Praktijkervaringen binnen SAS70-trajecten



Vergelijkbare documenten
Verschillen en overeenkomsten tussen SOx en SAS 70

Integrated audit: SAS 70: het verlengstuk van internal control over financial reporting

MKB Cloudpartner Informatie TPM & ISAE

2014 KPMG Advisory N.V

Nut en noodzaak van SAS 70

SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen

Academy. pen inschrijving NAJAAR. Programma. Ons Open Inschrijving cursusaanbod voor najaar 2018 bestaat uit: Beheersing van uitbesteding.

SAS 70 maakt plaats voor ISAE 3402

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

Ronald van der Wal Enterprise Risk Services

SAS 70 en daarna: controls reporting in een breder kader

2014 KPMG Advisory N.V

Verbetermogelijkheden. SAS 70-rapport. Compact_ 2008_1 43. Introductie

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

SAS70 en de internal auditor

SAS70 en de internal auditor

Grip op fiscale risico s

IT Beleid Bijlage R bij ABTN

De mogelijke rollen van de internal auditor in een ISAE 3402-traject

Governance, Risk and Compliance (GRC) tools

SAS 70 in een ICT-fabriek Accessoire, fabrieksoptie of onderdeel van de standaard?

SOX 404 business en tool alignment

Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

De toegevoegde waarde van een ISAE 3402-

Voortgangsrapportage

SOC 1-rapportages Onderzoek naar ervaringen in de praktijk met een wereldwijde standaard

Toezien op privacy naleving bij (IT) leveranciers; ISO of ISAE 3000?

Third Party Audits Onderzoek naar de toegevoegde waarde van Third Party Audits voor gebruikersorganisaties en serviceorganisaties

RiskTransparant, deel 2. De waarde van een ISAE rapport? welke waarde heeft een ISAE voor het bestuur: in control of een illusie van control

Uitbesteding in de pensioensector:

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

Internal Audit Charter

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Functieprofiel Functionaris Gegevensbescherming

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Huidig toezicht GETTING SOFTWARE RIGHT. Datum Amsterdam, 30 augustus 2016 Onderwerp Reactie SIG op Discussiedocument AFM-DNB. Geachte dames en heren,

De spreadsheet van het strafbankje

DOORSTAAT UW RISICOMANAGEMENT DE APK?

Formulering oordeel van een IT-auditor

Controller controller verdedigingslinie controller procesrisico s verdedigingslinie 1a procesbeheersing verdedigingslinie 1b Risicomanagement taken

Integrated audit: een uitdaging voor de auditor?

Bestuur en management in control

REGLEMENT AUDITCOMMISSIE TELEGRAAF MEDIA GROEP N.V.

Kwaliteitsbewaking en testen in ICT beheerorganisaties

Procesvastlegging: de aanpak

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Oordelen van en door RE s

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Voordat sprake kan zijn van een TPM, moet aan een aantal voorwaarden worden voldaan:

Gemeente Veenendaal. ICT-beveiligingsassessment. Suwinet Inkijk Ten behoeve van gemeenten Rhenen en Renswoude. Audit Services

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Controleverklaring van de onafhankelijke accountant

ISAE 3402 en de internal auditor

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

SOx en ORM: twee verschillende werelden?

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

Whitepaper. Processen identificeren. Procesmanagement = procesgericht organiseren!

Vereniging van Vermogensbeheerders & - Adviseurs. 23 september Alex Poel. Beleggingsbeleid

ISO 14001:2015 Readiness Review

Beheersing uitbesteding in de pensioensector Naar balans tussen regels en vertrouwen

Handleiding uitvoering ICT-beveiligingsassessment

En nu aan de slag met de nieuwe norm(en)

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online administratieve diensten (ook wel administratieve cloudoplossingen genoemd).

IORP II: De gevolgen

ISA 610, GEBRUIKMAKEN VAN DE WERKZAAMHEDEN VAN INTERNE AUDITORS

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

De logica achter de ISA s en het interne controlesysteem

Internal Audit Charter BNG Bank

Montae kennissessie 4 juli Rob Kragten

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Van Samenhang naar Verbinding

Plan van aanpak accountantscontrole 2015 gemeente Woudrichem. Woudrichem 22 september 2015 Rein-Aart van Vugt Dennis van Vollevelde

Invloed SOX op de rol van de IT-auditor

Controleverklaring van de onafhankelijke accountant

4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen

Het succes van samen werken!

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

De accountant en het bestuursverslag Visie NBA Young Profs

ISAE 3402: Externe auditor niet langer nodig!

Jacques Herman 21 februari 2013

Third-partymededelingen: de ervaringen van de gebruikersorganisaties

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

ISO 9001: Niets aan de hand! Enkele cosmetische wijzigingen... of toch niet?

Assurance rapport van de onafhankelijke accountant

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

CobiT en rapporteren over IT Governance

Voorstel aan college van Burgemeester en Wethouders

KIM. Slimme acties ondernemen

Transcriptie:

Compact 2005/2 Praktijkervaringen binnen SAS70-trajecten Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Het uitbesteden van bedrijfsprocessen aan derden wint aan populariteit. Recentelijk hebben diverse organisaties activiteiten uitbesteed of verkocht aan derde partijen. Voorbeelden hiervan zijn de beleggings- en/of pensioenbeheeractiviteiten van Philips en TNO ([Fina05]) en de uitbesteding van IT door bijvoorbeeld ABN AMRO en Delta Lloyd. Uitbesteding wordt veelal gezien als een goede manier om te focussen op de kernactiviteiten van de organisatie. De uitbestedende organisatie wil vaak wel inzicht hebben in de kwaliteit en beheersing van de uitbestede processen bij de partij waaraan is uitbesteed, mede ingegeven door bepalingen in wet- en regelgeving. Een SAS 70- rapportage biedt hiervoor mogelijkheden. Een dergelijke rapportage geeft inzicht in de effectiviteit van de interne beheersing bij de serviceorganisatie van de door de organisatie uitbestede processen, daar waar traditionele verantwoording van uitbestede processen veelal outputgericht is. Dit artikel gaat in op praktijkervaringen die zijn opgedaan binnen SAS 70-trajecten vanuit het oogpunt van de serviceorganisatie. Inleiding Uitbesteding wordt steeds vaker gezien als een goede methode om meer focus te creëren op de eigen kernactiviteiten. Daardoor ontstaan organisaties die van de uitbestede processen hun kernactiviteit maken. Naast het klassieke voorbeeld van de uitbestede salarisverwerking kiezen steeds meer organisaties ervoor ook andere administratieve processen en/of het beheer van informatietechnologie te outsourcen. In het bijzonder is uitbesteding populair in de financiële sector. Met name voor zaken als vermogensbeheer en het uitvoeren van een pensioenregeling wordt steeds vaker een contract afgesloten met een externe serviceorganisatie. In dit artikel worden kort de belangrijkste kenmerken van een SAS 70-rapportage voor de uitbestedende organisatie en de serviceorganisatie beschreven. Ingegaan wordt op de toegenomen populariteit van SAS 70-rapportages, mede in het licht van de Sarbanes-Oxley wetgeving. Hierna wordt een aantal randvoorwaarden beschreven voor het succesvol uitvoeren van een SAS 70- traject. De randvoorwaarden worden beschreven vanuit het gezichtspunt van de serviceorganisatie. Vaktechnische randvoorwaarden voor de auditor (onder andere dossiervorming, opdrachtacceptatie, wijze van uitvoering van de testwerkzaamheden) komen niet aan de orde. Drs. ing. S.R.M. van den Biggelaar RE is partner bij KPMG Information Risk Management. Hij is verantwoordelijk voor diverse SAS 70-trajecten bij zowel ITals overige service providers. Daarnaast heeft hij veel ervaring op het gebied van ERP-systemen en HR shared service centers. vandenbiggelaar.stephen @kpmg.nl Drs. P.C.V. Waldenmaier RE RA is manager bij KPMG Information Risk Management. Vanuit zowel de auditals de adviesrol is hij betrokken bij SOX 404- trajecten en SAS 70-trajecten. Verder verricht hij auditwerkzaamheden ten behoeve van processen en ERP-systemen. waldenmaier.paul@kpmg.nl 52

Praktijkervaringen binnen SAS 70-trajecten Compact 2005/2 Voordelen van uitbesteding De voordelen van uitbesteding zijn vaak evident. De serviceorganisatie bezit de juiste expertise en competenties om processen effectief en efficiënt uit te voeren. In veel gevallen kan de kwaliteit van de processen dan ook worden verhoogd en/of kunnen de kosten worden gereduceerd. Van cruciaal belang is dat de uitbestedende organisatie erop kan vertrouwen dat de serviceorganisatie de uitbestede activiteiten goed beheerst. SAS 70-rapportage Voordelen SAS 70 Auditor uitbestedende organisatie (user auditor) Auditor serviceorganisatie (service auditor) Toezichthoudend orgaan (AICPA) Uitbestedende organisatie (user organisation) Serviceorganisatie (service organisation) Interne auditor Interne auditor Figuur 1. Betrokken partijen bij een SAS 70- rapportage. Een SAS 70-rapport geeft de serviceorganisatie een middel om de kwaliteit van haar dienstverlening inzichtelijk te maken. Hiermee biedt een SAS 70-rapportage de mogelijkheid voor de serviceorganisatie om zich te onderscheiden. Bovendien wordt tijdens een SAS 70-traject de AO/IC vaak op orde gebracht en wordt meer transparantie en eenduidigheid in de processen gebracht. Een bijkomend effect kan zijn dat het service-levelmanagementproces wordt verbeterd. Een uitbestedende organisatie die vraagt om een SAS 70-rapport kan zien of ze van de serviceorganisatie waar voor haar geld krijgt. SAS 70 is sterk in opmars. Onder de uitvoerders van pensioenregelingen en fondsbesturen ontwikkelt SAS 70 zich van nice to have naar must have. Daarmee draagt de aanwezigheid van een SAS 70-rapportage mede bij aan het onderscheidend vermogen van de serviceorganisatie. Bij die populariteit speelt ook mee dat bestuurders en commissarissen zoeken naar manieren om goed met hun aansprakelijkheid om te gaan. Betrokken partijen bij een SAS 70-rapportage SAS 70 staat voor Statement on Auditing Standards No. 70. Dit is een Amerikaanse auditingstandaard voor het documenteren van het stelsel van interne beheersingsmaatregelen met betrekking tot uitbestede processen, het auditen van deze maatregelen op hun toereikendheid en, naar keuze, de werking van de maatregelen. De serviceorganisatie beschrijft in een SAS 70-rapport op hoofdlijnen de beheersingsorganisatie en geeft hierbij aan hoe zij specifieke beheersingsdoelstellingen bereikt. Een externe auditor voegt hieraan een rapport toe over de mate waarin de beheersingsdoelstelling wordt gerealiseerd. Het resultaat is dat het management en de externe auditor van de uitbestedende organisatie inzicht krijgen in de wijze waarop de uitbestede processen worden beheerst. Uiteraard kan ook de interne auditor in een SAS 70-traject betrokken zijn vanuit de uitbestedende partij (als gebruiker van het rapport) of vanuit de serviceorganisatie (betrokken bij de totstandkoming van het rapport). Opbouw van een SAS 70-rapportage Er bestaat een type I- en een type II-rapport. Een type I- rapport beschrijft de getroffen beheersingsmaatregelen (controls) die op een bepaald moment zijn geïmplementeerd en waarmee de beheersingsdoelstellingen (control objectives) kunnen worden bereikt. De beschrijving wordt ondersteund met een rapport van de externe auditor dat aangeeft of de maatregelen toereikend zijn om de beheersingsdoelstellingen te realiseren en of deze op de specifiek genoemde datum daadwerkelijk waren geïmplementeerd. Onder de uitvoerders van pensioenregelingen en fondsbesturen ontwikkelt SAS70 zich van nice to have naar must have Een type II-rapport heeft betrekking op een periode minimaal zes maanden waarin de beschreven beheersingsmaatregelen aanwezig waren om de beheersingsdoelstellingen doorlopend te bereiken. Ook is het rapport van de externe auditor uitgebreid met een oordeel over de werking van de maatregelen in deze periode. De algemene inhoud van een SAS 70-rapportage (conform de aanbevolen indeling door het AICPA) is weergegeven in tabel 1. 53

Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA Hfdst Inhoud 1 SAS 70-accountantsverklaring (Independent service auditor s report) Type I-statement Type II-statement 2 Beschrijving van de beheersingsmaatregelen door de organisatie (Service organisation s description of controls) Beschrijving van de organisatie en haar activiteiten Beschrijving van de beheersingsomgeving Gedetailleerde beschrijving van de processen Beheersingsdoelstellingen (control objectives) Beheersingsmaatregelen (controls) 3 Toelichting op de informatie die door de auditor wordt geleverd (Information provided by the service auditor) Doel en scope van het rapport Testen van de beheersingsomgeving Testen van de werking van de beheersingsmaatregelen (test of operating effectiveness) Testresultaten (audit results) 4 Toelichtende informatie die door de serviceorganisatie wordt geleverd (Information provided by the organisation) Niet verplicht (denk bijvoorbeeld aan een toelichting op relevante recente ontwikkelingen) Tabel 1. Hoofdstukindeling SAS 70-rapportage. Relatie tussen SAS 70 en Sarbanes-Oxley wetgeving Organisaties die vallen onder de Sarbanes-Oxley wetgeving dienen hun belangrijkste interne beheersingsmaatregelen zelf te testen en te evalueren. Hierin worden in ieder geval betrokken de processen die een belangrijke invloed hebben op de financiële verantwoording (significant processes). Uitbesteding van deze processen ontslaat de organisatie niet van haar verantwoordelijkheid de beheersing van deze processen te beoordelen. Het verkrijgen van een SAS 70-rapportage biedt de mogelijkheid voor het management van de uitbestedende organisatie om deze interne beheersingsmaatregelen te beoordelen. In het kader van de Sarbanes-Oxley Act kan het zelfs een vereiste zijn. Een groot deel van de SAS 70-rapportages die tegenwoordig worden afgegeven, wordt door uitbestedende organisaties gebruikt om te voldoen aan Sarbanes-Oxley vereisten. Dit wordt verklaard doordat in de SOX-regelgeving een link wordt gelegd naar SAS 70. Als beide naast elkaar worden gezet, geeft dit het in tabel 2 samengevatte beeld. Om bruikbaar te zijn binnen de Sarbanes-Oxley wetgeving is een SAS 70 type II-rapportage benodigd, die een uitspraak doet over de werking van beheersingsmaatregelen bij de serviceorganisatie gedurende een langere periode. De periode waarop de SAS 70-rapportage betrekking heeft, moet het liefst samenvallen met de periode waarin het management haar assessment (beoordeling) in het kader van Sarbanes-Oxley uitvoert (periode voorafgaand aan het einde van het boekjaar). Indien deze periode niet overlapt, dient de uitbestedende partij aanvullende werkzaamheden uit te voeren om de werking van de beheersingsmaatregelen vast te stellen ([PCAO04]). Dit kan zij doen door het uitvoeren van aanvullende controles bij de serviceorganisatie of (indien mogelijk) aan de hand van de output van de serviceorganisatie. Denk hierbij in het geval van uitbesteding van salarisverwerking aan het, door de uitbestedende partij, zelfstandig narekenen van de bruto-nettoberekening van een aantal loonstroken. Valkuilen Een SAS 70-rapport is geen wondermiddel. De praktijk laat zien dat de verwachtingen bij de ontvanger van de rapportage verkeerd kunnen zijn, waardoor teleurstellingen ontstaan. Zo leeft soms de perceptie dat een SAS 70-rapport een soort van certificaat is dat univer- Tabel 2. Vergelijking SOX 404 en SAS 70 Onderwerp Gebruik van een Internal Control framework Verantwoordelijkheid voor documentatie interne beheersingsmaatregelen Verplichte/vrijwillige opdracht Verantwoordelijkheid voor testen van de werking Tijdstip van testen werking Scope van de rapportage SOX 404 SAS 70 Gebruik van internationaal erkend Internal Control framework (bijvoorbeeld COSO) Management van de organisatie Verplichte controle voor SEC-genoteerde ondernemingen Management assertion: testen werking door management Testen werking interne beheersing op einde boekjaar (minimaal 3 maanden) In relatie tot financiële verantwoording Gebruik van internationaal erkend Internal Control framework (bijvoorbeeld COSO) Management van de organisatie Vrijwillige opdracht Testen werking interne beheersing door de auditor (bij type II; bij type I wordt de werking niet beoordeeld) Testen werking interne beheersing gedurende boekjaar (minimaal 6 maanden) In de kern gericht op financiële verantwoording (kan in de praktijk ook andere processen en/of efficiencydoelstellingen bevatten) ) Onder voorwaarden is een kortere periode mogelijk. In de rapportage dient duidelijk omschreven te worden waarom is gekozen voor een kortere periode. Mogelijke omstandigheden om een kortere periode te hanteren zijn: Het systeem is nog geen zes maanden in productie. Er zijn belangrijke wijzigingen in de beheersingsomgeving opgetreden. 54

Praktijkervaringen binnen SAS 70-trajecten Compact 2005/2 seel bruikbaar is. Niets is minder waar. Een SAS 70-rapportage wordt juist voor een specifieke doelgroep opgesteld. Slechts uitbestedende partijen die eenzelfde dienst afnemen, kunnen gebruikmaken van hetzelfde rapport. Om succes te verzekeren is het essentieel dat de scope van de rapportage goed aansluit op de behoefte van de uitbestedende organisatie en haar externe auditor. Indien een rapport wordt opgesteld voor meerdere organisaties, zal het rapport veelal breder zijn opgezet dan voor de individuele organisaties afzonderlijk strikt noodzakelijk is. Verantwoordelijkheden serviceorganisatie Bepalen van het type SAS 70-rapport (type I/type II) Definiëren en beschrijven van de organisatie en de beheersingsomgeving Definiëren en beschrijven van controledoelstellingen Identificeren en beschrijven van relevante beheersingsmaatregelen Verantwoordelijkheden auditor serviceorganisatie Beoordelen van de beschrijving/formulering van beheersingsmaatregelen Beoordelen of de beschreven beheersingsmaatregelen de controledoelstelling volledig afdekken Uitvoeren van testwerkzaamheden (bestaan of werking van de beheersingsmaatregelen vaststellen) Vormen van een oordeel Een SAS 70-traject is dus maatwerk en SAS 70 biedt daartoe ook nadrukkelijk de ruimte. Hoewel de standaard een aantal formaliteiten kent zoals de aanbevolen hoofdstukindeling zijn de grenzen van het onderzoeksobject van een SAS 70-opdracht niet voorgeschreven. De serviceorganisatie en de uitbestedende organisatie zijn (in onderling overleg) dus vrij om te bepalen welke beheersingsdoelstellingen en processen moeten worden meegenomen in het onderzoek. Deze activiteit is in onze visie essentieel. De praktijk laat helaas nog wel eens zien dat de scope en het onderzoeksobject niet goed zijn afgebakend, waardoor hoge kosten ontstaan. Ook komt het voor dat essentiële onderdelen van de processen niet in het onderzoek worden afgedekt, waardoor het rapport zijn doel niet bereikt. Ervaringen tot nu toe Onderstaand zijn relevante aandachtspunten en ervaringen beschreven binnen recent uitgevoerde SAS 70- trajecten. Naast ervaringen met betrekking tot de projectaanpak (inclusief het managen van verwachtingen) is tevens een aantal inhoudelijke ervaringen benoemd. Wat zijn de belangrijkste verantwoordelijkheden van de serviceorganisatie en de auditor van de serviceorganisatie in een SAS 70-traject? De serviceorganisatie en de auditor van de serviceorganisatie hebben beide hun eigen taken en verantwoordelijkheden binnen een SAS 70-traject. Het duidelijk vastleggen van deze verantwoordelijkheden voorkomt verwarring tijdens het traject (zie tabel 3). Uiteraard zal de auditor naast deze formele verantwoordelijkheden de serviceorganisatie bijstaan door het geven van opmerkingen en aanbevelingen ter verbetering van de documentatie die tijdens het project door de serviceorganisatie wordt opgesteld (zoals conceptbeschrijvingen, controledoelstellingen, beheersingsmaatregelen). Is het verstandig een voorlopig onderzoek uit te voeren voorafgaand aan het definitieve onderzoek? Voorafgaand aan een definitief onderzoek kan een voorlopig onderzoek worden gehouden, waardoor leemtes en gebreken vroegtijdig worden geïdentificeerd. Hierdoor is de serviceorganisatie in staat verbeteringen aan te brengen in de processen alvorens een definitief onderzoek uit te voeren. Uitkomsten van een voorlopig onderzoek kunnen tevens leiden tot het aanscherpen van de controledoelstellingen en/of beschreven beheersingsmaatregelen. Door de serviceorganisatie gewenste aanpassingen in de controledoelstellingen dienen met het management en de externe auditor van de uitbestedende organisatie te worden besproken om teleurstellingen te voorkomen. Wat is de impact van een SAS 70-traject op de serviceorganisatie? De serviceorganisatie dient zich bewust te zijn van de capaciteit en medewerking die van de medewerkers wordt gevraagd. Naast het management van de organisatie dienen tevens de medewerkers van de belangrijkste processen en de proceseigenaren tijd beschikbaar te hebben voor het project. Dit in verband met de op te stellen procesbeschrijvingen en het identificeren en documenteren van beheersingsmaatregelen. Welke verwachtingen moeten we managen bij de uitbestedende organisatie? De uitbestedende partij (klant van de serviceorganisatie) wil de SAS 70-rapportage gebruiken om de interne beheersing van de uitbestede processen te beoordelen. Het slagen van het project is daardoor gekoppeld aan de vraag of de rapportage voldoet aan de wensen van het management en de externe auditor van de uitbestedende partij. Het is van groot belang de uitbestedende partij vroegtijdig te betrekken in het project. In de beginfase van het project zullen de controledoelstellingen met de uitbestedende partij en haar auditor moeten worden afgesproken. Gelijktijdig met het definiëren van de controledoelstellingen wordt de scope van het project bepaald (processen waarvoor geen control objectives zijn opgenomen, zijn geen onderdeel van de rapportage). In de praktijk komt dit er veelal op neer dat de uitbestedende partij in eerste instantie de vereiste controledoelstellin- Tabel 3. Verantwoordelijkheden service auditor en serviceorganisatie. 55

Drs. ing. S.R.M. van den Biggelaar RE en drs. P.C.V. Waldenmaier RE RA gen zal specificeren. In overleg met het management en de auditor van de uitbestedende partij en het management en de auditor van de serviceorganisatie (als opsteller van het rapport) zullen de controledoelstellingen definitief worden bepaald. Indien op een later moment in het traject (bijvoorbeeld naar aanleiding van een voorlopige review) bijstelling van de controledoelstellingen gewenst is, zal dit altijd met het management en de auditor van de uitbestedende partij worden besproken. Het ambitieniveau om te komen tot een type I-rapportage is in het algemeen relatief eenvoudig bepaald. Door het uitbrengen van een type I-rapportage wordt echter wel de verwachting gewekt dat binnen afzienbare tijd een type II-rapportage zal worden uitgebracht. Een type II-rapportage vereist permanente capaciteit van de medewerkers van de serviceorganisatie, aangezien het uitvoeren van interne beheersingsmaatregelen (als onderdeel van de reguliere bedrijfsprocessen) expliciet door de medewerkers dient te worden gedocumenteerd. Veelal zal de uitbestedende partij in eerste instantie de vereiste controledoelstellingen specificeren Indien na het uitbrengen van een type I-rapportage géén type II-rapportage wordt uitgebracht, dient dit in een vroeg stadium aan de uitbestedende partij te worden meegedeeld. Moeten we de invloed van ICT meenemen in de SAS 70-rapportage? SAS 70-rapportages worden voornamelijk uitgegeven door gegevensverwerkende instellingen zoals salarisverwerkers, pensioenbeheerders en vermogensbeheerders. Ook SAS 70-rapportages over de uitbesteding van IT bij een IT-provider komen veelvuldig voor. Processen binnen gegevensverwerkende instellingen steunen in belangrijke mate op IT. Belangrijke beheersingsmaatregelen zijn immers opgenomen in de gebruikte applicaties. Het kan lastig zijn de werking van deze beheersingsmaatregelen te identificeren en vast te stellen. De werking van dergelijke applicatiecontroles hangt tevens samen met de inrichting van algemene IT-beheersingsmaatregelen, zoals het change-managementproces. Van belang is om de impact van IT in de bedrijfsprocessen vroegtijdig in te schatten en de juiste medewerkers (zowel vanuit de serviceorganisatie als vanuit de auditor) te betrekken in het traject. Met welke diepgang moeten de beheersingsmaatregelen worden beschreven? Er zijn geen richtlijnen die aangeven met welke diepgang de beheersingsmaatregelen moeten worden beschreven. Uitgangspunt dient te zijn dat de beschreven beheersingsmaatregelen door (de auditor van) de uitbestedende organisatie, als ontvanger van het SAS 70- rapport, kunnen worden geïnterpreteerd. Dit betekent dat het vermelden van de namen van specifieke (uitzonderings)rapportages als beheersingsmaatregel geen toegevoegde waarde zal hebben. Vermeld liever wat de inhoud is van specifieke rapportages en hoe deze als beheersingsmaatregel worden ingezet. Een serviceorganisatie zelf kan ook aan Sarbanes- Oxley moeten voldoen. Kan de opgestelde SAS 70- rapportage intern worden gebruikt om aan Sarbanes- Oxley te voldoen? Een serviceorganisatie kan zelfstandig ook moeten voldoen aan Sarbanes-Oxley vereisten. Dit is bijvoorbeeld het geval wanneer een salarisverwerkende organisatie onderdeel is van een organisatie die valt onder de Sarbanes-Oxley wetgeving, en voor zowel interne als externe klanten salarissen verwerkt. Een SAS 70-rapportage kan uitkomst bieden voor externe partijen waarvoor de salarisverwerking wordt uitgevoerd. Intern heeft deze SAS 70-rapportage (ten aanzien van de processen die ten behoeve van de eigen organisatie worden uitgevoerd) als zodanig geen waarde, aangezien het management in het kader van Sarbanes-Oxley zelfstandig de toereikendheid van de interne beheersingsmaatregelen zal moeten beoordelen. In de praktijk kan dit worden opgelost door de werking van de beheersingsmaatregelen zoals opgenomen in de SAS 70-rapportage zelfstandig door de organisatie te laten documenteren en uitvoeren. De belangrijkste interne beheersingsmaatregelen zijn immers beschreven in de SAS 70-rapportage. Overigens zullen er voor de serviceorganisatie meer processen zijn die binnen Sarbanes-Oxley moeten worden beoordeeld (gericht op de financiële verantwoording) dan uitsluitend de processen die tevens voor derden worden uitgevoerd. Hoe moeten we omgaan met uitbesteding van processen door de serviceorganisatie zelf? Ook de serviceorganisatie zelf kan een deel van haar processen hebben uitbesteed. In dit kader is het meestal zo dat een serviceorganisatie haar IT-beheer heeft uitbesteed aan een derde. Als de uitbestede processen rele- 56

Praktijkervaringen binnen SAS 70-trajecten Compact 2005/2 vant zijn voor de SAS 70-rapportage (wat meestal het geval zal zijn), zullen deze in de rapportage moeten worden opgenomen. De uitbestedende organisatie zal immers ook deze beheersingsmaatregelen relevant vinden. Hiervoor zal door de serviceorganisatie een SAS 70- rapportage moeten worden opgevraagd bij de partij waaraan is uitbesteed. Daardoor wordt de serviceorganisatie afhankelijk van de oplevering van de rapportage van de partij waaraan zij heeft uitbesteed. Indien outsourcing bij een serviceorganisatie aanwezig is, zal dit dus direct bij aanvang van het project moeten worden vastgesteld, en zullen direct acties moeten worden ondernomen om deze rapportage tijdig te ontvangen. Een andere mogelijkheid biedt de geboden carve out - methode ([AICP02]). Hierbij kunnen de processen die zijn uitbesteed buiten beschouwing worden gelaten. In de praktijk zal de uitbestedende partij deze beperking in de scope echter vrijwel nooit accepteren. Een SAS 70-rapport kan een non-disclosure agreement bevatten. Waarom zouden we een non-disclosure agreement opnemen? Een non-disclosure agreement kan (niet verplicht) worden opgenomen als onderdeel van het rapport. Aangezien dit niet als onderdeel van de verplichte hoofdstukindeling is erkend, zal een dergelijk agreement vaak voorafgaand aan hoofdstuk 1 worden opgenomen. Een non-disclosure agreement geeft aan dat de rapportage uitsluitend beschikbaar mag worden gesteld aan gebruikers van de rapportage (het management van de uitbestedende organisatie en haar auditor). Veelal zullen de serviceorganisatie en de auditor hiermee willen voorkomen dat de rapportage beschikbaar komt buiten de verspreidingskring. Er zijn diverse standaardformuleringen voor non-disclosure agreements voorhanden. Wat is een Letter Of Representation en waarom is dit van belang? Een Letter Of Representation (LOR) zal door de serviceorganisatie worden afgegeven aan de auditor. In deze LOR bevestigt het management van de serviceorganisatie dat de belangrijkste controledoelstellingen en beheersingsmaatregelen zijn opgenomen in de rapportage. De LOR zal niet worden opgenomen in de SAS 70-rapportage, maar zal door de auditor worden gebruikt voor zijn dossiervorming. De tekst van de LOR zal in een vroeg stadium met het management van de serviceorganisatie moeten worden besproken. Standaardformuleringen zijn aanwezig ([PCAO04]), hiervan mag op onderdelen worden afgeweken. Conclusie Een SAS 70-rapport wordt voor een specifieke doelgroep opgesteld en is dus maatwerk. Het slagen van een SAS 70-traject hangt af van de bruikbaarheid van het rapport voor de uitbestedende partij. Overleg met de uitbestedende organisatie is cruciaal om de scope en het onderzoeksobject in het begin van het traject af te bakenen. Tijdens het traject is regelmatig contact met de uitbestedende organisatie gewenst om de verwachtingen van de uitbestedende partij te managen. Het uitvoeren van een voorlopig onderzoek maakt leemtes en gebreken inzichtelijk en biedt de serviceorganisatie tijdig de mogelijkheid verbeteringen aan te brengen. Dit artikel heeft een aantal ervaringen met en valkuilen bij de totstandkoming van een SAS 70-rapportage vanuit de praktijk beschreven. Het biedt voor degenen die betrokken zijn bij de totstandkoming van een SAS 70- rapportage (management van de serviceorganisatie, auditor van de serviceorganisatie) de mogelijkheid de hier aan de orde gestelde onderwerpen vroegtijdig in het traject te betrekken. Literatuur [AICP02] American Institute of Certified Public Accountants, Service Organizations: Applying SAS No. 70, as amended, april 2002. [Fina05] Het Financieele Dagblad, Persbericht Philips verkoop beleggings- en pensioenbeheer, 20 april 2005. Het Financieele Dagblad, Kas Bank krijgt opdracht van Pensioenfonds TNO, 17 maart 2005. [PCAO04] PCOAB, Frequently Asked Questions, FAQ No. 25, 2004. 57

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback