SAS70 en de internal auditor

SAS70 binnenwerk 17-01-2008 16:22 Pagina 1 Studio Mac_1 SAS70 en de internal auditor Practice Advisory IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen

SAS70 binnenwerk 17-01-2008 16:22 Pagina 2 Studio Mac_1

SAS70 binnenwerk 17-01-2008 16:22 Pagina 3 Studio Mac_1 Voorwoord De missie van IIA Nederland is om het beroep en vak "internal audit" in Nederland te ondersteunen, ontwikkelen en promoten, en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal auditfunctie. Hieraan wordt onder meer invulling gegeven met vaktechnische projecten waarin actuele onderwerpen worden uitgediept en waarvan de kennis vervolgens ter beschikking wordt gesteld aan de internal auditing belanghebbenden. Het IIA vaktechnische project "SAS70" heeft geleid tot deze Practice Advisory, tot stand gekomen door onderzoek en afstemming van kennis en visie met beroepsgenoten. Wij bedanken een ieder die aan de totstandkoming van deze Practice Advisory heeft meegewerkt. IIA werkgroep SAS70 Mariska Baars (voorzitter) Rick Mulders Jan Ite Muller Nicolette Nuijs Han Zevenhuizen De Commissie Vaktechniek, waaronder de werkgroep ressorteerde, en het bestuur van IIA Nederland zijn zeer verheugd met de publicatie van deze Practice Advisory. Wij willen dan ook de werkgroepleden bedanken voor hun inzet en gelukwensen met het resultaat. Wij bevelen lezing aan de leden van IIA Nederland van harte aan. Namens het bestuur IIA Nederland Namens de Commissie Vaktechniek Harrie de Poot Aad Vincenten, voorzitter 3

SAS70 binnenwerk 17-01-2008 16:22 Pagina 4 Studio Mac_1

SAS70 binnenwerk 17-01-2008 16:22 Pagina 5 Studio Mac_1 Inhoudsopgave VOORWOORD 3 1. INLEIDING 7 2. SAS 70 9 2.1 DE AANLEIDING: UITBESTEDING 10 2.2 DE OORSPRONG 10 2.3 KENMERKEN EN DE INHOUD VAN HET SAS70 RAPPORT 11 2.4 ROLLEN EN VERANTWOORDELIJKHEDEN 12 2.5 HUIDIG EN TOEKOMSTIG GEBRUIK 13 2.6 ALTERNATIEVEN 13 3. SAS70 BIJ DE GEBRUIKERS ORGANISATIE: ROLLEN VAN DE INTERNAL AUDITOR 15 3.1 INLEIDING 16 3.2 ROLLEN INTERNAL AUDITOR VAN DE GEBRUIKERS ORGANISATIE 16 3.2.1 Ex ante (voorafgaand aan het SAS70 rapport) 17 3.2.1.1 Advisering management tijdens beginfase van uitbesteding 17 3.2.1.2 Advisering management onder inhoud SAS70 18 3.2.2 Tijdens (SAS70 rapport ontvangen) 19 3.2.3 Ex-post (na ontvangst SAS70 rapport) 20 3.3 PRAKTISCH VRAAGSTUK 21 Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie 4. SAS70 BIJ DE SERVICE PROVIDER: ROLLEN VAN DE INTERNAL AUDITOR 23 4.1 INLEIDING 24 4.2 ROLLEN INTERNAL AUDITOR VAN DE SERVICE PROVIDER 24 4.2.1 Ex-ante (voorafgaand aan het SAS70 rapport) 24 4.2.1.1 Advisering management over nut SAS70 24 4.2.1.2 Advisering management over inhoud SAS70 25 4.2.1.3 Advisering management over externe accountant 26 4.2.2 Tijdens (SAS70 traject) 26 4.2.2.1 Advisering management over uitvoering SAS70 traject 26 4.2.2.2 SAS70 audit werkzaamheden internal auditor 28 4.2.3 Ex-post (na afgifte SAS70 rapport) 28 4.2.3.1 Advisering management over verbeteringen naar aanleiding van SAS70 28 4.2.3.2 Advisering management over onderhoud van SAS70 rapport 29 4.3 ENKELE PRAKTISCHE VRAAGSTUKKEN 29 4.3.1 Onder uitbesteding 29 4.3.2 Generiek of maatwerk? 30 BIJLAGE 1 SAS70 VERGELEKEN 31 5

SAS70 binnenwerk 17-01-2008 16:22 Pagina 6 Studio Mac_1

SAS70 binnenwerk 17-01-2008 16:22 Pagina 7 Studio Mac_1 1. Inleiding 7

SAS70 binnenwerk 17-01-2008 16:22 Pagina 8 Studio Mac_1 1. Inleiding Wet- en regelgeving eisen in toenemende mate van ondernemingen dat zij aantoonbaar in control zijn. Voor ondernemingen die processen hebben uitbesteed brengt dit een complicatie met zich mee: zij moeten de eis van aantoonbaarheid doorvertalen naar de service provider. Uitbesteding verandert immers niets aan hun eigen verantwoordelijkheid voor risicobeheersing. Bij het onderling aan elkaar afleggen van verantwoording over de kwaliteit van het in control zijn, is een oude bekende, het SAS70 rapport, nieuw leven ingeblazen. SAS70 is van oorsprong exclusief gekoppeld aan de jaarrekeningcontrole en primair bedoeld als communicatiemiddel tussen de externe accountants van de gebruikers organisatie en de service provider onderling. Echter, er is een ontwikkeling gaande waarbij SAS70 anders wordt ingezet, bijvoorbeeld als verantwoording over de operationele beheersing (niet/beperkt gekoppeld aan de jaarrekening) en in uiterste gevallen zelfs als kwaliteitscertificaat. Hoewel hier vaktechnische (AICPA) grenzen worden geraakt (overschreden), wordt met dit andere gebruik van een SAS70 rapport klaarblijkelijk invulling gegeven aan een informatiebehoefte. Naast de verschillende rollen die een internal auditor kan spelen in het SAS70 traject, brengen de (on)mogelijkheden van SAS70 ook uitdagingen voor de internal auditor met zich mee. Zijn kennis van de organisatie en vaktechnische achtergrond maken hem de aangewezen persoon het management te ondersteunen in een SAS70 traject. Dit geldt zowel binnen de gebruikers organisatie als binnen de service provider en zowel op het vlak van advisering als van audit werkzaamheden. Over deze uitdagingen, de praktische invulling er van en vraagstukken uit de praktijk gaat deze Practice Advisory. In hoofdstuk 2 wordt ingegaan op de theoretische achtergrond van SAS70. Vervolgens worden in de hoofdstukken 3 en 4 de rollen van de internal auditor in een SAS70 traject bij een gebruikers organisatie respectievelijk een service provider uitgewerkt. 8

SAS70 binnenwerk 17-01-2008 16:22 Pagina 9 Studio Mac_1 Hoofdstuk 2 SAS70 9

SAS70 binnenwerk 17-01-2008 16:22 Pagina 10 Studio Mac_1 2.1 De aanleiding: uitbesteding Uitbesteding heeft geleid tot een nieuwe indeling van ondernemingen: zij die uitbesteden (de gebruikers organisaties) en zij die de uitbestede services voor hun rekening nemen (de service providers). Zowel business processen als IT processen worden uitbesteed. Tot enkele jaren geleden had IT-outsourcing voornamelijk betrekking op het uitbesteden van de IT-infrastructuur en het beheer. Doordat het voor de gebruikers tegenwoordig bijna niet meer relevant is waar de ITsystemen zich fysiek bevinden en worden beheerd, wordt tegenwoordig steeds meer de gehele IT-organisatie (inclusief applicatiebeheer) uitbesteed. Ook worden hele administratieve processen uitbesteed, inclusief IT (back-office outsourcing). Bij uitbesteding blijft de gebruikers organisatie onverminderd verantwoordelijk voor de uitbestede processen. Ook voor het uitbestede gedeelte moet de gebruikers organisatie aantoonbaar kunnen voldoen aan wet- en regelgeving: - Wanneer het uitbestede proces is gekoppeld aan materiële posten van de jaarrekening, heeft de accountant voor de jaarrekeningcontrole van de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Vanuit Sarbanes Oxley heeft de gebruikers organisatie inzicht nodig in de kwaliteit van de procesbeheersing bij de service provider. - Financiële instellingen bijvoorbeeld hebben te maken met eisen vanuit Bazel II, en specifieke eisen van toezichthouders. Ook voor de door hen uitbestede processen gelden deze eisen. De service provider moet dus op zoek naar een middel om de informatiebehoefte van de gebruikers organisatie (de klant) in te vullen. Een veelgebruikt middel is SAS70. 2.2 De oorsprong Het SAS70 rapport vindt zijn oorsprong in de jaarrekeningcontrole: het is een communicatiemiddel tussen externe accountants onderling in een situatie van uitbesteding: de service provider verstrekt met het rapport, inclusief accountantsmededeling, assurance aan de accountant van de gebruikers organisatie. Dit rapport moet worden opgesteld conform de richtlijnen van SAS70 1. Vanuit de (Nederlandse) jaarrekeningcontrole bezien begint de vraag naar assurance met COS 2 402 "Inzake de taak van de accountant bij de uitbesteding van werkzaamheden aan een service organisatie" (ISA 402). 1 2 SAS70 staat voor Statement on Auditing Standards No. 70 van de Amerikaanse accountants organisatie AICPA. Na omnummering van de Amerikaanse standaarden staat SAS70 momenteel bekend als AU Section 324: Service Organizations Controle en Overige Standaarden (NivRA) 10

SAS70 binnenwerk 17-01-2008 16:22 Pagina 11 Studio Mac_1 2.3 Kenmerken en de inhoud van het SAS70 rapport De belangrijkste kenmerken 3 van het SAS70 rapport zijn: Het betreft een assurance report; Het gaat over uitbestede processen, beheersdoelstellingen en de beheersmaatregelen die nodig zijn om deze doelstellingen te realiseren; De beschreven processen en beheersmaatregelen moeten zijn gerelateerd aan het informatiesysteem van de gebruikers organisatie (jaarrekening); Er bestaan twee typen: type I over opzet en bestaan en type II over opzet, bestaan op een moment en de werking van beheersmaatregelen over een bepaalde periode; SAS70 is geen normenkader, het betreft voorschriften voor de rapportage (rapportage format) waarbinnen de opsteller zelf zijn normenset en beheersmaatregelen kiest (de externe accountant toetst overigens wel de mate waarin de door het management geformuleerde beheersdoelstellingen worden ondersteund door de beschreven beheersmaatregelen); Het SAS70 rapport kent een beperkte gebruikerskring en mag daarbuiten slechts worden verstrekt na uitdrukkelijke toetstemming van de certificerende accountant. Een SAS70 rapport bevat de volgende onderdelen: De mededeling van een externe accountant naar aanleiding van de audit op het SAS70 rapport; De beschrijving van de organisatie en beheersmaatregelen op organisatorisch niveau (de COSO componenten Control Environment, Risk Assessment, Information and Communication and Monitoring), de processen van de service provider en de beheersdoelstellingen (control objectives); Beschrijving van de beheersmaatregelen die zijn gerelateerd aan de uitbestede processen maar de verantwoordelijkheid zijn van de gebruikers organisatie (user control considerations); Beschrijving van de beheersmaatregelen (in COSO termen de control activities) die realisatie van de beheersdoelstellingen moeten waarborgen. In geval van type II: beschrijving van de externe accountant betreffende de uitgevoerde testwerkzaamheden en uitkomsten daarvan. Facultatief is het onderdeel Overige informatie waarin bijvoorbeeld belangrijke recente ontwikkelingen of maatregelen ten aanzien van continuïteit kunnen worden toegelicht. Over deze informatie verstrekt de externe accountant geen assurance. 3 Voor een volledig overzicht wordt verwezen naar de AICPA publication: Service Organizations: Applying SAS NO. 70 (May, 2004). 11

SAS70 binnenwerk 17-01-2008 16:22 Pagina 12 Studio Mac_1 2.4 Rollen en verantwoordelijkheden Gevisualiseerd bestaat het SAS70 "spelersveld" uit: Internal Audit Gebruikers Organisatie Internal Audit Service Organisatie IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B ABC B.V. Amsterdam Jaarrekening 200x IT Infrastructuur IT Applicaties Bedrijfsproces A Bedrijfsproces B 70 SAS APPROVED BY THE AUDITOR Bedrijfsproces C APPROVED BY THE AUDITOR Gebruikers organisatie: ontvanger van het SAS70 rapport, toetst het aan haar eisen voor interne beheersing over de uitbestede processen. Externe accountant van de gebruikers organisatie: Ontvanger van het SAS70 rapport en toetst het aan zijn behoefte voor de jaarrekening controle van de gebruikers organisatie. Service provider: verantwoordelijk voor het SAS70 rapport met uitzondering van de accountantsmededeling en bevindingen. Externe accountant van de service provider: verantwoordelijk voor certificering van het SAS70 rapport en het rapport van de service provider. Internal auditor: wanneer de gebruikers organisatie en de service provider beschikken over een internal audit functie, kunnen internal auditors op verschillende momenten rollen vervullen gedurende het SAS70 traject. In de volgende hoofdstukken zijn deze rollen nader uitgewerkt. 12

SAS70 binnenwerk 17-01-2008 16:22 Pagina 13 Studio Mac_1 2.5 Huidig en toekomstig gebruik SAS70 is verbonden aan de jaarrekeningcontrole in een uitbestedingssituatie. Momenteel wordt een SAS70 rapport echter niet uitsluitend gebruikt voor de jaarrekeningcontrole. Ook bij de behoefte aan assurance in meer operationele zin (bijvoorbeeld ingegeven door de Wet Financieel Toezicht) krijgt SAS70 een nadrukkelijker rol. In uiterste gevallen wordt een SAS70 rapport gebruikt als een marketing instrument of (onterecht) gepresenteerd als een kwaliteitscertificaat. Hierbij kan de situatie ontstaan dat gebruik, of mogelijk in sommige gevallen misbruik, wordt gemaakt van de (randen van) de vaktechnische uitgangspunten. In hoofdstuk 4, bij de rol van de internal auditor van de service provider, wordt dit aspect nader toegelicht. 2.6 Alternatieven Omdat SAS70 momenteel erg populair is, wordt dit, in toenemende mate als standaard onderdeel tijdens contractonderhandelingen tussen service provider en gebruikers organisatie meegenomen. Er zijn echter ook alternatieven. Een SAS70 rapport is omvangrijk en brengt gemiddeld veel werk en (controle- en advies)- kosten met zich mee. Dit is niet altijd noodzakelijk. Wanneer bijvoorbeeld assurance op onderdelen (bijvoorbeeld specifieke (IT) controls) nodig is, hoeft men niet geïnteresseerd te zijn in het algemene gedeelte van het rapport (Control Environment enz.). Een alternatief kan zijn een Third Party Memorandum of een rapportage op basis van specifiek overeengekomen werkzaamheden. De werkzaamheden en kosten verbonden aan een TPM of een rapport van feitelijke bevindingen zijn vaak een stuk lager, terwijl het mogelijk is, vergeleken met SAS70, een voldoende mate van zekerheid te verstrekken. Naast assurance rapportages, kan een gebruikers organisatie, afhankelijk van haar informatie/ assurance behoefte, ook kijken naar kwaliteitskeurmerken van een service provider, bijvoorbeeld ISO certificeringen. ISO certificeringen kennen een andere basis en bieden in tegenstelling tot SAS70 geen assurance (in accountancy termen) maar kunnen wel aansluiten bij een informatiebehoefte van een gebruikers organisatie. Bijlage 1 bevat een vergelijking van SAS70 met TPM en ISO certificering. In hoofdstuk 4 wordt uitgewerkt welke afwegingen de internal auditor maakt in dit kader en het gebruik dat hij kan maken van de verschillende mogelijkheden. 13

SAS70 binnenwerk 17-01-2008 16:22 Pagina 14 Studio Mac_1

SAS70 binnenwerk 17-01-2008 16:22 Pagina 15 Studio Mac_1 Hoofdstuk 3 SAS70 bij de gebruikersorganisatie: rollen van de internal auditor 15

SAS70 binnenwerk 17-01-2008 16:22 Pagina 16 Studio Mac_1 3.1 Inleiding Wet- en regelgeving vragen de gebruikers organisatie aantoonbaar in control te zijn. Voor de uitbestede activiteiten worden deze eisen veelal doorvertaald in de vraag om assurance van de gebruikers organisatie aan de service provider. Omdat het management van een gebruikers organisatie zich doorgaans liever (en terecht) focust op de core processing (operationele resultaten), komt het assurance vraagstuk vaak te liggen bij de auditors: de externe accountant en de internal auditor. 3.2 Rollen internal auditor van de gebruikers organisatie De taken en verantwoordelijkheden van de externe accountant in een SAS70 traject zijn beschreven in beroepsregels en vaktechnische voorschriften (AICPA guide SAS70). Dit is strikt gereguleerd. De internal auditor heeft echter een ander speelveld; hij ondersteunt het management als onderdeel van het totale risico management raamwerk van de organisatie. In een SAS70 traject kan de internal auditor grote toegevoegde waarde leveren, vooral door goed begrip te hebben van de (on)mogelijkheden van SAS70 kan hij het management ondersteunen in het effectief en efficiënt voldoen aan wet- en regelgeving en assurance daarbij. Door begrip te hebben van de (on)mogelijkheden van SAS70 kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt voldoen aan wet- en regelgeving in het geval van uitbesteding. 16

SAS70 binnenwerk 17-01-2008 16:22 Pagina 17 Studio Mac_1 3.2.1 Ex ante (voorafgaand aan het SAS70 rapport) In een vroeg stadium van het uitbestedingsproces dient het management te bepalen hoe inzicht in de kwaliteit van de risicobeheersing van de uit te besteden processen moet worden verkregen, welke vragen hierbij gesteld moeten worden (intern en aan de service provider) en hoe het "assuranceproces" zo efficiënt mogelijk kan worden ingericht. 3.2.1.1 Advisering management tijdens beginfase van uitbesteding Met het voornemen tot uitbesteding ontstaat een aantal vragen op het vlak van voldoen aan wet- en regelgeving. Daarom is het belangrijk dat de internal auditor in een vroeg stadium is aangesloten bij het proces van besluitvorming. De internal auditor vervult hierbij een adviesrol. Zaken die de internal auditor bij het management onder de aandacht kan brengen zijn: - Is de uitbesteding in lijn met de wet- en regelgeving die op de gebruikers organisatie van toepassing is: Mag het proces worden uitbesteed? - Is duidelijk hoe de uitbesteding zich verhoudt tot de compliance eisen van de gebruikers organisatie: welke regels worden geraakt? - Wordt getoetst of de service provider betrouwbaar is? - Welke controls zijn binnen de gebruikers organisatie gewenst ten behoeve van het monitoren van de uitbestede diensten (dit zal vaak nog moeten worden ingericht) Stellen wet- en regelgeving hier aan eisen? - De aard en omvang van de beheersmaatregelen van de gebruikers organisatie op de in- en uitgaande stromen richting de service provider (user controls). - Bij het opstellen van het uitbestedingscontract moeten afspraken worden opgenomen over de gewenste (minimaal) af te dekken beheersdoelstellingen en mogelijk zelfs de specifieke beheersmaatregelen bij de service provider. Daarnaast dient de aard, timing en frequentie waarop assurance wordt verkregen te worden opgenomen in het contract. De toegevoegde waarde van de internal auditor neemt toe, wanneer deze zo vroeg mogelijk betrokken wordt in het besluitvormingstraject van uitbesteding. In uitbestedingscontracten wordt veelal een right to audit bepaling opgenomen Dit betekent dat de gebruikers organisatie gedurende de looptijd van de uitbesteding audits kan laten uitvoeren bij de service provider door eigen of andere (externe) auditors. Dit kan naast afspraken over assurance worden opgenomen, zo houdt de gebruikers organisatie altijd het recht tot het doen van eigen waarnemingen. 17

SAS70 binnenwerk 17-01-2008 16:22 Pagina 18 Studio Mac_1 3.2.1.2 Advisering management over inhoud SAS70 De internal auditor die het management adviseert over de inhoud van het SAS70 rapport, neemt hierbij onder meer het volgende in acht: - Overleg met de externe accountant; - Wet- en regelgeving waar de gebruikers organisatie aan moet voldoen; - De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert; - De risico-analyse van internal audit. Overleg met de externe accountant De externe accountant van de gebruikers organisatie is één van de primaire belanghebbenden bij het SAS70 rapport van de service provider. Voor het bepalen van diens informatiebehoefte, zal de externe accountant beginnen met een analyse op basis van jaarrekening van de gebruikers organisatie: welke posten worden geraakt door de uitbesteding, wat is de impact, in andere woorden, zijn de geraakte posten van materieel belang? Vervolgens zal hij een koppeling maken van deze posten naar processen en systemen om te komen tot het inzicht in de beheersomgeving en specifieke beheersmaatregelen waarover zekerheid dient te worden verkregen. Toepasselijke wet- en regelgeving voor de gebruikers organisatie Sarbanes Oxley stelt eisen aan de in Amerika beurs genoteerde ondernemingen, waartoe onder meer het opnemen van een In control Statement behoort. Vanuit de service provider kan hiervoor input worden geleverd met een SAS70 rapport. Financiële instellingen die onder toezicht van De Nederlandsche Bank vallen, moeten voldoen aan regelgeving betreffende het beheersen van onder meer de operationele en IT risico's. Waar relevant of noodzakelijk zal de instelling de eigen controls, die deze aspecten borgen, willen terugvinden in het SAS70 rapport van de service provider. De wijze waarop de gebruikers organisatie de in- en uitgaande stromen richting service provider controleert Bij uitbesteding vindt er informatie uitwisseling plaats tussen de gebruikers organisatie en de service provider. De beheersmaatregelen die de gebruikers organisatie heeft, beïnvloeden de assurance vraag aan de service provider. Wanneer de gebruikers organisatie bijvoorbeeld dagelijks vaststelt dat de terugontvangen data gelijk is aan de aan de service provider verzonden data is mogelijk minder of andere assurance nodig dan wanneer dergelijke totaalcontroles niet (kunnen) worden uitgevoerd. Risico-analyse conform de eigen audit risico-analyse methodiek De internal auditor beschikt veelal over een auditplanning gebaseerd op een risico-analyse. De inhoud van de risico-analyse kan goed worden benut als input voor de te bepalen informatiebehoefte omdat deze gegevens zal bevatten over aard, omvang en belangrijkste risico's en controls van de processen. 18

SAS70 binnenwerk 17-01-2008 16:22 Pagina 19 Studio Mac_1 Wanneer op basis van interne inventarisatie de gewenste inhoud helder is moet worden gewaarborgd dat de controls waarover assurance wordt gewenst, overeenkomen met de controls van het SAS70 rapport dat de service provider gaat opleveren. Ter voorkoming van een mis-match achteraf, is het van het grootste belang dat vooraf goede afspraken gemaakt worden over de gewenste informatie (of noodzakelijke controle-informatie) tussen de betrokken partijen. Dit betekent dat: - Een overleg plaatsvindt tussen gebruikers organisatie, service provider, de betrokken externe accountants aan beide kanten en de betrokken internal auditors. - Voor alle partijen vastgelegd wordt wat er in het SAS70 rapport moet staan: welke processen (scope), welke beheersdoelstellingen en mogelijks zelfs welke beheersmaatregelen. Indien de service provider al de beschikking heeft over één of meerdere SAS70 rapporten zal de internal auditor, mogelijk in samenwerking met de externe accountant, de inhoud van het bestaande rapport toetsen aan de assurance behoefte. Het is van groot belang zo vroeg mogelijk bij alle betrokken partijen helder te hebben voor welke aspecten assurance verkregen moet worden. 3.2.2 Tijdens (SAS70 rapport ontvangen) Internal auditors voeren in de praktijk vaak een toetsing uit op het SAS70-rapport. Deze toetsing richt zich op de vraag of het SAS70-rapport de informatiebehoefte afdekt en of het overeenkomt met de eerdere gemaakte afspraken. De volgende vragen komen hierbij onder meer aan de orde: Toetsing op nakoming afspraken Komen de scope, de periode en de controls overeen met de control objectives en de gemaakte afspraken? Is het type rapport (type I, type II) conform afspraken? Wanneer verschillen bestaan met de gemaakte afspraken, dient hiervoor overleg plaats te vinden, zie paragraaf 3.2.3 Ex-post. Inhoudelijke toetsing De inhoudelijke toetsing van het ontvangen SAS70 rapport moet leiden tot een antwoord op de vraag of de risico's bezien vanuit de gebruikers organisatie zijn afgedekt. In de praktijk komt het voor dat een mismatch bestaat tussen gewenste en verkregen assurance. Bijvoorbeeld ten aanzien van: De periode die het SAS70 rapport afdekt De periode (werking) van het SAS70 rapport (type II) sluit niet aan op de gevraagde periode. De oplossing kan gevonden worden door het vragen om additionele zekerheid over de ontbrekende periode aan de service provider, welke bijvoorbeeld verkregen kan worden middels additionele gegevensgerichte werkzaamheden van de externe accountant of internal auditor (daarom strekt het tot de aanbeveling een "right to audit" clausule op te nemen) of een managementverklaring over de ontbrekende periode. 19

SAS70 binnenwerk 17-01-2008 16:22 Pagina 20 Studio Mac_1 De strekking van de accountantsmededeling in het ontvangen SAS70 rapport De door de accountant geconstateerde afwijkingen kunnen op twee manieren terugkomen in het SAS70 rapport: Afwijkingen die het (positieve) oordeel niet beïnvloeden, de accountant volstaat hier met het vermelden van de afwijking(en) bij de beschrijving van de uitgevoerde werkzaamheden. Afwijkingen die het oordeel beïnvloeden. Dit wordt opgenomen in de accountantsmededeling. Voor de gerapporteerde afwijkingen zal de impact moeten worden beoordeeld op het beheersingsraamwerk van de gebruikers organisatie. Dit zal zowel de externe accountant als de interne auditor van de gebruikers organisatie doen. Onderdeel van de impact analyse zijn ook de beheersingsmaatregelen van de gebruikers organisatie, mogelijk hebben bepaalde beheersingsmaatregelen bij de gebruikers organisatie een mitigerend effect op tekortkomingen bij de service provider. Bij onvoldoende zekerheid geldt ook hier dat getracht zal moeten worden additioneel zekerheid te verkrijgen door extra auditwerkzaamheden en/of een management verklaring. 3.2.3 Ex-post (na ontvangst SAS70 rapport) De analyse van het ontvangen SAS70 rapport resulteert in een antwoord op de vraag of het ontvangen rapport de informatiebehoefte afdekt. Indien het rapport de informatiebehoefte niet afdekt terwijl dit wel contractueel is overeengekomen dan moet door de gebruikers organisatie worden aangedrongen op naleving van het contract. Wanneer één en ander nog niet contractueel is geregeld zullen aanvullende afspraken (uitbestedingscontract, SLA) moeten worden overeengekomen. Het ontvangen SAS70 rapport moet worden getoetst op inhoud en naleving van gemaakte afspraken. Waar nodig kan dit leiden tot bijstelling van contractuele afspraken. 20

SAS70 binnenwerk 17-01-2008 16:22 Pagina 21 Studio Mac_1 3.3 Praktisch vraagstuk Aansluiting bij het interne beheersingsraamwerk van de gebruikers organisatie Een SAS70 rapport kan aanleiding zijn voor de gebruikers organisatie om (nog eens) kritisch te kijken naar het internal control framework van de organisatie: zijn definities van processen en beheersingmaatregelen helder en staan de belangrijkste beheersmaatregelen (ook wel key controls genoemd) vast? Een helder raamwerk biedt voordelen bij uitbesteding. Zo kan op eenvoudige wijze de identificatie plaatsvinden van de beheersmaatregelen die uitbesteed worden aan de service provider en dientengevolge in de SAS70-rapportage moeten worden opgenomen. Ook wanneer meerdere processen aan mogelijk verschillende service providers worden uitbesteed levert een helder raamwerk voordelen op: aan de hand van het raamwerk kan worden vastgesteld welke assurance bij welke service provider moet worden neergelegd en kan worden bepaald of en in hoeverre de verschillende assurance rapportages op elkaar aansluiten, met andere woorden, of het geheel van (relevante) processen (en risico's) van gebruikers organisatie en service providers is afgedekt. Duidelijk moge zijn dat hier een mooie rol voor de internal auditor is weggelegd als initiator, dat wil zeggen, als diegene dit het management attendeert op noodzaak dan wel wenselijkheid van een dergelijk raamwerk. Ten aanzien van het raamwerk kan de internal auditor een adviserende of beoordelende rol vervullen. 21

SAS70 binnenwerk 17-01-2008 16:22 Pagina 22 Studio Mac_1 22

SAS70 binnenwerk 17-01-2008 16:22 Pagina 23 Studio Mac_1 Hoofdstuk 4 SAS70 bij de service provider: rollen van de internal auditor 23

SAS70 binnenwerk 17-01-2008 16:22 Pagina 24 Studio Mac_1 4.1 Inleiding Dit hoofdstuk behandelt de rollen die de internal auditor van de service provider kan vervullen. De keuze voor een bepaalde rol hangt onder meer af van kosten-/baten overwegingen en/of het gekozen samenwerkingsmodel tussen interne- en externe accountant. 4.2 Rollen internal auditor van de service provider Het SAS70 rapport van de service provider wordt van een accountantsmededeling voorzien door de externe accountant. Dit sluit niet uit dat er een aantal belangrijke taken zijn weg gelegd voor de internal auditor. De internal auditor van de service provider beschikt over een aantal eigenschappen welke hem bij uitstek geschikt maken voor het adviseren van het management in een SAS70 traject: - Kennis van de organisatie van de service provider: zowel intern (beheersings raamwerk) als extern: het speelveld waarin de service provider opereert (eisen van stakeholders zoals klanten, toezichthouder(s) en externe accountant). - Vaktechnische kennis: kennis van het assurance raamwerk: de verschillende mogelijkheden die de service provider kan benutten om te voldoen aan de informatiebehoefte van stakeholders. Door de (on)mogelijkheden van SAS70 goed te kennen, kan de internal auditor zijn toegevoegde waarde vergroten in het ondersteunen van het management bij het effectief en efficiënt invullen van assurance behoeften van externe partijen. 4.2.1 Ex-ante (voorafgaand aan het SAS70 rapport) 4.2.1.1 Advisering management over nut SAS70 De internal auditor moet het management duidelijk maken dat door toenemende wet- en regelgeving en ontwikkelingen in de markt (transparantie, (cross-border) outsourcing, toenemende complexiteit producten en beheersomgeving) de vraag naar assurance van gebruikers organisatie(s) toeneemt. Een ander, concreter, argument is die van efficiency in verantwoording. Wanneer de service provider contracten heeft met meerdere gebruikers organisaties waarin een "right to audit" clausule is opgenomen, is de service provider verplicht (meerdere) andere auditors toe te laten. In dat geval is het efficiënter om met een (SAS70) rapport meerdere gebruikers organisatie(s) tevreden te stellen. Overigens kan het extern aantonen dat de onderneming in control is, een concurrentievoordeel zijn: potentiële nieuwe klanten kunnen met een SAS70 rapport overtuigd worden van de kwaliteit van risicobeheersing van de service provider. 24

SAS70 binnenwerk 17-01-2008 16:22 Pagina 25 Studio Mac_1 4.2.1.2 Advisering management over inhoud SAS70 Omdat de internal auditor op de hoogte is van externe en interne vereisten kan deze adviseren wat in het SAS70 rapport moet staan. Vaststelling van scope (proces), control objectives en controls Tot de scope van het SAS70 rapport moet minimaal behoren de door de gebruikers organisatie uitbestede processen. Aanknopingspunten voor de exacte inhoud (scope, beheersdoelstellingen en beheersmaatregelen) zijn: - Overleg met de gebruikers organisatie. Bij de start van een SAS70 traject verdient het aanbeveling een overleg te organiseren tussen de auditors van de gebruikers organisatie en die van de service provider; en - De gemaakte afspraken tussen de gebruikers organisatie en de service provider, in het algemeen vastgelegd in service level agreements. Wanneer sprake is van veel gebruikers organisaties en het eerste punt niet haalbaar is, is het een optie om uitsluitend uit te gaan van de deze afspraken. - Wet- en regelgeving kan ook input leveren voor de inhoud van het rapport: welke beheersdoelstellingen moeten minimaal worden gerealiseerd vanuit deze regels. Het SAS70 rapport bevat ten eerste de beschrijving van de service organisatie. Hier wordt aan de hand van de COSO componenten Control Environment, Risk Assessment, Information en Communication en Monitoring de organisatie beschreven. Deze beschrijving wordt in principe opgesteld door de organisatie, een alternatief is dat de internal auditor een voorzet doet (gezien zijn kennis van COSO) en deze laat toetsen door de organisatie. Na de beschrijving van de organisatie wordt specifiek beschreven over welke beheersdoelstellingen assurance wordt verstrekt, bijvoorbeeld, integriteit van uitgevoerde processen. De beheersmaatregelen beschrijven vervolgens op detailniveau de werkzaamheden die bij de service provider worden uitgevoerd om de beheersdoelstellingen te realiseren. Generiek of maatwerk Bij voorkeur wordt één generiek SAS70 rapport ontwikkeld: één rapport waarmee aan meerdere partijen assurance kan worden verstrekt. Dit heeft kostentechnische voordelen. Wanneer het niet anders kan, kunnen ook maatwerk SAS70 rapporten worden ontwikkeld maar dan dient (onder mee) duidelijkheid te bestaan over wie de kosten draagt (zie Praktische vraagstukken in paragraaf 4.3). Normenkader Zoals eerder gezegd, is SAS70 geen normenkader. SAS70 schrijft voor hoe het rapport moet worden ingedeeld en wat beschreven moet worden, maar stelt geen inhoudelijke eisen aan de beheersdoelstellingen en de beheersmaatregelen. Voor het algemene gedeelte, waarin de organisatie wordt beschreven wordt geadviseerd COSO te volgen. Dit houdt in dat beschreven wordt hoe de Control Environment eruit ziet (inclusief de verschillende COSO elementen) en hoe de componenten Risk Assessment, Information and Communication en Monitoring zijn ingericht. Aan de component Control Activities wordt invulling gegeven met de beschrijving van de beheersmaatregelen. 25