen. Inzicht in zowel het proces van een investeringsbeslissing als het proces van een vermogensbeslissing. JA (bij één praktijkcase van toepassing geweest) NEE JA Toelichting: De professional heeft aangegeven dat alleen de RA, vanwege de complexiteit, dit kan uitvoeren. Management & Organisatie: Inzicht in organisaties als vorm van doelgerichte menselijk samenwerken en op de manier waarop daaraan leiding wordt gegeven. JA JA JA Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE en een RA. Corporate Governance: In staat om Corporate Governance en de ontwikkelingen hierin vanuit verschillende invalshoeken te kunnen belichten en nader uit te werken. Inzicht verrkijgen in Corporate Governance binnen een organisatie bestaande uit al die activiteiten van het (top) management die leiden tot een intern beheersingssysteem. JA JA JA Toelichting: De professionals hebben aangegeven dat dit kennisdomein uitvoerbaar is door een RE en een RA. Ondersteunende vakgebieden Recht: Inzicht verwerven in het in Nederland geldende objectieve recht met bijzondere aandacht voor het economisch privaatrecht, met als zwaartepunt: vermogensrecht, arbeidsrecht, sociaalverzekeringsrecht en ondernemingsrecht. JA (bij één praktijkcase van toepassing geweest) NEE JA Toelichting: De professional heeft aangegeven dat dit kennisdomein uitvoerbaar is door een RA. Belastingrecht: Kennis en inzicht over wanneer loon en omzetbelastingen worden geheven, hoe JA (bij één praktijkcase van NEE JA 17

18 ze in grote lijnen werken en in staat om zelfstandig, met gebruikmaking van de wettekst, oplossingen te vinden voor praktijkproblemen. toepassing geweest) Toelichting: De professional heeft aangegeven dat dit kennisdomein uitvoerbaar is door een RA. Wiskunde en Statistiek: Basiskennis verwerven om de actuariele berekeningen van levensverzekerings- en pensioenverplichtingen in de jaarrekening globaal te kunnen beoordelen. Verkennen van kwantitatieve methoden en technieken alsmede het verkrijgen van praktische vaardigheid in het toepassen hiervan. JA (bij één praktijkcase van toepassing geweest) NEE JA Toelichting: De professional heeft aangegeven dat dit kennisdomein uitvoerbaar is door een RA. Tabel 2: Relevante kennisdomeinen uit de RA opleiding De professionals hebben aangegeven dat de kennisdomeinen Informatiemanagement en informatietechnologie management, Informatiesystemen en Operationele ondersteuning (afkomstig uit de RE opleiding) uitvoerbaar zijn door een RE, maar daarnaast zou een individuele RA ook de werkzaamheden met betrekking tot deze RE kennisdomeinen door ervaring en het opdoen van kennis hierover kunnen uitvoeren in de praktijk. Het kennisdomein Technische systemen valt typisch binnen de deskundigheid van de RE en alleen een RE zou dit kunnen uitvoeren. In de bovenstaande tabel zien we dat de onderdelen Boekhouden en Management accounting van het kennisdomein Aan de kernvakgebieden gerelateerde bedrijfseconomisch/accountancy vakgebieden en onderdelen Recht, Belastingrecht en Wiskunde en Statistiek van het kennisdomein Ondersteunende vakgebieden (afkomstig uit de RA opleiding) uitvoerbaar zijn door een RA, maar daarnaast zou een individuele RE ook werkzaamheden met betrekking tot deze RA kennisdomeinen door ervaring en het opdoen van kennis hierover kunnen uitvoeren in de praktijk. Het kennisdomein Financieel management/financiering valt typisch binnen de deskundigheid van de RA en alleen een RA zou dit kunnen uitvoeren. De kennisdomeinen Audit en Assurance, Bestuurlijk informatieverzorging, de onderdelen Management & Organisatie en Corporate Governance van het kennisdomein Aan de kernvakgebieden gerelateerde bedrijfseconomisch/accountancy vakgebieden (afkomstig uit de RA opleiding) zouden zowel door een RA als een RE uitgevoerd kunnen worden volgens de professionals. In de praktijk beschikken de RE s ook over de kennis van deze RA kennisdomeinen. 3.2 Algemene mening professionals In deze paragraaf beschrijven we voor SAS 70 trajecten in het algemeen de op de praktijk gestoelde visie van de ervaren professional op het vraagstuk van toekenning van tekenbevoegdheid voor een SAS 70 verklaring. We vatten hier samen wat in de tweede delen van de vijf interviews met de betrokken 18

19 professionals in zijn algemeenheid naar voren is gekomen als antwoord op onze vragen. De interviewverslagen zelf met de antwoorden per geïnterviewde professional zijn opgenomen in de bijlage Benodigde deskundigheid Alle professionals geven aan dat het voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject van belang is om kennis te hebben van auditmethodologie in het algemeen en SAS 70 rapportagerichtlijnen in het bijzonder. Daarnaast dient ervaring opgedaan te zijn met de uitvoering van een audit en de organisatie-/industriespecifieke (IT-)processen, risico s en beheersmaatregelen. Overwegend is men van mening dat de noodzakelijke deskundigheid niet opleidingsspecifiek is, maar met name in de praktijk middels ervaring opgedaan wordt. Cruciaal is de kennis van de primaire (eventueel technische) bedrijfsprocessen die in scope zijn Typische rol en werkzaamheden Typisch is in een SAS 70 traject de RA gericht op de financieel georiënteerde bedrijfsprocessen en de manuele beheersmaatregelen, en de RE op de IT georiënteerde controleactiviteiten en application controls. Dit is vanuit historische redenen zo gegroeid, maar in de praktijk kunnen afhankelijk van ervaring en kennis zowel de RE als de RA ook de andere werkzaamheden uitvoeren. Vaak is de gewoonte om accountants de manuele beheersmaatregelen en bedrijfsspecifieke processen uit te laten voeren ingegeven door het feit dat zij in het kader van de jaarrekeningcontrole de organisatie reeds goed kennen en zodoende vanuit ervaring al kennis hebben opgedaan met de bedrijfsspecifieke processen en beheersmaatregelen. Mits deze kennis middels ervaring door IT-auditors ook is opgedaan, zijn deze ook evenzeer in staat deze werkzaamheden uit te voeren Toekenning van tekenbevoegdheid Alle geïnterviewde professionals geven aan dat een SAS 70 verklaring door zowel een RE als een RA getekend zou moeten kunnen worden, indien deze over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is een adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. Hij dient hiertoe ervaring te hebben opgedaan met de organisatie en relevante processen en over specifieke (industrie)kennis te beschikken. Deze kwalificaties zijn niet zozeer opleidingsspecifiek, maar worden primair door ervaring bewerkstelligd. In gevallen van SAS 70 trajecten waarbij het om een IT-dominante omgeving gaat of alleen IT-processen in scope zijn, is een RE van nature beter gekwalificeerd de SAS 70 verklaring af te tekenen. Wanneer er voornamelijk financieel complexe bedrijfsprocessen in scope zijn, is een RA van nature meer bekwaam. Zoals reeds aangegeven zijn dit echter geen onvoorwaardelijkheden en wordt de deskundigheid bepaald door de opgedane ervaring. Uiteindelijk moet een verantwoordelijke RE dan wel RA zelf kunnen vaststellen of hij over de benodigde kennis en ervaring beschikt om de werkzaamheden uit te kunnen voeren en/of te reviewen en de 19

20 verantwoordelijkheid kan nemen om de SAS 70 verklaring af te tekenen. De buitenwereld kan hier alleen op vertrouwen als de beroepsgroep regels en eisen stelt en deze controleert. De verantwoordelijke RE/RA dient zich hiertoe te houden aan de beroepsregels en -eisen van de NOREA/NIVRA, waarbij deze eigen verantwoordelijkheid en ethische afweging uiteindelijk middels het tuchtrecht en eventueel in te voeren kwaliteitstoetsing afgedwongen wordt Conclusie praktisch perspectief We hebben geïnventariseerd dat de IT-auditors die bij de praktijkcases waren betrokken voornamelijk werkzaamheden met betrekking tot IT general controls en application controls hebben uitgevoerd. Bij sommige trajecten hebben IT-auditors ook manuele beheersmaatregelen getest omdat zij kennis hadden over de processen van de betreffende organisatie en ervaring in de betreffende industrie hebben opgedaan. De RA s die bij deze praktijkcases waren betrokken hebben met name de werkzaamheden rondom de manuele beheersmaatregelen uitgevoerd. Zij waren ingezet op deze trajecten omdat zij de beschikking hadden over de opgedane proceskennis tijdens de terugkerende jaarrekeningcontroles en niet vanwege de noodzakelijk expertise die specifiek bij de RA s aanwezig is. De professionals hebben aangegeven dat alle kennisdomeinen die in de RE opleiding voorkomen uitvoerbaar zijn door RE s. Deze RE kennisdomeinen, met uitzondering van het kennisdomein Technische systemen, zijn echter in de praktijk ook door RA s uitvoerbaar door ervaring en het opdoen van kennis hierover. Volgens de professionals zijn de kennisdomeinen die in de RA opleiding voorkomen uitvoerbaar door RA s. Deze RA kennisdomeinen, met uitzondering van het kennisdomein Financieel management/financiering, zijn echter in de praktijk ook uitvoerbaar door RE s indien zij de benodigde ervaring en kennis hierover hebben. We hebben bevonden dat alle geïnterviewde professionals van mening zijn dat een SAS 70 verklaring in het algemeen door zowel een RE als een RA getekend zou moeten kunnen worden, indien deze over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is een adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. De typische werkverdeling in een SAS 70 traject waarin de RA zich richt op de bedrijfsprocessen en manuele beheersmaatregelen, is historisch bepaald en heeft te maken met de opgedane ervaring met de bedrijfsprocessen door de accountant in de jaarrekeningcontroles. Mits deze kennis middels ervaring door IT-auditors ook is opgedaan, zijn deze ook evenzeer in staat deze werkzaamheden uit te voeren. Of een RE dan wel RA over de benodigde kennis en ervaring beschikt om de verantwoordelijkheid te kunnen nemen om de SAS 70 verklaring af te tekenen, dient de RE/RA zelf vast te stellen. De RE/RA dient zich hierin te houden aan de beroepsregels van de NOREA/NIVRA, waarin deze eigen verantwoordelijkheid en ethische afweging opgelegd wordt. 2 Zie Hoofdstuk 2 paragraaf NOREA regelgeving : IT-auditors (RE) zijn sinds 2006 onderworpen aan het Reglement Gedragscode, gebaseerd op de IFAC Code of Ethics. Tegen het handelen van IT-auditors in strijd met het Reglement Gedragscode kan worden opgetreden door middel van een klachtprocedure bij de Raad van Tucht van de NOREA. Door het lidmaatschap van de IFAC en het overnemen van hun gedrags- en beroepsregels, zijn deze regels vergelijkbaar met zoals deze gelden voor openbare accountants, opgelegd door het eveneens van het IFAC lid zijnde NIVRA. 20

21 We hebben in dit hoofdstuk geïnventariseerd welke deskundigheid (kennis en ervaring) er vanuit praktisch perspectief vereist is in een SAS 70 traject en wat de rol van een accountant (RA) en een ITauditor (RE) in de praktijk is. Eerder, in hoofdstuk 2, hebben we geconcludeerd dat er formeel gezien mogelijkheden zijn voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaringen in Nederland aan de IT-auditor. Een gedetailleerde analyse van beide perspectieven in het volgende hoofdstuk moet opleveren in welke gevallen en onder welke omstandigheden een IT-auditor de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend zou kunnen worden. 21

22 Hoofdstuk 4: Conclusie In de praktijk speelt de IT-auditor (RE) vaak een belangrijke en onmisbare rol binnen een SAS 70 traject, daarentegen is de tekenbevoegdheid van de IT-auditor voor een SAS 70 verklaring in Nederland niet formeel geregeld. Een analyse van de in de vorige hoofdstukken beschreven formele criteria (wat volgt er uit de regelgeving?) en praktische criteria (wat is de rol van een IT-auditor in de praktijk en hoe verhoudt deze zich tot zijn deskundigheid?) zal ons hier een antwoord op de onderzoeksvraag opleveren in welke gevallen en onder welke omstandigheden een IT-auditor de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend zou kunnen worden. We geven hierbij eerst samenvattend antwoord op de vastgestelde deelvragen in formeel en praktisch perspectief, om vervolgens tot een conclusie op de onderzoeksvraag te komen. 4.1 Formele criteria 1. Wat voor regelgeving is van toepassing in de Verenigde Staten? Wie heeft in de Verenigde Staten tekenbevoegdheid voor een SAS 70 verklaring? In de Verenigde Staten zijn alleen CPA s tekenbevoegd voor SAS 70 verklaringen. SAS 70 verklaringen in de Verenigde Staten kunnen alleen uitgevoerd worden onder de verantwoordelijkheid van een CPA of accountantskantoor dat ingeschreven staat bij de AICPA. 2. Hoe vertaalt deze regelgeving zich naar de Nederlandse situatie? Wat voor regelgeving bestaat er momenteel en/of is in ontwikkeling in Nederland omtrent de tekenbevoegdheid voor een SAS 70 verklaring? Bij het invoeren van een Amerikaans product in de Nederlandse context is niet eenduidig aan welke eisen en regelgeving de uigever van zo n verklaring in Nederland moet voldoen. De tekenbevoegdheid van SAS 70 verklaringen in Nederland is nog niet formeel geregeld en aan discussie onderhevig. 3. Welke mogelijkheden geeft de huidige regelgeving in Nederland voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaring aan de IT-auditor? Er spelen verschillende zienswijzen in Nederland en momenteel zijn er nog net zoveel mogelijkheden voor het toekennen van tekenbevoegdheid voor een SAS 70 verklaringen in Nederland aan de IT-auditor als aan de accountant. De beroepsorganisatie van de IT-auditor (NOREA) heeft haar leden onderworpen aan gedrags-en beroepsregels (middels het lidmaatschap 22

23 van de internationale overkoepelende accountants organisatie IFAC) die gelijk staan aan de regels bij de AICPA en NIVRA (beroepsorganisatie van de accountants). 4.2 Praktische criteria 1. Wat is de rol van een RE versus de rol van een RA binnen een SAS 70 traject? De RE s voeren voornamelijk werkzaamheden met betrekking tot IT general controls en application controls uit en de RA s richten zich met name op de werkzaamheden rondom manuele beheersmaatregelen binnen een SAS 70 traject. Deze verdeling is echter historisch bepaald en heeft te maken met de opgedane ervaring met de bedrijfsprocessen door de accountant in de jaarrekeningcontroles. 2. Welke typische RA en RE deskundigheid is vereist binnen een SAS 70 traject? Er is geen typische RA/RE deskundigheid vereist voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Van belang is om kennis te hebben van auditmethodologie in het algemeen en SAS 70 rapportagerichtlijnen in het bijzonder. Daarnaast dient ervaring opgedaan te zijn met de uitvoering van een audit en de organisatie-/industriespecifieke (IT)-processen, risico s en beheersmaatregelen. 3. Zijn er verschillende categorieën SAS 70 trajecten te onderkennen waarin de typische deskundigheid van de RE of de RA in meer of mindere mate geboden is? Typisch is in een SAS 70 traject de RA gericht op financieel georiënteerde bedrijfsprocessen en de manuele beheersmaatregelen, en de RE op de IT georiënteerde controleactiviteiten en application controls. In de praktijk kunnen afhankelijk van ervaring en kennis zowel de RE als de RA ook de andere werkzaamheden uitvoeren. 4. Welke voor de binnen de SAS 70 trajecten vastgestelde vereiste deskundigheid heeft de RE in huis en welke specifieke kennis op dit gebied mist de RE die de RA wel in huis heeft? Alle kennisdomeinen die in de RE opleiding voorkomen zijn uitvoerbaar door de RE s, waarbij het kennisdomein Technische systemen typisch binnen de deskundigheid van de RE valt en alleen uitvoerbaar is door een RE. De kennisdomeinen die in de RA opleiding voorkomen zijn uitvoerbaar door de RA s. Deze RA kennisdomeinen, met uitzondering van het kennisdomein Financieel management/financiering, zijn echter in de praktijk ook uitvoerbaar door RE s indien zij over de benodigde ervaring en kennis beschikken. 5. Zijn er hieruit categorieën SAS 70 trajecten en/of specifieke SAS 70 deskundigheidseisen voor de RE vast te stellen die het toekennen van tekenbevoegdheid aan de IT-auditor formeel mogelijk maken? 23

24 Een SAS 70 verklaring zou in het algemeen door een RE getekend moeten kunnen worden, indien de RE over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. 4.3 Beantwoording onderzoeksvraag In welke gevallen en onder welke omstandigheden zou een IT-auditor de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend kunnen worden? Formeel gezien dwingt in de Verenigde Staten de AICPA haar deskundigheidseisen en beroepsregels af bij CPA s die SAS 70 verklaringen afgeven. Bij de invoering van dit oorspronkelijk Amerikaanse product in de Nederlandse context is niet eenduidig aan welke eisen en regelgeving de uitgever van zo n verklaring in Nederland moet voldoen. Echter, het lidmaatschap van de internationale overkoepelende accountantsorganisatie IFAC door zowel de NOREA als het NIVRA laat deze beide partijen voldoen aan de gedrags- en beroepsregels van de IFAC, waar ook de AICPA zelf onder valt. Formeel biedt dit dezelfde waarborgen. Wel dient middels de geplande aanpassing in het NIVRA-geschrift Nadere voorschriften accountantskantoren ter zake van Assurance-opdrachten een RE als lid van NOREA ook bevoegd te worden voor het afgeven van assurance-opdrachten in Nederland, zodat er ook voor de IT-auditors die verbonden zijn aan accountantskantoren formeel geen obstakels meer zijn om SAS 70 verklaringen te tekenen, mits zij voldoende opleiding en ervaring bezitten. De praktijk laat zien dat een SAS 70 verklaring in het algemeen door zowel een RE als een RA getekend kan worden, indien deze over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is een adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. De noodzakelijke deskundigheid is niet opleidingsspecifiek bepaald, maar wordt met name in de praktijk middels ervaring opgedaan. De typische werkverdeling in een SAS 70 traject waarin de RA zich richt op de bedrijfsprocessen en manuele beheersmaatregelen, is historisch bepaald en heeft te maken met de opgedane ervaring met de bedrijfsprocessen door de accountant in de jaarrekeningcontroles. Mits deze kennis middels ervaring door IT-auditors ook is opgedaan, zijn deze ook evenzeer in staat deze werkzaamheden uit te voeren. We hebben gezien dat de kennisdomeinen uit de RA eindtermen, met uitzondering van het kennisdomein Financieel management/financiering, in de praktijk ook uitvoerbaar zijn door RE s indien zij over de benodigde ervaring en kennis hierover hebben. Daarnaast hebben we ook gezien dat de kennisdomeinen uit de RE eindtermen, met uitzondering van het kennisdomein Technische systemen, in de praktijk ook uitvoerbaar zijn door RA s indien zij over de benodigde ervaring en kennis hierover hebben. Hoewel in het algemeen de noodzakelijke deskundigheid niet opleidingsspecifiek bepaald is, kan er afhankelijk van de variabele scope van een SAS 70 opdracht wel een voorkeur voor een professional op basis van opleiding bestaan. In gevallen van SAS 70 trajecten waarbij het om een IT-dominante omgeving gaat of alleen ITprocessen in scope zijn (waarbij het kennisdomein Technische Systemen uit de RE eindtermen een belangrijke rol speelt binnen het SAS 70 traject), is een RE van nature beter gekwalificeerd 24

25 de SAS 70 verklaring af te tekenen. Wanneer er voornamelijk financieel complexe bedrijfsprocessen in scope zijn (waarbij het kennisdomein Financieel management/financiering uit de RA eindtermen een belangrijke rol speelt binnen het SAS 70 traject), is een RA van nature meer bekwaam. Zoals reeds aangegeven zijn dit echter geen onvoorwaardelijkheden en wordt de deskundigheid bepaald door de opgedane ervaring. Of een betreffende professional over de benodigde kennis en ervaring beschikt om de verantwoordelijkheid te kunnen nemen om een SAS 70 verklaring af te tekenen, dient de betreffende professional zelf vast te stellen. De RE of RA dient zich daarbij te houden aan de beroepsregels van de NOREA of NIVRA, waarin deze eigen verantwoordelijkheid en ethische afweging opgelegd wordt. De buitenwereld kan hier alleen op vertrouwen als de beroepsgroep de regels en eisen die ze stelt ook controleert. Momenteel wordt de naleving van de beroepsregels en kwaliteitseisen uiteindelijk middels het tuchtrecht afgedwongen, maar vindt hierop geen actieve kwaliteitstoetsing plaats. Een striktere regulatie van de uitvoering van SAS 70 werkzaamheden kan schade aan de beroepsgroep tijdig voorkomen en een evenwichtig kwaliteitsniveau voor alle RE s waarborgen. Door invoering van actieve kwaliteitstoetsing op SAS 70 verklaringen (en openbare assurance mededelingen in het algemeen) kan de maatschappij vertrouwen op de kwaliteit van de verleende zekerheid door de betreffende verantwoordelijke professional. In dit licht bezien is de ontwikkeling van beleid voor kwaliteitsbeheersing van de uitvoering van de IT-audit werkzaamheden voor de RE bij de NOREA van belang voor de toewijzing van tekenbevoegdheid voor een SAS 70 verklaring aan een RE. Ditzelfde geldt voor RA s, waar nu ook geen volledige kwaliteitstoetsing plaats vindt op werkzaamheden die geen wettelijke controles inhouden. Het is van belang dat actieve externe kwaliteitstoetsing op SAS 70 werkzaamheden een evenwichtig kwaliteitsniveau voor alle uitvoerende professionals kan waarborgen. Samengevat kunnen we onze onderzoeksvraag derhalve als volgt beantwoorden. Een IT-auditor kan de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend worden in het geval dat: 1. Deze over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is een adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. De noodzakelijke deskundigheid is niet opleidingsspecifiek bepaald, maar wordt met name in de praktijk middels ervaring opgedaan; 2. De scope van het betreffende SAS 70 traject aansluit bij de specifieke kwalificaties van een RE, zoals bij een organisatie met een IT-dominante omgeving of als alleen ITprocessen en geen financieel complexe bedrijfsprocessen in scope zijn. Een IT-auditor kan de formele tekenbevoegdheid voor een SAS 70 verklaring in Nederland toegekend worden onder de omstandigheden dat: 25

26 1. De RE als lid van NOREA ook bevoegd is tot het afgeven van assurance-opdrachten in Nederland middels de geplande aanpassing in het NIVRA-geschrift Nadere voorschriften accountantskantoren ter zake van Assurance-opdrachten ; 2. De naleving van de beroepsregels en kwaliteitseisen van de NOREA niet alleen afgedwongen wordt door een tuchtregeling, maar ook actieve kwaliteitstoetsing een evenwichtig kwaliteitsniveau voor alle RE s waarborgt en schade aan de beroepsgroep tijdig kan voorkomen. 26

27 Hoofdstuk 5: Reflectie Met dit onderzoek hopen we een inhoudelijke basis te kunnen bieden voor de huidige lopende discussie over de tekenbevoegdheid van de IT-auditor voor een SAS 70 verklaring in Nederland. We hebben hiertoe de formele en praktische criteria vastgesteld die ten grondslag kunnen liggen aan een besluit over het toekennen van tekenbevoegdheid voor een SAS 70 verklaring aan een IT-auditor. 5.1 Ontwikkelingen in de praktijk Uit ons onderzoek blijkt dat er in theorie formeel en praktisch gezien geen onneembare belemmeringen zijn om tekenbevoegdheid voor een SAS 70 verklaring toe te kunnen kennen aan een RE, indien deze over voldoende relevante kennis en ervaring beschikt. We zien de ontwikkelingen op dit gebied in de praktijk dan ook met interesse tegemoet, waarbij we de relativering willen aanbrengen dat de discussie hierover nog in volle gang is en er vele belangen spelen. Zoals beschreven is de afgifte van SAS 70 verklaringen een trend en een lucratief assurance product waar vele partijen op willen inspelen, zowel RE s als RA s. In de belangenstrijd die daarmee gepaard gaat, is het de vraag welke kant de toekenning van tekenbevoegdheid zich in de praktijk op gaat ontwikkelen en of de gelijkstelling tussen RE s en RA s op dit gebied tot zijn recht kan komen. Deze trend brengt ook het risico met zich mee dat individuele professionals SAS 70 opdrachten op basis van eigen belangen aanvaarden en onvoldoende de ethische afweging maken of zij over de benodigde kennis en ervaring beschikken om een SAS 70 verklaring af te kunnen tekenen. Zoals geconcludeerd in ons onderzoek, dient de naleving van de beroepsregels en kwaliteitseisen niet alleen afgedwongen te worden door een tuchtregeling, maar ook door actieve kwaliteitstoetsing. Het strikter reguleren (en daarmee bureaucratiseren) van de uitvoering van IT-audits roept echter bij sommige RE s weerstand op. Een mogelijke oplossing zou kunnen zijn om verschillende soorten RE s te onderkennen. Deze categorisering kan bestaan uit interne RE s (RE met interne assurance rol binnen een organisatie), externe RE s (bij accountantskantoren) en overige RE s ( slapend of niet in een assurance verschaffende rol). Externe RE s die externe mededelingen afgeven moeten dan onder een strenge kwaliteitstoetsing door de NOREA vallen om te beoordelen of ze genoeg gekwalificeerd zijn om verklaringen af te kunnen tekenen. Bij RA s geldt al een soortgelijke categorisering; niet alle type RA s zijn bevoegd om verklaringen/mededelingen af te geven en te tekenen. 5.2 Toekomstig onderzoek Wij hebben ons in dit onderzoek beperkt tot een analyse van de situatie in Nederland, waarbij we wel de formele situatie in de Verenigde Staten hebben beschreven als referentiepunt. SAS 70 verklaringen in de Verenigde Staten kunnen alleen uitgevoerd worden onder de verantwoordelijkheid van een CPA of accountantskantoor dat ingeschreven staat bij de AICPA. IT-auditors vallen in de Verenigde Staten niet onder de AICPA, maar zijn georganiseerd in de beroepsvereniging ISACA. In de praktijk worden bij SAS 70 werkzaamheden en rapportages vaak IT-auditors ingezet die voldoende ervaring hebben en 27

28 gecertificeerd zijn door de ISACA als CISSP (Certified Information System Security Professional) of als CISA (Certified Information Systems Auditors). Aangezien de ISACA net als de NOREA een beroepsvereniging is voor IT-auditors en daarnaast ook lid is van de IFAC en daarmee aan dezelfde formele waarborgen voldoet, rijst de vraag of in de Verenigde Staten wellicht dezelfde discussie leeft als in Nederland. Het zou interessant zijn om in toekomstig onderzoek verder uit te zoeken hoe in de Verenigde Staten aangekeken wordt tegen de verschillen en overeenkomsten in rollen, werkzaamheden en bijbehorende rechten en plichten van CPA s en IT-auditors. Tevens is interessant om te inventariseren hoe de AICPA aankijkt tegen het gebruik van haar SAS 70 standaard buiten de Verenigde Staten en haar opvatting over tekenbevoegdheid door niet-cpa s buiten de Verenigde Staten. 5.3 Persoonlijke leerpunten Voor ons persoonlijk is dit onderzoek een leerzaam traject geweest. Door het bestuderen van de literatuur hebben meer we meer inhoudelijke kennis met betrekking tot SAS 70 richtlijnen en bepalingen gekregen. Dit zal van pas komen bij het uitvoeren van toekomstige SAS 70 opdrachten in de praktijk. Daarnaast hebben we tijdens het onderzoek meer inzicht gekregen in de werkzaamheden van de accountant. Door dit inzicht zijn we voortaan beter in staat om de samenwerking met de accountants tijdens opdrachten te bevorderen. Door de steeds maar toenemende vraag naar geïntegreerde audits in de markt, is het van belang dat IT-auditors meer inzicht hebben in de rollen en werkzaamheden van andere auditors, waaronder financial auditors (accountants). We hebben bepaalde richtlijnen van de NOREA en het NIVRA bestudeerd. Hierdoor hebben we meer inzicht gekregen in de regelgeving van de beroepsverenigingen NOREA en NIVRA. Dit heeft voor ons een grote toegevoegde waarde. Als toekomstige RE s hebben we direct te maken met de richtlijnen en regelgeving van de NOREA en indirect met die van het NIVRA. Uit het onderzoek is onder meer gebleken dat naast de opleiding de praktijkervaring voor een RE zeer belangrijk is. Wij zijn ons dan ook bewuster geworden dat praktijkervaring van groot cruciaal belang is voor een IT-auditor naast de opleiding. Dit betekent dat wij niet uitgeleerd zijn na het afronden van deze scriptie en de IT-audit opleiding, maar dat dit de start is van nog vele werkzaamheden en ervaringen in de praktijk. 28

29 Literatuurlijst [1] Concept-Raamwerk Assurance-opdrachten voor IT-auditors, NOREA, juni 2007, [2] Concept-Richtlijn Assurance-opdrachten voor IT-auditors, [3] Eindtermen Opleiding EDP-Auditing; Status: ter vaststelling door overlegplatform Universiteiten, NOREA, 2007 [4] Eindtermen theoretische accountantsopleiding, Commissie Eindtermen Accountantsopleiding, November 2007 [5] IFAC richtlijn 3402, April _Agenda_Item_10-A_-_Service_Organizations_ISAE_3402_(Draft).pdf [6] Praktijkgids SAS 70 Een beheerste uitbesteding, Han Boer, KPMG, 2007 [7] Nadere voorschriften accountantskantoren ter zake van Assurance-opdrachten, NIVRA, 1 maart 2007, [8] SAS 70 in leveranciersrelaties; Meer dan een zaak van vertrouwen, René Ewals, Deloitte, 2007 [9] Statement on Auditing Standards No. 70: Service Organizations, AICPA, 2005 [10] [11] 29

30 Bijlage: Interviewverslagen 30

31 A-1 Interviewverslag RE/RA professional I Professional: Senior Manager, Deloitte Enterprise Risk Services Praktijkcase 1: Grote pensioenbeheerder 1. Bent u RA en/of RE? - RE (6 jaar) 2. Hoe vaak en hoe lang bent u betrokken geweest bij SAS 70 trajecten? - 3 jaar en alleen betrokken geweest bij de betreffende praktijkcase (zowel Type I als Type II). VRAGEN M.B.T. DE GESELECTEERDE PRAKTIJKCASE: 3. Wat is uw rol geweest binnen het SAS 70 traject van de praktijkcase? - Ik ben de engagement manager geweest op de opdracht en verantwoordelijk geweest voor het testen van de application controls en IT general controls. De eerste twee jaar waren een RE en een RA beide hoofdverantwoordelijk voor het uitvoeren van de opdracht (de verklaring werd dus door beide afgetekend) en in het laatste jaar is alleen de RE hoofdverantwoordelijk geweest (de verklaring werd alleen afgetekend door de RE). Deze keuze is gemaakt omdat de IT-audit afdeling inhoudelijk meer kennis heeft over SAS 70 dan de Financial-Audit afdeling. De RA heeft wel inhoudelijk de testresultaten/bevindingen van de manuele controls goedgekeurd. 4. Betroffen de audit werkzaamheden binnen dit traject met name business process controls (inclusief application controls) en/of IT general controls? Wat was de verhouding tussen manuel en application controls? - De werkzaamheden betroffen IT general controls en application controls. De verhouding tussen manuele en automatische controls is 2/3 en 1/3. Daarbij dient te worden opgemerkt dat RE s soms ook tests voor de manuele controls hebben uitgevoerd, wanneer deze onderdeel uitmaakten van processen waarvoor application controls getest werden. 5. Welke werkzaamheden heeft u/hebben IT-auditors (RE) binnen dit traject uitgevoerd en welke werkzaamheden zijn, indien van toepassing, door accountants (RA) uitgevoerd? Was hierbij een verschil tussen type 1 en type 2? - RA s hebben procedurele/manuele controls uitgevoerd. RE s hebben IT general controls en application controls en een aantal bijbehorende manuele controls uitgevoerd. 31

32 In de eerste jaren hebben RE s (vooral bij Type I) op de kennis van RA s gesteund, omdat RA s gedurende meerdere jaren ervaring hadden opgebouwd tijdens de jaarrekeningcontroles bij de betreffende organisatie. In principe zouden RE s, aangezien zij nu inmiddels de ervaring van de organisatie hebben opgebouwd, ook zelfstandig de manuele controls kunnen uitvoeren, maar omdat RA s de jaarrekeningcontrole bij deze klant uitvoeren en zij al kennis/ervaring hebben met de processen is het efficiënt dat zij worden ingeschakeld. 6. Indien bij het traject ook een accountant (RA) was ingeschakeld, hadden de door hem/haar uitgevoerde werkzaamheden ook zonder zijn/haar betrokkenheid kunnen worden uitgevoerd door IT-auditors (RE)? Indien nee, welke onmisbare deskundigheid bood de accountant (RA) aan binnen dit traject? Indien ja, waren er bepaalde werkzaamheden die de accountant (RA) niet zonder de IT-auditor (RE) had kunnen uitvoeren? - Het betrof pensioenvermogenbeheersprocessen. Daarbij is het belangrijk dat je vaak hebt meegedraaid met deze processen en dat je deze processen goed kent en op de hoogte bent waar de risico s liggen. Tevens is ervaring en kennis van voor deze processen specifieke wet- en regelgeving van belang om deze werkzaamheden uit te voeren. Een RA of RE die ervaren is met deze processen en beschikt over de relevante kennis zou de werkzaamheden kunnen uitvoeren. Een beginnend RA is in principe gelijk aan een beginnend RE. 7. Indien bij het traject geen accountant (RA) was ingeschakeld, wat was hiervoor de reden of afweging? Konden alle werkzaamheden naar voldoening zonder zijn/haar betrokkenheid worden uitgevoerd door IT-auditors (RE)? Indien nee, op welke punten werd de deskundigheid van de accountant (RA) gemist? - Ja, RA was wel ingeschakeld. RA s voeren de jaarrekeningcontrole bij deze klant uit en omdat zij al kennis/ervaring hebben met de processen is het efficiënt dat zij worden ingeschakeld. Indien een RE genoeg deskundig (ervaring met de klant/organisatie en kennis over de processen) en onafhankelijk is, dan kan hij de processen beoordelen en de bijbehorende SAS 70 verklaring aftekenen. 8. Vul in de bijgevoegde checklist Tabel Kennisdomeinen in welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen dit traject, en of een RA danwel een RE deze kennis volgens u bezit: Microsoft Office Excel 2003 Worksheet (zie laatste pagina van de uitwerking van het interview) 32

33 VRAGEN M.B.T. SAS 70 TRAJECTEN IN HET ALGEMEEN: 9. In het algemeen, welke benodigde deskundigheid (ervaring en opleiding) is volgens u benodigd voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Is dit vergelijkbaar voor elk soort traject? Indien nee, wat is daarvan de reden en zijn er verschillende categorieën trajecten te onderkennen waarvoor dit verschilt? Indien van toepassing, opereert u voornamelijk in een specifieke categorie of ook in andere categorieën, zo ja welke? - Naast de opleiding (post-doctorale IT-auditing studie) zijn de ervaring en kennis van belang om de werkzaamheden uit te voeren. Opleiding: kennis over hoe je een proces moet auditen (auditkennis). Ervaring/industrie: ervaring met de processen die in scope zijn (op de hoogte van de beheersdoelstellingen en de bijbehorende risico s) en organisatie waar de opdracht plaatsvindt. 10. Wat zijn volgens u typisch de rol en de bijbehorende werkzaamheden van respectievelijk een RA en RE binnen een SAS 70 traject in het algemeen? Wat is hiervan de reden? - RA: manuele controls. Dit omdat zij heel vaak in het kader van de jaarrekeningcontrole dit al hebben getest en reeds kennis hiervan/ervaring hiermee hebben. RE: IT general controls en application controls. 11. Bent van u van mening dat SAS 70 verklaringen door een RE getekend zouden moeten kunnen worden? Indien ja, in welke gevallen of onder welke omstandigheden? - Ja, indien RE s ervaring hebben opgedaan met de organisatie en relevante processen en over specifieke (industrie)kennis beschikken. Uiteindelijk dient een verantwoordelijke RA danwel RE zelf in te schatten of hij met zijn team over voldoende kennis en ervaring beschikt om de verklaring te tekenen. Hierbij dient hij zich te houden aan het Reglement Gedragscode van de NOREA. 33

34 34

35 A-2 Interviewverslag RE/RA professional II Professional: Director, Deloitte Enterprise Risk Services Praktijkcase 2: Grote hypotheekdienstverlener 1. Bent u RA en/of RE? - RA (13 jaar) en RE (8 jaar). 2. Hoe vaak en hoe lang bent u betrokken geweest bij SAS 70 trajecten? - 4 jaar en ben betrokken geweest bij vier verschillende SAS 70 trajecten (zowel Type I als Type II). VRAGEN M.B.T. DE GESELECTEERDE PRAKTIJKCASE: 3. Wat is uw rol geweest binnen het SAS 70 traject van de praktijkcase? - Assignment manager/director. Na review door een RE is de verklaring afgetekend door een RA vanwege reeds bestaande klantcontacten. 4. Betroffen de audit werkzaamheden binnen dit traject met name business process controls (inclusief application controls) en/of IT general controls? Wat was de verhouding tussen manuel en application controls? - De werkzaamheden betroffen IT general controls en application controls., De verhouding tussen manuele en automatische controls is 2/3 en 1/3. 5. Welke werkzaamheden heeft u/hebben IT-auditors (RE) binnen dit traject uitgevoerd en welke werkzaamheden zijn, indien van toepassing, door accountants (RA) uitgevoerd? Was hierbij een verschil tussen type 1 en type 2? - RA s hebben procedurele/manuele controls uitgevoerd. RE s hebben IT general controls en application controls uitgevoerd. Er was geen verschil tussen type 1 en type 2. Ook heb ik de werkzaamheden met betrekking tot de control environment (sectie 2 van het SAS 70 rapport) uitgevoerd, aangezien ik de specifieke SAS 70 expertise bezat (SAS 70 is organisatorisch belegd bij de IT-audit afdeling). Tevens heeft er een zware review rol op het rapport en de opzet van de controls in het rapport door mij plaatsgevonden gelet op mijn specifieke SAS 70 expertise die niet bij het Financial audit team aanwezig was, dit geldt ook voor de analyse van geconstateerde tekortkomingen en wanneer dit wel of niet leidt tot het niet realiseren van de beheersdoelstelling en het opnemen in de SAS 70 mededeling 35

36 6. Indien bij het traject ook een accountant (RA) was ingeschakeld, hadden de door hem/haar uitgevoerde werkzaamheden ook zonder zijn/haar betrokkenheid kunnen worden uitgevoerd door IT-auditors (RE)? Indien nee, welke onmisbare deskundigheid bood de accountant (RA) aan binnen dit traject? Indien ja, waren er bepaalde werkzaamheden die de accountant (RA) niet zonder de IT-auditor (RE) had kunnen uitvoeren? - Proceskennis is noodzakelijk bij het uitvoeren van de manuele controls. In dit geval hadden de accountants inmiddels al de beschikking over de proceskennis, deze kennis hadden zij opgebouwd tijdens de jaarrekeningcontroles bij de klant. RE s zouden in principe deze manuele controls ook kunnen uitvoeren indien zij door ervaring kennis over de processen en de betreffende industrie opgedaan hebben. 7. Indien bij het traject geen accountant (RA) was ingeschakeld, wat was hiervoor de reden of afweging? Konden alle werkzaamheden naar voldoening zonder zijn/haar betrokkenheid worden uitgevoerd door IT-auditors (RE)? Indien nee, op welke punten werd de deskundigheid van de accountant (RA) gemist? - RA s waren wel ingeschakeld omdat zij de jaarrekeningcontrole bij deze opdrachtgever uitvoeren en dus over de proceskennis van de organisatie beschikken, waardoor zij de manuele controls kunnen uitvoeren. RE s zouden mogelijk ook deze manuele controls kunnen uitvoeren indien zij over de proceskennis beschikken. 8. Vul in de bijgevoegde checklist Tabel Kennisdomeinen in welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen dit traject, en of een RA danwel een RE deze kennis volgens u bezit: Microsoft Office Excel 2003 Worksheet (zie laatste pagina van de uitwerking van het interview) VRAGEN M.B.T. SAS 70 TRAJECTEN IN HET ALGEMEEN: 9. In het algemeen, welke benodigde deskundigheid (ervaring en opleiding) is volgens u benodigd voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Is dit vergelijkbaar voor elk soort traject? Indien nee, wat is daarvan de reden en zijn er verschillende categorieën trajecten te onderkennen waarvoor dit verschilt? Indien van toepassing, opereert u voornamelijk in een specifieke categorie of ook in andere categorieën, zo ja welke? - De volgende kennis is van belang om de werkzaamheden uit te kunnen voeren: 36

37 Kennis van de SAS 70 standaard (AICPA guide): rapportindeling, user control considerations, opbouw van de SAS 70 mededeling en vermelding van de uitzonderingen in het rapport. Ervaring: kennis van de processen en IT. Audit: kennis over hoe je een proces moet auditen (auditkennis) en ervaring opdoen op het gebied van auditen. 10. Wat zijn volgens u typisch de rol en de bijbehorende werkzaamheden van respectievelijk een RA en RE binnen een SAS 70 traject in het algemeen? Wat is hiervan de reden? - RA: manuele controls. Dit omdat zij heel vaak in het kader van de jaarrekeningcontrole dit al hebben getest en reeds kennis hiervan/ervaring hiermee hebben. RE: IT general controls en application controls. 11. Bent van u van mening dat SAS 70 verklaringen door een RE getekend zouden moeten kunnen worden? Indien ja, in welke gevallen of onder welke omstandigheden? - Ja, indien RE s beschikken over (industrie)kennis en ervaring hebben opgedaan met de processen. Indien het team van RE beschikt over de benodigde kennis en ervaring van de processen, dan kan RE ook de SAS 70 verklaring aftekenen. In gevallen van SAS 70 trajecten waarbij alleen IT processen in scope zijn dan kan een RE de SAS 70 verklaring beter aftekenen. Wanneer er voornamelijk businessspecifieke processen in scope zijn, dient een RE of RA met de noodzakelijke proceskennis te tekenen. 37

38 38

39 A-3 Interviewverslag RE/RA professional III Professional: Senior manager, Deloitte Enterprise Risk Services Praktijkcase 3: Grote financiële dienstverlener 1. Bent u RA en/of RE? - RE (7,5 jaar). 2. Hoe vaak en hoe lang bent u betrokken geweest bij SAS 70 trajecten? - 1 jaar en ben betrokken geweest bij 10 SAS 70 trajecten. VRAGEN M.B.T. DE GESELECTEERDE PRAKTIJKCASE: 3. Wat is uw rol geweest binnen het SAS 70 traject van de praktijkcase? - Verantwoordelijk assignment manager. De IT-audit afdeling van de externe auditor is verantwoordelijk geweest voor de uitvoering van de werkzaamheden en de verklaring is getekend door een RE RA. 4. Betroffen de audit werkzaamheden binnen dit traject met name business process controls (inclusief application controls) en/of IT general controls? Wat was de verhouding tussen manuel en application controls? - De werkzaamheden betroffen IT general controls, application controls en business cycle controls (RE s hadden hierbij dus ook een aantal business cycle controls uitgevoerd). Zwaartepunt (qua controls en daarmee qua werkzaamheden) ligt op de business cycle controls. IT is ondersteunend. De verhouding tussen business cycle- en ITcontrols is ongeveer 9/10 en 1/10. Waarbij bij deze praktijkcase een duidelijke zichtbare beweging is van handmatige naar geprogrammeerde controles. 5. Welke werkzaamheden heeft u/hebben IT-auditors (RE) binnen dit traject uitgevoerd en welke werkzaamheden zijn, indien van toepassing, door accountants (RA) uitgevoerd? Was hierbij een verschil tussen type 1 en type 2? - Bij deze praktijkcase is in het eerste (type II) jaar ervoor gekozen om een team samen te stellen met zowel Financial- als IT-auditors, met als achterliggende redenering dat specifieke kennis van de businessprocessen met name bij onze collega accountants aanwezig is. De IT-auditors hebben zich in dit eerste jaar dus vooral gericht op de IT general controls en application controls (en de eindverantwoordelijkheid/projectmanagement lag bij de IT-audit afdeling). In het 2 e jaar (2 e type II) is een team samengesteld volledig bestaand uit IT-auditors. Proceskennis was inmiddels ook in voldoende mate bij enkele IT-auditors aanwezig. Daarnaast kunnen zij steunen op de specifieke proceskennis van de interne audit afdeling van de klant. 39

40 6. Indien bij het traject ook een accountant (RA) was ingeschakeld, hadden de door hem/haar uitgevoerde werkzaamheden ook zonder zijn/haar betrokkenheid kunnen worden uitgevoerd door IT-auditors (RE)? Indien nee, welke onmisbare deskundigheid bood de accountant (RA) aan binnen dit traject? Indien ja, waren er bepaalde werkzaamheden die de accountant (RA) niet zonder de IT-auditor (RE) had kunnen uitvoeren? - Ja, proceskennis was inmiddels opgedaan door de RE (hierbij niet te maken met financiële verantwoording en dus konden de werkzaamheden door de RE worden uitgevoerd). Door deze proceskennis kon de RE de werkzaamheden uitvoeren. 7. Indien bij het traject geen accountant (RA) was ingeschakeld, wat was hiervoor de reden of afweging? Konden alle werkzaamheden naar voldoening zonder zijn/haar betrokkenheid worden uitgevoerd door IT-auditors (RE)? Indien nee, op welke punten werd de deskundigheid van de accountant (RA) gemist? - Zie vraag 5 en Vul in de bijgevoegde checklist Tabel Kennisdomeinen in welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen dit traject, en of een RA danwel een RE deze kennis volgens u bezit: Microsoft Office Excel 2003 Worksheet (zie laatste pagina van de uitwerking van het interview) VRAGEN M.B.T. SAS 70 TRAJECTEN IN HET ALGEMEEN: 9. In het algemeen, welke benodigde deskundigheid (ervaring en opleiding) is volgens u benodigd voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Is dit vergelijkbaar voor elk soort traject? Indien nee, wat is daarvan de reden en zijn er verschillende categorieën trajecten te onderkennen waarvoor dit verschilt? Indien van toepassing, opereert u voornamelijk in een specifieke categorie of ook in andere categorieën, zo ja welke? - De volgende kennis en ervaring is benodigd voor het uitvoeren van de SAS 70 werkzaamheden: 1. Auditmethodologie en ervaring met de uitvoering van een audit; 2. SAS 70 richtlijnen; 3. Specifieke inhoudelijke kennis van de gebieden business cycle controls (inclusief application controls) van bepaalde industries en IT general controls. 40

41 10. Wat zijn volgens u typisch de rol en de bijbehorende werkzaamheden van respectievelijk een RA en RE binnen een SAS 70 traject in het algemeen? Wat is hiervan de reden? - Typisch: RA gericht op de financieel georiënteerde business cycles, RE gericht op de IT georiënteerde controleactiviteiten/-gebieden. Alleen typisch gaat meestal in de praktijk niet op (doordat de achtergrond van de gemiddelde RE of RA uit veel meer bestaat dan alleen de vooropleiding, denk aan overige opleidingen en concrete werkervaring). 11. Bent van u van mening dat SAS 70 verklaringen door een RE getekend zouden moeten kunnen worden? Indien ja, in welke gevallen of onder welke omstandigheden? - Een SAS 70 mededeling zou door een RE ondertekend kunnen worden in die gevallen dat de betreffende RE over voldoende kennis en ervaring beschikt ten aanzien van de specifieke SAS 70 richtlijnen en bepalingen en in staat is een adequate afweging te maken op het niveau van beheersmaatregelen en doelstellingen. De RE moet zelf kunnen vaststellen of hij over de benodigde ervaring en kennis beschikt om de werkzaamheden te kunnen uitvoeren. Daarnaast moet hij de verantwoordelijkheid kunnen nemen om de werkzaamheden uit te kunnen voeren (volgens de beroepsregels van de NOREA/NIVRA). Ook speelt het organisatiemodel bij de klant een rol in hoeverre er gesteund kan worden op de specifieke kennis van een interne auditafdeling. 41

42 42

43 A-4 Interviewverslag RE/RA professional IV Professional: Manager, Deloitte Enterprise Risk Services Praktijkcase 4: Grote vermogensbeheerder 1. Bent u RA en/of RE? - RE (1 jaar) 2. Hoe vaak en hoe lang bent u betrokken geweest bij SAS 70 trajecten? - 4 jaar bij vijf verschillende trajecten. VRAGEN M.B.T. DE GESELECTEERDE PRAKTIJKCASE: 3. Wat is uw rol geweest binnen het SAS 70 traject van de praktijkcase? - Assignment Manager, aansturen van een geïntegreerd team van RE s en RA s. De verklaring is afgetekend door een RE RA. 4. Betroffen de audit werkzaamheden binnen dit traject met name business process controls (inclusief application controls) en/of IT general controls? Wat was de verhouding tussen manuel en application controls? - 50% Business cycle controls, 50 % IT controls. De organisatie heeft vrijwel geen Application Controls. 5. Welke werkzaamheden heeft u/hebben IT-auditors (RE) binnen dit traject uitgevoerd en welke werkzaamheden zijn, indien van toepassing, door accountants (RA) uitgevoerd? Was hierbij een verschil tussen type 1 en type 2? - RA s hebben procedurele/manuele controls uitgevoerd. RE s hebben IT general controls uitgevoerd. 6. Indien bij het traject ook een accountant (RA) was ingeschakeld, hadden de door hem/haar uitgevoerde werkzaamheden ook zonder zijn/haar betrokkenheid kunnen worden uitgevoerd door IT-auditors (RE)? Indien nee, welke onmisbare deskundigheid bood de accountant (RA) aan binnen dit traject? Indien ja, waren er bepaalde werkzaamheden die de accountant (RA) niet zonder de IT-auditor (RE) had kunnen uitvoeren? - Beiden waren in dit geval onmisbaar vanwege hun specifieke Business cycle controls/it general controls kennis. Hierbij dient aangemerkt te worden dat deze kennis niet afleidbaar is uit de titel, maar persoonlijk door ervaring is opgedaan. De RA s hebben 43

44 veel specifieke proceskennis aangezien de organisatie al jaren een jaarrekeningcontrole klant is en daardoor ook betrokken waren bij dit traject. 7. Indien bij het traject geen accountant (RA) was ingeschakeld, wat was hiervoor de reden of afweging? Konden alle werkzaamheden naar voldoening zonder zijn/haar betrokkenheid worden uitgevoerd door IT-auditors (RE)? Indien nee, op welke punten werd de deskundigheid van de accountant (RA) gemist? - Er waren accountants betrokken vanwege hun specifieke proceskennis. Dit gaat om zeer complexe financiële pensioenprocessen, waar de RA s met name door hun ervaring maar ook in mindere mate door hun RA studie een voorsprong hebben. Een RE met specifieke ervaring zou dit echter ook op kunnen pakken. 8. Vul in de bijgevoegde checklist Tabel Kennisdomeinen in welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen dit traject, en of een RA danwel een RE deze kennis volgens u bezit: Microsoft Office Excel 2003 Worksheet (zie laatste pagina van de uitwerking van het interview) VRAGEN M.B.T. SAS 70 TRAJECTEN IN HET ALGEMEEN: 9. In het algemeen, welke benodigde deskundigheid (ervaring en opleiding) is volgens u benodigd voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Is dit vergelijkbaar voor elk soort traject? Indien nee, wat is daarvan de reden en zijn er verschillende categorieën trajecten te onderkennen waarvoor dit verschilt? Indien van toepassing, opereert u voornamelijk in een specifieke categorie of ook in andere categorieën, zo ja welke? - Manager dient specifieke SAS 70 kennis te hebben. De uitvoering is een standaard audit (alleen de rapportagestructuur is anders) en niet opleidingsspecifiek. Wel is kennis van de bedrijfsprocessen en ervaring met de bedrijfsprocessen nodig. 10. Wat zijn volgens u typisch de rol en de bijbehorende werkzaamheden van respectievelijk een RA en RE binnen een SAS 70 traject in het algemeen? Wat is hiervan de reden? - RA: financiële processen; RE: IT en technische processen. 11. Bent van u van mening dat SAS 70 verklaringen door een RE getekend zouden moeten kunnen worden? Indien ja, in welke gevallen of onder welke omstandigheden? 44

45 - Als het om een IT dominante omgeving gaat, moet de RE leidend zijn. Indien het met name om process controls gerelateerd aan het financiële proces gaat, moet de RA leidend zijn. Degene die uiteindelijk aftekent moet zelf de noodzakelijk specifieke kennis in huis hebben om te kunnen reviewen en de verantwoordelijkheid op zich te nemen. 45

46 46

47 A-5 Interviewverslag RE/RA professional V Professional: Senior Manager, Deloitte Enterprise Risk Services Praktijkcase 5: Pensioenbeheerder 1. Bent u RA en/of RE? - RA (10 jaar) en RE (5 jaar) 2. Hoe vaak en hoe lang bent u betrokken geweest bij SAS 70 trajecten? - 1,5 jaar en ben betrokken geweest bij drie SAS 70 trajecten (bij dezelfde cliënt). Voor de rest ben ik vanuit een engagement quality assurance review rol betrokken bij geweest bij een aantal SAS 70 trajecten en proposals. VRAGEN M.B.T. DE GESELECTEERDE PRAKTIJKCASE: 3. Wat is uw rol geweest binnen het SAS 70 traject van de praktijkcase? - Verantwoordelijke assignment manager. De SAS 70 mededeling is getekend door een verantwoordelijke partner binnen de IT-audit afdeling (ERS). 4. Betroffen de audit werkzaamheden binnen dit traject met name business process controls (inclusief application controls) en/of IT general controls? Wat was de verhouding tussen manuel en application controls? - Business cycle controls (met name) en IT general controls. De verhouding tussen manuele en automatische controls is 4/5 en 1/5. Er waren hierbij weinig application controls in scope. 5. Welke werkzaamheden heeft u/hebben IT-auditors (RE) binnen dit traject uitgevoerd en welke werkzaamheden zijn, indien van toepassing, door accountants (RA) uitgevoerd? Was hierbij een verschil tussen type 1 en type 2? - Business cycle controls en IT general controls. Bij type 1 is een RA betrokken geweest. Dit was niet zozeer vanwege haar deskundigheid, maar vanwege haar beschikbaarheid. Toevallig had zij wel kennis van pensioenprocessen,wat wel nuttig was bij de opdracht. Bij type 2 waren geen RA s (behalve ikzelf) betrokken geweest. Het is wel nuttig om teamleden te hebben met een RE/IT achtergrond, omdat er meestal wel systemen in scope zijn die moeten worden beoordeeld. RA s hebben in principe wel een basiskennis van de business cycles, maar RE s zouden dit ook kunnen opbouwen door ervaring of eventuele aanvullende trainingen. 47

48 6. Indien bij het traject ook een accountant (RA) was ingeschakeld, hadden de door hem/haar uitgevoerde werkzaamheden ook zonder zijn/haar betrokkenheid kunnen worden uitgevoerd door IT-auditors (RE)? Indien nee, welke onmisbare deskundigheid bood de accountant (RA) aan binnen dit traject? Indien ja, waren er bepaalde werkzaamheden die de accountant (RA) niet zonder de IT-auditor (RE) had kunnen uitvoeren? - RA is wel misbaar, mits RE s de benodigde ervaring en kennis hebben. 7. Indien bij het traject geen accountant (RA) was ingeschakeld, wat was hiervoor de reden of afweging? Konden alle werkzaamheden naar voldoening zonder zijn/haar betrokkenheid worden uitgevoerd door IT-auditors (RE)? Indien nee, op welke punten werd de deskundigheid van de accountant (RA) gemist? - N.v.t. 8. Vul in de bijgevoegde checklist Tabel Kennisdomeinen in welke kennisdomeinen noodzakelijk waren voor het uitvoeren van de werkzaamheden binnen dit traject, en of een RA danwel een RE deze kennis volgens u bezit: Microsoft Office Excel 2003 Worksheet (zie laatste pagina van de uitwerking van het interview) VRAGEN M.B.T. SAS 70 TRAJECTEN IN HET ALGEMEEN: 9. In het algemeen, welke benodigde deskundigheid (ervaring en opleiding) is volgens u benodigd voor het uitvoeren van de werkzaamheden binnen een SAS 70 traject. Is dit vergelijkbaar voor elk soort traject? Indien nee, wat is daarvan de reden en zijn er verschillende categorieën trajecten te onderkennen waarvoor dit verschilt? Indien van toepassing, opereert u voornamelijk in een specifieke categorie of ook in andere categorieën, zo ja welke? - Voor de volgende zaken is kennis en/of ervaring van belang om SAS 70 werkzaamheden uit te kunnen voeren: SAS 70 richtlijnen, auditkennis/ervaring, BIV en afhankelijk van de scope technische/it kennis en ervaring met de primaire bedrijfsprocessen in scope (de processen en systemen in scope moet je kunnen beoordelen om er een oordeel over te kunnen geven). 10. Wat zijn volgens u typisch de rol en de bijbehorende werkzaamheden van respectievelijk een RA en RE binnen een SAS 70 traject in het algemeen? Wat is hiervan de reden? 48