Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn

Maat: px
Weergave met pagina beginnen:

Download "Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn"

Transcriptie

1 IT-auditors bijeen Denk je iets af te weten van SAS70 verklaringen en Third Party Mededelingen? Verslag van de NOREA-bijeenkomst regio Apeldoorn Thea Gerritse De Regio Apeldoorn van de NOREA hield op 1 mei een bijzondere avond over de toepasbaarheid van SAS70 verklaringen en Third Party Mededelingen. De organisatie had een viertal gerenommeerde vakgenoten (zie kaders) bereid gevonden zitting te nemen in een panel dat onder leiding van Adri de Bruijn (zie kader) op interactieve wijze met de mensen in de zaal in discussie wilde gaan over de toepasbaarheid van SAS70 verklaringen en TPM s. Drs. Th. M.J. Gerritse RE is senior auditor bij EDP AUDIT POOL Met een bijzonder wervende uitnodiging hadden de organisatoren ongeveer vijftig mensen naar deze discussiebijeenkomst gelokt. En zij zijn niet teleurgesteld. Een aantal interessante kwesties passeerde de revue. Nadat de voorzitter de mensen in de zaal welkom heeft geheten nodigt hij de sprekers uit zichzelf voor te stellen, en een stelling te poneren, waarna de zaal hierop kan reageren. Joop Winterink geeft aan dat hij vooral vanuit de gebruikerskant met SAS70 verklaringen te maken heeft en hij vindt dat hij daar niet zo veel aan heeft. Zijn stelling is dan ook: Of ik nu een SAS70 verklaring of een TPM verklaring krijg, ik vind dat ik er nog steeds zo weinig aan heb. Ik ben teleurgesteld over wat ik krijg aangeleverd, ondanks de standaard. De stelling van Herman van Gils kent een heel andere invalshoek. Vanuit zijn ervaring en betrokkenheid met SOX verkondigt hij dat SAS70 misplaatst is in een SOX-omgeving, er moet een SOX-70 komen! Jan Roodnat is kort maar krachtig in zijn stelling: Een SAS70 verklaring is één van de verschijningsvormen van een TPM. Hans Nijhuis daarentegen poneert dat een SAS70 verklaring een TPM+ is, omdat een SAS70 verklaring verder gaat dan een TPM. De voorzitter doet de aftrap. Gegeven de mooie tegenstelling die er is tussen de stellingen van Roodnat en Nijhuis, vraagt hij hen om hun stellingen toe te lichten. SAS70: TPM+ of TPM-? De gevraagde toelichting van Roodnat begint met een definitie van een TPM: Een TPM is een rapportage naar aanleiding van een onderzoek van een onafhankelijke auditor waarbij de beoordeelde organisatie, bijvoorbeeld een rekencentrum of een serviceorganisatie, een andere is dan de organisatie waarvoor de rapportage bestemd is. Hij constateert dat de wijze van uit- voering van een TPM onderzoek gelijk is aan een SAS70 onderzoek. Argument daarvoor is dat een TPM een aantal verschijningsvormen kent, bijvoorbeeld een onderzoek op basis van algemene normen, zoals Cobit, of juist op basis van specifieke normen, op basis van webtrust et cetera. Zo kan het onderzoek ook uitgevoerd worden op basis van SAS70. Het is afhankelijk van wat je wilt met een TPM en afhankelijk van de behoefte van de gebruikers welke verschijningsvorm je kiest. Staat het onderzoek vooral ten dienste van de processen die van invloed zijn op de jaarrekening dan kies je SAS70. En dus is een SAS70 verklaring één van de verschijningsvormen van een TPM. Het lijkt een korte avond te worden als Nijhuis zijn toelichting begint met de mededeling dat hij het eens is met Roodnat. Maar dan komen de verschillen in opvatting toch duidelijk naar voren. Nijhuis constateert dat een TPM vooral over geautomatiseerde gegevensverwerking gaat. Voor veel processen in de organisatie is automatisering essentieel. Daarom wil een uitvoeringsorganisatie die de automatisering heeft uitbesteed natuurlijk een TPM. Maar een SAS70 verklaring gaat verder. Een organisatie kent uiteraard ook nog handmatige processen waarover je afspraken hebt gemaakt als klant en doelstellingen hebt afgesproken en waarvan je wilt weten of je doel wordt bereikt. Daarover gaat de SAS70 verklaring en die is dus breder dan de TPM die alleen over de automatisering gaat. Voor Nijhuis geldt dan ook dat een TPM een basis voorwaarde is om aan een SAS70 verklaring te komen. 35 de EDP-Auditor nummer

2 SAS70: een lege rapportagehuls? Vanuit de zaal wordt gereageerd. De discussie tussen Roodnat en Nijhuis is er een van kwasten vergelijken zonder dat we weten wat we moeten verven. Bedrijven ervaren vooral problemen rondom SOX. Er worden eisen gesteld vanuit SOX en je bent er niet met een SAS70 verklaring. Gechargeerd gesteld is het een holle rapportagehuls, de belangrijkste oorzaak daarvan is dat je de normeringen er niet in terugvindt. Volgens Winterink mag je dat niet van SAS70 verwachten. Het is een auditstandaard die bedoeld is om de accountant die verantwoordelijk is voor de jaarrekening informatie aan te reiken. Het is niet de bedoeling die standaard voor andere doeleinden te gaan gebruiken. Van Gils valt hem bij. Op zichzelf is er met SAS70 niet zoveel mis, maar we zien vooral in Nederland een tendens dat er vanuit SOX eisen gesteld worden aan organisaties en die bedrijven antwoorden met een generieke SAS70. Die aanpak is formeel en niet voldoende inhoudelijk. Nijhuis geeft toe dat zijn organisatie in het begin ook heeft geworsteld met de normeringen. Ze hebben daarbij veel naar Amerika gekeken. Zijn ervaring is dat SOX juist een belangrijke rol kan spelen in het ontwikkelen van de normering. En de gevolgen voor IT-auditors? Een van de auditors in de zaal wil een lans breken voor de TPM. Hij beargumenteert dit met het feit dat de standaarden voor SAS70 afkomstig zijn uit Amerika en tot dikke rapportages leiden. Die rapportages zijn bedoeld voor de jaarrekeningaccountant en die weet in veel gevallen niet wat hij ermee aan moet. Bovendien verwacht hij dat het werk voor IT-auditors aanzienlijk minder creatief wordt in vergelijking met TPM onderzoeken. Voor SAS70 onderzoeken is strak voorgeschreven wat je moet onderzoeken en hoe je dient te rapporteren. Vanuit de zaal wordt dit nog aangevuld met de opmerking dat er geen goed gericht handvat is voor de IT-auditor over de wijze waarop je een SAS70 onderzoek moet inrichten. Onder andere Van Gils reageert hierop. Hij bevestigt dat er sprake is van formele regels, maar hij benadrukt ook dat er ruimte is voor eigen interpretatie, vooral als het om het normenstelsel gaat. Dat is tenslotte niet voorgeschreven. En die lege huls? We moeten er met ons allen aan werken om die te vullen. De vraag is of dat bij een TPM anders is. Hoe klantspecifiek is een SAS70- verklaring? Volgens Roodnat is het normaal om ten behoeve van het uitbrengen van een SAS70 rapportage overleg te hebben met de klant over de beheersmaatregelen zodat je een klantspecifieke invulling kunt geven. Daarom snapt hij niet zo goed waarom Winterink stelt dat hij als gebruiker zo weinig heeft aan een SAS70 verklaring. Winterink licht zijn stelling nog eens toe. Je bent niet de enige die de verklaring krijgt, een SAS70 rapportage gaat naar meer gebruikers. Hij formuleert het probleem als volgt. In een SAS70 worden control objectives gedefinieerd, die zijn gekoppeld aan risico s. Die risico s worden echter niet uitgewerkt. Daarmee lijken die control objectives uit de lucht te komen vallen. De standaard schrijft verder alleen voor dat de beheersmaatregelen en de controletechnieken worden beschreven, maar niét de specifieke bevindingen. Verder zegt de standaard dat gebruiker en serviceorganisatie de norm waaraan getoetst wordt moeten overeenkomen. Van Gils reageert hierop en wel met de opmerking dat er geen formele SAS70 standaard is, er is helemaal niet zoveel voor geschreven. De SAS70 standaard is een klein document, waar veel omheen gedacht is. Ook Nijhuis wil de uitspraken van Winterink wat nuanceren: Risico s zijn wel degelijk meegenomen in de opzet en uitwerking van het onderzoek. Dat ze niet in het rapport staan heeft een pragmatische reden, het rapport zou al gauw vijf keer dikker worden, maar het rapport is voor de externe accountant die dat wel degelijk kan inzien. Er is ook veel overleg en er is ook een evaluatie of het aan de eis van de externe accountant voldoet. Een van de mensen in de zaal ziet een tegenstrijdigheid in het feit dat ten behoeve van een SAS70 verklaring afspraken worden gemaakt over de control objectives terwijl er ook sprake is van algemene verklaringen SAS70 lijkt dan niet klantspecifiek te zijn afgegeven. Is het niet logischer dat als er meer klanten zijn, meer accountants, die dan ook te betrekken bij het bepalen van de control objectives, de normering. Drs. Herman G.Th. van Gils RE RA Herman van Gils is senior manager bij KPMG Information Risk Management en docent aan de post-doctorale opleiding Accountancy en IT-auditing aan de Universiteit van Amsterdam. De laatste jaren is hij vooral betrokken bij certificeringopdrachten en onderzoeken. (pakketten, privacy, TPM en SAS 70). Hans Nijhuis RE RO Hans Nijhuis is manager Financial Audit binnen Group Audit Risk Services, de accountantsdienst van Achmea/Eureko. Zijn werkzaamheden richten zich op de business unit pensioenen van Achmea waar hij actief betrokken is bij de realisatie van SAS70 type II rapportages. Mr. drs. Jan Roodnat RE RA Jan Roodnat werkt ruim 17 jaar bij EAP, op dit moment als IT-audit manager volgens hem een fantastische organisatie. Hij is geïnteresseerd in nieuwe ontwikkelingen en lid van diverse werkgroepen van NOREA, waaronder de werkgroep normen en standaarden, de werkgroep oordelen en de NOREA commissie vaktechniek. 36 de EDP-Auditor nummer

3 Volgens Nijhuis kan dat niet de SAS70 verklaring is er principieel voor de accountants van de opdrachtgever en niet voor de toetsing van de individuele afspraken, waaronder bijvoorbeeld de effectiviteit van de beheersmaatregelen bij een individuele gebruikersorganisatie. Volgens Van Gils is het logisch en ook praktijk dat hij als externe accountant van de gebruikersorganisatie wel betrokken is bij het bepalen van de normering. Hier ziet van Gils een verschil tussen SAS70 s die nadrukkelijk op verzoek van de gebruikersorganisatie worden uitgevoerd (vooral nu in het kader van SOX, en dan met een heel specifiek normenstelsel) en SAS70 onderzoeken die door de serviceprovider voor meer gebruikersorganisaties worden opgesteld, waarbij de serviceprovider er belang bij heeft het normenstelsel wat generieker te houden. Uitdaging voor de beroepsorganisatie? De voorzitter vat de discussie samen. De conclusie is dat SAS70 wordt ervaren als een soort van rapportagehuls, waarin control objectives en beheersmaatregelen zijn beschreven. We kunnen erover discussiëren, wat de auditor daar nu precies aan heeft gedaan. Er is geen hard normenkader waaraan het object is getoetst. Wil je de SAS70 verklaring meer klantspecifiek maken dan zou je alle control objectives moeten afstemmen met de auditors van de klant, anderzijds zou het wellicht handig zijn om een generiek normenkader te hebben waar we of het nu om een TPM of een SAS70 gaat naar believen uit kunnen putten. Is het een uitdaging Joop A.W. Winterink RE RA Joop Winterink is sinds 1 april 2004 werkzaam als hoofd Internal Audit bij het pensioenfonds PGGM. Zijn carrière ontwikkelde zich van accountancy & IT-auditing in het interne en het openbare beroep (Philips, KPMG) naar management functies in IAD en IT bij Rabo bank Nederland om tenslotte weer in de accountancy te belanden bij De Nederlandse Bank, waar hij van 1999 tot 2004 heeft gewerkt. voor de beroepsorganisatie om een compleet standaard generiek normenkader op te stellen? Volgens Winterink is er sprake van een open norm. Wanneer uitbesteding plaatsvindt van werkzaamheden, blijf je als organisatie zelf verantwoordelijk. Je draagt die verantwoordelijkheid door de verantwoording die je terugkrijgt van de partij aan wie je uitbesteedt. SAS70 geeft alleen maar inzicht in de maatregelen die zijn getroffen in relatie tot de control objectives. De gebruiker van zo n verklaring moet zelf nog beoordelen of hij de beschreven maatregelen voldoende vindt. SAS70 is bedoeld om inzicht te geven, zodat je kunt interpreteren wat je aantreft, en daarom is het ook nooit een certificaat. Of, zoals iemand in de zaal samenvat: het is een stukje testen van de werking achter de klapdeuren het resultaat krijg je te zien. Volgens Winterink klopt dat: SAS70 stelt als eis dat de maatregelen die zijn beschreven waar zijn en moeten passen bij de control objectives. De auditor doet daar een uitspraak over en geeft zijn bevindingen. In hoofdstuk 1 geeft hij een totaaloordeel: wat ik in dit rapport heb aan getroffen is waar en dat heb ik gecheckt. Het oordeel houdt dus niet meer in dan ik heb dit aangetroffen en dat heb ik gecheckt. SAS70 en TPM: een certificaat? Vanuit de zaal wordt een nieuwe kwestie aangeboord. Achmea heeft in een advertentie aangegeven dat ze een SAS70 type II verklaring hebben Adri J.M. de Bruijn RE RA Adri de Bruijn is partner van Pricewatehouse Coopers Advisory, docent EDP-Auditing aan de Erasmus School of Accounting & Assurance en (ten tijde van deze bijeenkomst nog) voorzitter van NOREA, de beroepsorganisatie van IT-auditors. gekregen. De vraagsteller vindt dat de organisatie daarmee aan het maatschappelijk verkeer doet voorkomen dat ze een bepaald kwaliteitsstempel hebben gekregen. Uit de deze avond gevoerde discussie blijkt echter dat de onderliggende onderbouwing nog wel wat vragen oproept en de vraag is dan ook of dat geen risico vormt voor het aanzien van de beroepsgroep? Natuurlijk wil Nijhuis daarop reageren. Hij memoreert dat een SAS70 verklaring een grote impact heeft op de organisatie en een groot beroep doet op capaciteit. Daar moet wel iets tegenover staan. Aan het eind van de rit is het ook een bedrijfseconomisch aspect. Je kunt het resultaat communiceren aan de partijen met wie je zaken doet, of je presenteert het aan de markt. De campagne die door Achmea is gevoerd, is om aan de partijen in de markt te laten weten we hebben m. Dat is eigenlijk relatief besloten verkeer. Dat heeft ook te maken met het product. Als je individuele opdrachtgevers hebt, heeft een dergelijke advertentie een heel andere impact. Volgens Nijhuis is dat in de afweging betrokken. Daarnaast geldt dat het rapport zelf niet wordt verspreid buiten het besloten verkeer. Winterink ziet in het besloten verkeer nu net het probleem. Je kunt niet eens de inhoud van een SAS70 met elkaar bespreken. De standaard legt ons de beperking op. Die belemmert ons om tot een generieke standaard te komen om met elkaar te bespreken wat SAS70 nou eigenlijk inhoudt. Roodnat ziet een ander probleem. Daarvoor citeert hij uit de advertentie: daarmee is gewaarborgd dat onze controls, niet alleen van de processen, maar ook van de uitkomsten, van het allerhoogste niveau, inzichtelijk én correct zijn. Hij vraagt zich af of je door deze formulering niet suggereert dat de inhoudelijke juistheid is vastgesteld. Nijhuis geeft toe het statement dat Roodnat voorleest is ook door het NIVRA kritisch beoordeeld. Dat Achmea trots is geeft hij toe, maar ook dat die frase een stap te ver is. 37 de EDP-Auditor nummer

4 Een SAS70 is dus geen certificaat, geen verklaring dat de zaak inhoudelijk juist is. Dat klopt, zegt Nijhuis, want het is aan de individuele gebruiker/accountant om daar een oordeel over te geven. De vraag is of een TPM wél een certificaat oplevert waarmee we mogen adverteren. Volgens Roodnat wordt door organisaties ook wel geadverteerd omdat ze trots zijn dat ze een TPM hebben. Ze zijn dan niet altijd even precies in het aangeven voor welke processen die TPM geldt, terwijl het toch van belang is om de scope aan te geven. Maar voor de TPM geldt dat hij niet beperkt is tot het besloten verkeer. Een TPM kent wel een non-disclosure: dan is aangegeven voor welke partijen de mededeling bedoeld is. Als deze bedoeld is voor specifieke partijen is dat altijd vermeld. SAS70 type I en SAS70 type II Uit de zaal komt het verzoek om het onderscheid tussen een SAS70 verklaring type I en type II te verhelderen. Een SAS70 verklaring is een verantwoording over de risicobeheersing, voornamelijk gericht op de jaarrekening. Een type I verklaring documenteert opzet en bestaan, een type II verklaring voegt daar de werking van de maatregelen aan toe. In hoofdstuk 2 van een type I en type II verklaring worden de control environment, control objectives en beheersmaatregelen gedocumenteerd en in hoofdstuk 1 geeft de accountant twee oordelen; één over de opzet en bestaan en één over de werking. Voor een type II verklaring geeft de auditor in hoofdstuk 3 expliciet aan hoe iedere beheersmaatregel is getest en wat de bevinding is. De vraag is natuurlijk wat het oordeel inhoudt: betekent dit dat wat beschreven is ook goed beschreven is, of ook dat het voldoet aan de kwaliteitseisen? Waar gaat het oordeel over opzet en bestaan over? Volgens Nijhuis ligt in de controle van de werking en het oordeel daarover besloten dat de opzet ook inhoudelijk juist is. Het is de organisatie die beschrijft en de accountant die oordeelt of de beschrijving de doelstelling realiseert en in opzet en bestaan aanwezig is. De accountant bedenkt die maatregelen niet zelf, maar hij moet wel vaststellen of ze de control objectives voldoende afdekken. Winterink licht voor de duidelijkheid nog toe dat een type I verklaring éénmalig wordt afgegeven en dat het jaar erna een type II verklaring wordt gegeven. Nijhuis vult hem aan. Je moet het ook zien als een soort groeipad. Als er bevindingen komen uit de type I verklaring moet je als organisatie aan het werk. Een organisatie moet ook de tijd krijgen iets te doen aan die bevindingen voordat er gecontroleerd gaat worden op de werking. Wat heb je als gebruiker aan een SAS70 rapportage? Winterink stelt dat het in de praktijk niet duidelijk is wat de invulling van de SAS70 is, de wijze waarop de beheersmaatregelen zijn beschreven. Hij zou graag meer inzicht daarin hebben, maar hoe meer inzicht een rapport geeft des te meer unheimisch hij zich gaat voelen over de zekerheid die hem dat moet geven. Volgens Roodnat komt dat omdat een SAS70 rapportage voor meer klanten wordt opgesteld - dat vraagt om schrijven voor de grootst gemene deler. Een rapportage voor één klant kan uitgebreider zijn. Voor meer gebruikers schrijven betekent meer globale formuleringen gebruiken, dan kom je al gauw op het niveau van control objectives. Nijhuis geeft aan dat we het oorspronkelijke doel niet uit het oog moeten verliezen. De verklaring is bedoeld voor het financial statement van de accountant, maar de gebruikers zijn heel divers, je wilt tegelijk alle partijen terwille zijn, dus moet je met partijen overleg voeren. Het is een dilemma uit de dagelijkse praktijk SAS70 is voor meer gebruikers die nogal divers kunnen zijn het is dus noodzakelijk de partijen te kennen en op voorhand met elkaar te overleggen. Van Gils beaamt dit en geeft met behulp van een anekdote aan dat het in de praktijk ook wel zo gaat. In de hoedanigheid van externe auditor heeft hij meegemaakt dat een klant de IT wil uitbesteden. Daarvoor wordt een SAS70 verklaring gevraagd aan de aanbiedende serviceprovider. De serviceprovider geeft een presentatie van wat de mogelijkheden zijn (het winkelwagentjesidee) en het is dan afhankelijk van wie er aan tafel zitten wat er uit gaat komen. En het is duidelijk dat je als externe auditor van de gebruikersorganisatie ook zo je wensen hebt. Volgens Winterink gaan gebruikers anders om met de rapportage dan je als accountant zou verwachten. Het gebruik van een dergelijke rapportage vraagt veel inspanning van de organisatie, je moet goed naar de scope kijken en bepalen wat je eraan hebt. De gebruikers staan daar echter niet altijd bij stil. Zij zien niet dat het een instrument is en geen eindproduct. Daar zit een misverstand. Dat roept de vraag op of we als auditors wel moeten meewerken aan SAS70 onderzoeken. Nijhuis vindt dat je als auditor er voor moet zorgen dat er geen misverstanden over bestaan. Vooral op het gebied van normeringen en het managen van verwachtingen is er nog veel werk aan de winkel. Overigens geldt dat ook voor TPM en SOX, dit is niet uniek voor SAS70. Roodnat suggereert dat het opstellen van een algemeen aanvaard normenstelsel (op basis van en met behulp van de normeringen die nu al gehanteerd worden) een bijdrage zou kunnen leveren aan het managen van de verwachting. Nogmaals SAS70 of TPM? Voor Roodnat is deze discussie aanleiding om nogmaals een lans te breken voor een TPM. In een TPM kan er een heel nadrukkelijke relatie liggen tussen normen en kwaliteitscriteria. De werkwijze is dat je vanuit de kwaliteitscriteria de normen formuleert. Dat is bij een SAS70 anders omdat control objectives niet specifiek op de kwaliteitscriteria zijn gericht, maar op 38 de EDP-Auditor nummer

5 de jaarrekeningcontrole. Voor Nijhuis roept dit nou juist de vraag op of we over een paar jaar überhaupt nog TPM s zullen hebben. Er komen steeds meer grote ondernemingen die internationaal opereren en volgens hem hebben we een meer generieke soort van verklaringen nodig die internationaal geaccepteerd worden. Een SAS70 ligt dan meer voor de hand. Van Gils betwijfelt dit omdat een SAS70 een andere doelstelling heeft dan een TPM. Het is afhankelijk van de doelstelling wat het beste past: een SAS70 of een TPM. Feitelijk is de doelstelling van een SAS70 éénduidig en daarmee het gebruik ingekaderd. Een TPM kent geen vooraf opgelegde doelstelling een kan dus ruimer worden ingezet. Nijhuis stelt dat het dan wellicht mogelijk is om een SAS70 breder te maken en ook niet-jaarrekening gerelateerde control objectives in te passen zodat de TPM er onder kan vallen. Van Gils beaamt dit en ziet dat nu al gebeuren, maar zou het jammer vinden als de TPM, die in een behoefte voorziet in het keurslijf van een SAS70 gedwongen zou worden. Bijvoorbeeld het toetsen van de control environment à la COSO (verplicht bij SAS70) is overkill als een gebruikersorganisatie zekerheid wil over de vertrouwelijkheid bij de uitbestede webhosting. Roodnat voegt toe dat ook een TPM, weliswaar minder dan een SAS70, internationaal is geaccepteerd. Hij hoopt dat de TPM blijft maar ziet wel in dat het wellicht toch de kant van SAS70 op zal gaan. Winterink geeft een voorbeeld uit zijn praktijkervaring. Toen de organisatie waar hij werkte softwareonderhoud uitbesteed had in India, kreeg hij als klant zonder problemen een SAS70 en een ISO-certificaat. In India worden de internationale standaarden als vanzelfsprekend toegepast. Vanuit de zaal wordt dit bevestigd. Het gaat er eigenlijk niet om hoe het heet, waar het om gaat is dat je een in control statement krijgt van een proces dat is uitbesteed. De voorzitter stelt vast dat we het er met elkaar over eens zijn dat je wellicht de waardevolle elementen uit de TPM in SAS70 zou kunnen opnemen. Maar geldt dat bijvoorbeeld ook voor een kwaliteitscriterium als continuïteit? Volgens Nijhuis zou dat wenselijk kunnen zijn als het de behoefte is van de accountant maar hij vraagt zich af hoe je van continuïteit, waarvan de opzet is vastgelegd in afspraken en procedures met bijvoorbeeld uitwijkcentra, de werking over een heel jaar kunt toetsen. Volgens Roodnat valt bij SAS70 continuïteit niet onder de mededeling van de auditor. Je kunt wel de informatie daarover in een apart hoofdstuk van de SAS70 rapportage opnemen. Volgens Winterink geldt dit ook voor compliance. Van Gils stelt dat vanuit SOX gezien het management geen behoefte heeft aan meer zekerheid over uitbestedingsdiensten, inclusief continuïteit, omdat de continuïteit van de IT-voorziening in relatie met de waarderingscriteria (financiële criteria) minder relevant zijn. Daarom valt het buiten de scope. Maar het is natuurlijk zeer goed denkbaar dat het toch in een SAS70 wordt opgenomen, omdat een SAS70 niet alleen voor SOX wordt afgegeven. Moeten we naar een SOX70 of TPM70? Van Gils memoreert dat een SAS70 een bepaald doel heeft, namelijk de externe accountant van de gebruikersorganisatie zekerheid te verschaffen over uitbestede diensten die een materiële invloed kunnen hebben op de jaarrekening en waarbij de accountant bij de gebruikersorganisatie zelf onvoldoende controlemogelijkheden heeft. Hoewel SOX dat ook in het vaandel heeft staan is er toch een groot verschil. De externe accountant wil graag dat de financiële processen het gehele jaar betrouwbaar zijn en niet alleen op jaareinde, zoals bij SOX. Dat betekent dat de controle anders ingestoken zal moeten worden, bijvoorbeeld spreiding over het hele jaar. Het verschil inzake het kwaliteitsaspect continuïteit is al eerder aan de orde geweest. In die zin zou het dus wenselijk zijn een onderscheid te maken tussen een SAS70 en een SOX70. Maar of de markt begrijpt. Roodnat vult aan. Doelstelling van SOX is het voorkomen van fraude. SOX70 is daarom minder relevant, de relatie tussen SOX en IT is dun. Als het gaat om IT is de relatie met een TPM hechter. Volgens Winterink maakt de markt het onderscheid niet. Als je in Google de termen TPM en SAS70 intypt krijg je veel dezelfde hits. Maar als SAS70 een bekender begrip is bij managers dan TPM, moeten we daar dan niet op inspelen? SLA en SAS70 Een vraag uit de zaal betreft de relatie tussen SLA s en SAS70. Zou een SLA de gebruiker kunnen ondersteunen om de SAS70 te interpreteren? Is het niet makkelijker om een SAS70 onderzoek te doen als je op de SLA kunt terugvallen? Van Gils beaamt dat. Als je zoveel mogelijk afspraken vastlegt in de SLA dan is dat de normering voor je SAS70. Het gebeurt volgens hem ook wel dat je afspreekt dat het normenstelsel deel uitmaakt van de SLA, veelal afzonderlijk uitgewerkt in het DAP (Dossier Afspraken en Procedures). Dit wordt bevestigd door Roodnat. Voor een TPM binnen de Rijksoverheid geldt dit ook. De TPM is terug te voeren op een SLA (binnen de overheid worden deze ook SNO genoemd). Die vormen dan het uitgangspunt voor je normering. Maar dat brengt met zich mee dat je zaken moet afspreken die je kunt beheersen én meten. Tot slot De voorzitter sluit af: dankt het publiek voor kritische vragen en opmerkingen en het panel voor hun ervaringen en hun boodschap. Het publiek gaat tevreden naar huis, mét antwoorden en wellicht nieuwe vragen! 39 de EDP-Auditor nummer

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Verschillen en overeenkomsten tussen SOx en SAS 70

Verschillen en overeenkomsten tussen SOx en SAS 70 Compact 2007/3 Verschillen en overeenkomsten tussen SOx en SAS 70 Drs. J.H.L. Groosman RE Sinds de bekende boekhoudschandalen is er veel aandacht voor de interne beheersing en goed ondernemingsbestuur,

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services Gemeente Veenendaal ICT-beveiligingsassessment Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude Datum rapport: 6 april 2018 Rapportnummer: AAS2018-254 Dit rapport heeft 13 pagina s Inhoudsopgave

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen 38 SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording Drs. Jaap van Beek RE RA en drs. Marco Francken RE RA CISA Drs. J.J. van Beek RE RA is als partner werkzaam

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

Third-partymededelingen: de ervaringen van de gebruikersorganisaties 31 Third-partymededelingen: de ervaringen van de gebruikersorganisaties Mw. drs. S. van der Eijk-van Eck en drs. K.H.G.J.M. Ho RE RA Het begrip third-partymededeling (TPM) is onder IT-auditors inmiddels

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals

Executive Academy. Permanente Educatie voor Professionals. Permanente Educatie voor Professionals Executive Academy Permanente Educatie voor Professionals Permanente Educatie voor Professionals Wat is de Executive Academy? De Executive Academy is een samenwerking tussen de Amsterdam Business School

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Formulering oordeel van een IT-auditor

Formulering oordeel van een IT-auditor 30 Formulering oordeel van een IT-auditor Drs. R.J.M. van Langen RA, T. Shioda en mw. drs. M.J.A. Koedijk RA De aard en reikwijdte van de IT-auditwerkzaamheden in het algemeen zijn zeer divers. Wel zal

Nadere informatie

SAS 70 maakt plaats voor ISAE 3402

SAS 70 maakt plaats voor ISAE 3402 SAS 70 maakt plaats voor ISAE 3402 Sinds enkele jaren is een SAS 70-rapportage gemeengoed voor serviceorganisaties om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Grip op fiscale risico s

Grip op fiscale risico s Grip op fiscale risico s Wat is een Tax Control Framework? Een Tax Control Framework (TCF) is een instrument van interne beheersing, specifiek gericht op de fiscale functie binnen een organisatie. Een

Nadere informatie

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Copro 16118C Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Versie 2.0 Amsterdam, 30 november 2016 Inhoudsopgave 1. Algemeen Kader... 3 1.1 Bestuurlijke mededeling...

Nadere informatie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie Inleiding 1-3 Doel van de opdracht tot het verrichten van overeengekomen

Nadere informatie

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012 IT-audit in vogelvlucht Jeanot de Boer 24 april 2012 Agenda Introductie Wat is IT-audit Hoe is IT-audit in Nederland geregeld? Het IT-audit proces Wat is de toegevoegde waarde van IT-audit Enkele praktijkvoorbeelden

Nadere informatie

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000? Algemene Verordening Gegevensbescherming (AVG) en de impact bij uitbesteding DATABEVEILIGING Toezien op privacy naleving bij (IT) leveranciers; ISO 27001 of ISAE 3000? Het uitbesteden van bedrijfsprocessen

Nadere informatie

1. Is de standaard duidelijk over de werkzaamheden die mogen worden uitgevoerd.? Zo nee, graag toelichten waarom niet.

1. Is de standaard duidelijk over de werkzaamheden die mogen worden uitgevoerd.? Zo nee, graag toelichten waarom niet. Reactie op Consultatiedocument Standaard 4400N Met belangstelling heb ik kennis genomen van het consultatiedocument Standaard 4400N. Ik maak graag gebruik van de mogelijkheid om te reageren op dit document.

Nadere informatie

Een brede kijk op onderwijskwaliteit Samenvatting

Een brede kijk op onderwijskwaliteit Samenvatting Een brede kijk op onderwijskwaliteit E e n o n d e r z o e k n a a r p e r c e p t i e s o p o n d e r w i j s k w a l i t e i t b i n n e n S t i c h t i n g U N 1 E K Samenvatting Hester Hill-Veen, Erasmus

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Assurancerapport van de onafhankelijke IT-auditor

Assurancerapport van de onafhankelijke IT-auditor Assurancerapport van de onafhankelijke IT-auditor Aan: College van burgemeester en wethouders van gemeente Renswoude Ons oordeel Wij hebben de bijgevoegde Collegeverklaring ENSIA 2017 inzake informatiebeveiliging

Nadere informatie

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE Rapportage ENSIA Aan : Gemeente Olst- Wijhe College van B&W Van : M. Hommes Datum : Betreft : Collegeverklaring gemeente Olst- Wijhe d.d. 24 april 2018 INHOUD 1 Conclusie... 3 2 Basis voor de conclusie...

Nadere informatie

De spreadsheet van het strafbankje

De spreadsheet van het strafbankje Artikel De spreadsheet van het strafbankje Een pragmatische aanpak voor End User Computing Trudy Onland Sinds de introductie van Sarbanes Oxley wet (SOx) ontbreken duidelijke en eenduidige richtlijnen

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan: Wat is een Third Party Mededeling? Het uitbesteden van processen is binnen hedendaagse organisaties erg gebruikelijk. Maar hoe kunt u als dienstleverlener uw (potentiële) klanten overtuigen van de kwaliteit

Nadere informatie

ENSIA guidance DigiD-assessments

ENSIA guidance DigiD-assessments ENSIA guidance DigiD-assessments Joep Janssen Werkgroep DigiD assessments v 31 oktober 2018 Agenda De testaanpak 2018 DigiD normenkader 2.0 Nieuwe bijlage DigiD Vooruitzichten 2019 2 DigiD assurance Richtlijn

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te

Nadere informatie

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20

Inleiding 1. Opdrachtaanvaarding 2 t/m 7. Planning en uitvoering professionele dienst 8 t/m 12. Dossier 13 t/m 16. Rapportage 17 t/m 20 INHOUDSOPGAVE Artikel Inleiding 1 Opdrachtaanvaarding 2 t/m 7 Planning en uitvoering professionele dienst 8 t/m 12 Dossier 13 t/m 16 Rapportage 17 t/m 20 Eindoordeel 21 t/m 24 B4.4 Vragenlijst Dossierreview

Nadere informatie

Thema EA VERSUS IA Tekst Drs. Margot Hovestad RO Drs. Huub van Hout RA CIA Beeld NFP Photography

Thema EA VERSUS IA Tekst Drs. Margot Hovestad RO Drs. Huub van Hout RA CIA Beeld NFP Photography Hoe denken de CAE s van de drie Nederlandse grootbanken over de samenwerking met de externe accountant, het auditen van cultuur en gedrag, de kwaliteit van de IAF en meer? Audit Magazine vroeg het aan

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V. [geldend vanaf 1 juni 2015, PB15-220] Artikel 1 Definities De definities welke in dit uitbestedingsbeleid worden gebruikt zijn nader

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

GENERIEK OF MAATWERK. ISO 9001-certificatie is nog steeds uiterst actueel als manier. achtergrond. SAS 70 als alternatief voor ISO 9001-certificatie

GENERIEK OF MAATWERK. ISO 9001-certificatie is nog steeds uiterst actueel als manier. achtergrond. SAS 70 als alternatief voor ISO 9001-certificatie achtergrond SAS 70 als alternatief voor ISO 9001-certificatie GENERIEK OF MAATWERK Dit artikel beschrijft de praktijk bij een grote pensioenverstrekker waar zowel ISO 9001 als ook SAS 70 tot het werkveld

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier

Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Copro 18021D Accountantsprotocol voor de aanvraag van het predicaat Koninklijk en Hofleverancier Versie 3.0 Juli 2018 Inhoudsopgave 1. Algemeen Kader... 3 1.1 Bestuurlijke mededeling... 3 1.2 Rapportage

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de Algemene Vergadering van Aandeelhouders en de Raad van Commissarissen van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2015

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2014 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie

De accountant en het bestuursverslag Visie NBA Young Profs

De accountant en het bestuursverslag Visie NBA Young Profs De accountant en het bestuursverslag Visie NBA Young Profs Aanleiding Op 13 november 2015 publiceerde de NBA haar consultatiedocument De accountant en het bestuursverslag: Verder kijken dan de jaarrekening.

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Werkprogramma Risicobeheersing Volmachten 2018

Werkprogramma Risicobeheersing Volmachten 2018 Accountantsprotocol Werkprogramma Risicobeheersing Volmachten 2018 versie 4.0 Accountantsprotocol versie 4.0 Werkprogramma Risicobeheersing Volmachten 2018 1 van 7 Colofon Dit Accountantsprotocol Werkprogramma

Nadere informatie

Leidraad 20 Accountantsrapportage over de bestuurlijke mededeling bij een aanvraag van het predicaat Koninklijk en Hofleverancier

Leidraad 20 Accountantsrapportage over de bestuurlijke mededeling bij een aanvraag van het predicaat Koninklijk en Hofleverancier Leidraad 20 Accountantsrapportage over de bestuurlijke mededeling bij een aanvraag van het predicaat Koninklijk en Hofleverancier Titel Leidraad Accountantsrapportage over de bestuurlijke mededeling bij

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Internal Audit Charter

Internal Audit Charter Interne Audit Dienst Versie 3.0 (vervangt bij vaststelling door RvB vorige versie 2.0) Pagina 1 van 5 Artikel 1 Het doel, de bevoegdheden en verantwoordelijkheden van de internal auditfunctie zijn in dit

Nadere informatie

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen.

[functie] De functie die verantwoordelijk is voor het beheren van applicaties. [zaak] Een methode of maatregel om een risico te managen. Applicatiebeheer het beheren van applicaties. [functie] De functie die verantwoordelijk is voor het beheren van applicaties. Beheer (beheren) Control Onder de activiteit applicatiebeheer valt de ontwikkeling,

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm

Een enerverend en inspirerend gesprek met Hans Nieuwlands. door Alina Stan en Marieta Vermulm Een enerverend en inspirerend gesprek met Hans Nieuwlands door Alina Stan en Marieta Vermulm Op 1 augustus spraken Alina Stan en Marieta Vermulm, beiden lid van de Commissie Young Professionals met Hans

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

EDP AUDIT POOL. Piet Goeyenbier en Jan Roodnat. 2 februari 2006

EDP AUDIT POOL. Piet Goeyenbier en Jan Roodnat. 2 februari 2006 EDP AUDIT POOL Piet Goeyenbier en Jan Roodnat 2 februari 2006 Agenda Introductie Edp Audit Pool Kennismanagement Interne systemen Edp Audit Pool s Aanpak en Systematiek van een Audit Introductie Edp Audit

Nadere informatie

II. VOORSTELLEN VOOR HERZIENING

II. VOORSTELLEN VOOR HERZIENING II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met

Nadere informatie

Resultaten onderzoek toekomst van de jaarrekening

Resultaten onderzoek toekomst van de jaarrekening Resultaten onderzoek toekomst van de jaarrekening Er wordt veel geschreven over de jaarrekening. Zo zou het document achterhaald zijn, is er geen vraag naar, is het geschiedschrijving en levert het beperkte

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Het Certificeringsproces van Xplor Nederland

Het Certificeringsproces van Xplor Nederland Het Certificeringsproces van Xplor Nederland Hans Dickerscheid Dutch EDP Commissioner Datum: 11-03-2015 1 Inhoud Inleiding... 3 EDA... 3 EDP... 3 M-EDP... 4 Het EDP certificeringsprogramma in Nederland...

Nadere informatie

Programma van eisen voor de Europese aanbesteding van Accountancydiensten.

Programma van eisen voor de Europese aanbesteding van Accountancydiensten. Programma van eisen voor de Europese aanbesteding van Accountancydiensten. Kenmerk: CTM 169773 Versie CONCEPT Datum 12-12-2017 1.1. Omvang van de opdracht De accountantsdiensten omvatten de volgende werkzaamheden:

Nadere informatie

Ronald van der Wal Enterprise Risk Services

Ronald van der Wal Enterprise Risk Services Beoordeling van een service auditor s rapport in het kader van de jaarrekeningcontrole en de rol van de IT auditor Auteurs: Niels Smit Enterprise Risk Services Deloitte Accountants B.V. Mobile: +31 (0)

Nadere informatie

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens

Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens Assurancerapport importeurs ten behoeve van het aanleveren van CvO-gegevens Eigenaar: RDW, Divisie R&I Versiebeheer: Internal Audit RDW Datum: 12 januari 2016 Versie: 1.3 Inhoudsopgave 1 INLEIDING... 3

Nadere informatie

Governance, Risk and Compliance (GRC) tools

Governance, Risk and Compliance (GRC) tools Governance, Risk and Compliance (GRC) tools Auteurs: Peter Paul Brouwers en Maurice op het Veld Samenvatting Het voldoen aan de wet- en regelgeving met betrekking tot bijvoorbeeld de Sarbanes Oxley Act

Nadere informatie

bedrijfsfunctie Harm Cammel

bedrijfsfunctie Harm Cammel Legal als geïntegreerde bedrijfsfunctie Harm Cammel Legal als Business functie Observatie 1. Door veranderende klantbehoefte verandert (een deel van) de Legal functie van ad hoc en vak gedreven naar continu

Nadere informatie

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei 2014 - NOREA

Nadere informatie

College Kwaliteitsonderzoek JAARVERSLAG 2016

College Kwaliteitsonderzoek JAARVERSLAG 2016 JAARVERSLAG 2016 Amsterdam, 16 mei 2017 1 Inhoudsopgave 1. Inleiding 3 2. CKO en samenvatting werkzaamheden 5 3. Toelichting op de werkzaamheden CKO 6 4. Financiële aspecten kwaliteitsonderzoeken 8 5.

Nadere informatie

Consultatiedocument Standaard 4400N Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden (2 e ontwerp) 21 juli 2016

Consultatiedocument Standaard 4400N Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden (2 e ontwerp) 21 juli 2016 Dit document maakt gebruik van bladwijzers Consultatiedocument Standaard 4400N Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden (2 e ontwerp) 21 juli 2016 Consultatieperiode loopt

Nadere informatie

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Uitbestedingsbeleid Stichting Pensioenfonds NIBC Uitbestedingsbeleid Stichting Pensioenfonds NIBC Vastgesteld 11 november 2016 Artikel 1 Doel van het uitbestedingsbeleid 1.1 Het bestuur streeft de doelstellingen van het pensioenfonds na met betrekking

Nadere informatie

HET MANAGEMENTCONTRACT in het kader van Integraal Resultaatverantwoordelijk Management Margreeth van der Kooij

HET MANAGEMENTCONTRACT in het kader van Integraal Resultaatverantwoordelijk Management Margreeth van der Kooij HET MANAGEMENTCONTRACT in het kader van Integraal Resultaatverantwoordelijk Management Margreeth van der Kooij De context van het managementcontract Het managementcontract is een overeenkomst tussen vertegenwoordigers

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

CONCEPT.. ( datum) Versie:. ( nummer )

CONCEPT.. ( datum) Versie:. ( nummer ) Persoonlijke Balanced Scorecard van.( naam ) Pagina 1 2. Inhoud Titel Pagina 1. Voorblad 1 2. Inhoud 2 3. Aanleiding 3 4. Missie 4 5. Doelstellingen 5 6. Kritieke succesfactoren 6 7. Overzicht prestatie-indicatoren

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen

Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen Beheersing uitbesteding in de pensioensector Naar balans tussen regels en Drs. Peter van Toledo RE RA, drs. Jacco van Kleef RA en Suzanne Stoof MSc RA Pensioenfondsen hebben een groot deel van hun processen

Nadere informatie

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017 ENSIA Het audit perspectief René IJpelaar Achmed Bouazza Werkgroep ENSIA 4 juli 2017 Agenda Even voorstellen Uitgangspunten ENSIA Auditproces ENSIA voor de IT auditor Aandachtspunten bij het auditproces

Nadere informatie

Controleverklaringen. Nieuwe stijl, heldere taal

Controleverklaringen. Nieuwe stijl, heldere taal Controleverklaringen Nieuwe stijl, heldere taal NIVRA-NOvAA 2010 Disclaimer Het NIVRA en de NOvAA hebben zich ten doel gesteld voor een zo betrouwbaar mogelijke uitgave te zorgen. Niettemin zijn het NIVRA

Nadere informatie

Voorbeeldprogramma werksessie communicatiekalender

Voorbeeldprogramma werksessie communicatiekalender Voorbeeldprogramma - 1 Voorbeeldprogramma Voorbeeldprogramma werksessie communicatiekalender Hier vindt u een voorbeeldprogramma voor een werksessie/trainingsmodule communicatiekalender Factor C, met een

Nadere informatie

Masterclass Controlling FAMO

Masterclass Controlling FAMO Masterclass Controlling FAMO Een programma voor Controlling bij de lokale overheid Het Zijlstra Center van de Vrije Universiteit heeft in samenwerking met de FAMO een praktijkprogramma voor Controlling

Nadere informatie

Nut en noodzaak van SAS 70

Nut en noodzaak van SAS 70 Compact 2007/3 Nut en noodzaak van SAS 70 Drs. S.R. van Bellen RA, drs. J.P. Hoogstra RE en drs. M.A. Francken RE RA CISA De uitbesteding van processen in de financiële sector heeft ertoe geleid dat de

Nadere informatie

Bijeenkomst DigiD-assessments

Bijeenkomst DigiD-assessments Bijeenkomst DigiD-assessments De weg naar de toekomst 2 december 2014 Agenda DigiD ICT-beveiligingsassessments in beeld DigiD assessment 2014 Rapportage template Third Party Mededelingen Overige toelichtingen

Nadere informatie

Praktijkervaringen binnen SAS70-trajecten

Praktijkervaringen binnen SAS70-trajecten Compact 2005/2 Praktijkervaringen binnen SAS70-trajecten Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Het uitbesteden van bedrijfsprocessen aan derden wint aan populariteit. Recentelijk

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

Reputatiemanagement begint en eindigt met het gedrag dat het topmanagement laat zien

Reputatiemanagement begint en eindigt met het gedrag dat het topmanagement laat zien Stelling 1 Groep 1 Reputatiemanagement begint en eindigt met het gedrag dat het topmanagement laat zien Is deze stelling waar? Welk deel is wellicht minder waar? Ja, in beginsel wel. Goed gedrag doet goed

Nadere informatie

Onderzoek naar de evalueerbaarheid van gemeentelijk beleid

Onderzoek naar de evalueerbaarheid van gemeentelijk beleid Onderzoek naar de evalueerbaarheid van gemeentelijk beleid Plan van aanpak Rekenkamer Maastricht februari 2007 1 1. Achtergrond en aanleiding 1 De gemeente Maastricht wil maatschappelijke doelen bereiken.

Nadere informatie

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS Bijlage gemeente Houten: IS18.00915 Gemeente Houten ENSIA 2017 Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS2018-252 Assurancerapport van de onafhankelijke IT-auditor Aan:

Nadere informatie

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting Steun Goois Natuurreservaat A. Verklaring over de jaarrekening 2017

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting Steun Goois Natuurreservaat A. Verklaring over de jaarrekening 2017 CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur van Stichting Steun Goois Natuurreservaat A. Verklaring over de jaarrekening 2017 Ons oordeel Wij hebben de jaarrekening 2017 van Stichting

Nadere informatie

ISAE 3402: Externe auditor niet langer nodig!

ISAE 3402: Externe auditor niet langer nodig! ISAE 3402: Externe auditor niet langer nodig! DBedrijven De Rapportagestandaard ISAE 3402 is inmiddels besteden al sinds jaar en dag activiteiten uit aan andere bedrijven. Om kosten te drukken, om zich

Nadere informatie

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410

Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Spotlight Meer duidelijkheid over samenstellingsopdrachten met komst Standaard 4410 Robert van der Glas - Statutaire compliance, Tax Reporting & Strategy De NBA heeft onlangs de herziene standaard uitgebracht

Nadere informatie

De reactie van de NBA Young profs op het consultatiedocument Transparant over de controle' van 17 november 2014

De reactie van de NBA Young profs op het consultatiedocument Transparant over de controle' van 17 november 2014 Visie NBA Young Profs Aanleiding Op 26 juni 2015 publiceerde de NBA haar consultatiedocument rondom de aanpassing van de controleverklaring voor álle controles. Het consultatiedocument heeft betrekking

Nadere informatie

Whitepaper. Online samenwerken: meer transparantie en efficiency geeft accountant extra ruimte voor advies

Whitepaper. Online samenwerken: meer transparantie en efficiency geeft accountant extra ruimte voor advies Whitepaper Online samenwerken: meer transparantie en efficiency geeft accountant extra ruimte voor advies Een whitepaper van UNIT4 Accountancy 2013 Inleiding Accountantskantoren leveren vandaag de dag

Nadere informatie

(Indirect) tax risico management in de praktijk

(Indirect) tax risico management in de praktijk (Indirect) tax risico management in de praktijk Verslaglegger: Lenny Koot Inleider: mr. S.R.M. Janssen, Indirect Tax Manager bij Nidera en vaste gastspreker over het onderwerp Tax Assurance aan de Nyenrode

Nadere informatie

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur en raad van commissarissen van Stichting FC Eindhoven A. Verklaring over de in he

CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur en raad van commissarissen van Stichting FC Eindhoven A. Verklaring over de in he CONTROLEVERKLARING VAN DE ONAFHANKELIJKE ACCOUNTANT Aan: het bestuur en raad van commissarissen van Stichting FC Eindhoven A. Verklaring over de in het jaarverslag opgenomen jaarrekening 2017/2018 Ons

Nadere informatie

Evalueren van projecten met externen Kennisdocument Onderzoek & Statistiek

Evalueren van projecten met externen Kennisdocument Onderzoek & Statistiek Evalueren van projecten met externen Kennisdocument Onderzoek & Statistiek Zwaantina van der Veen / Dymphna Meijneken / Marieke Boekenoogen Stad met een hart Inhoud Hoofdstuk 1 Inleiding 3 Hoofdstuk 2

Nadere informatie

ACS meerdaagse opleidingen i.s.m. Auditing.nl

ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS meerdaagse opleidingen i.s.m. Auditing.nl ACS biedt in 2015 weer enkele actuele, interessante opleidingen aan op het eigen kantoor in de rustieke omgeving van Driebergen. Kernwoorden zijn kleinschaligheid,

Nadere informatie