1 / 26

Round Table “Ontwikkelingen SAS70”

Round Table “Ontwikkelingen SAS70” . Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008. Round Table “Ontwikkelingen SAS70” . Agenda Assurance producten TPM en SAS70 Ontwikkelingen Rol internal auditor . RT “Ontwikkelingen SAS70” .

kali
Download Presentation

Round Table “Ontwikkelingen SAS70”

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Round Table “Ontwikkelingen SAS70” Mariska Baars: IIA/Equens Abbas Shahim: ISACA/Atos Consulting Breukelen, 3 november 2008

  2. Round Table “Ontwikkelingen SAS70” Agenda • Assurance producten TPM en SAS70 • Ontwikkelingen • Rol internal auditor

  3. RT “Ontwikkelingen SAS70” Third Party Mededeling (TPM) • Assurance rapport, komt voor in uitbestedingsituaties • TPM is niet terug te vinden in de bestaande regelgeving van de beroepsorganisaties van accountants en IT-auditors • TPM wordt in opdracht van de gebruikers organisatie (uitbestedende organisatie) of de service provider (dienstverlener) uitgevoerd • Tijdens de contractonderhandelingen wordt het beschikbaar stellen van een TPM door de dienstverlener overeengekomen • Twee soorten TPM: TPM over opzet & bestaan en TPM over opzet, bestaan & werking

  4. RT “Ontwikkelingen SAS70” TPM rapportage De uitkomsten van het TPM-onderzoek worden schriftelijk gerapporteerd aan de gebruikers organisatie Format: geen verplicht, standaard format Scope: uitbestede dienst Referentiekader: normen die zijn afgeleid van de assurance behoefte van de uitbestedende organisatie Oordeel: per aandachtsgebied van het referentiekader

  5. RT “Ontwikkelingen SAS70” TPM aanpak (een voorbeeld) Fase 1 Fase 2 Fase 3 Fase 4 TPM Vaststellingreferentiekader Vaststellingauditprogramma& -planning Uitvoeringonderzoek Rapportage &afstemming

  6. RT “Ontwikkelingen SAS70” TPM: voorbeeld referentiekader • Algemeen • Er is een IT-strategie aanwezig die is afgeleid van de businessstrategie • ……………….. • Beheer • Het probleemmanagement proces is gedocumenteerd en geformaliseerd • ……………….. • Beveiliging • Een beveiligingsbeleid is aanwezig dat door de directie is goedgekeurd • ………………..

  7. RT “Ontwikkelingen SAS70” TPM: oordeel (vb. opzet, bestaan en werking) • Voor het aandachtsgebied Algemeen zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking wel wordt voldaan aan de gestelde normen • Voor het aandachtsgebied Beheer zijn wij van oordeel dat door de dienstverlener in opzet wel, maar niet in bestaan en werking wordt voldaan aan de gestelde normen • Voor het aandachtsgebied Beveiliging zijn wij van oordeel dat door de dienstverlener in opzet, bestaan en werking niet wordt voldaan aan de gestelde normen

  8. RT “Ontwikkelingen SAS70” TPM: voorbeeld rapportage Hoofd onderzoekreport • Introductie: achtergrondinformatie • Managementsamenvatting: een verzameling van de managementsamenvattingen van de deelrapporten • Oordeel: drie separate oordelen (1 voor Algemeen, 1 voor Beheer en 1 voor Beveiliging • Managementresponse: commentaar (feedback en verbeterplan) van de directie van de dienstverlener.…………….................................................……………………………………………….. • Deel onderzoekreporten • Algemeen deelrapport • Introductie • Managementsamenvatting • Bijlagen: gedetailleerde bevindingen en resultaten + geïnterviewde functionarissen • …………………………………………………………………………………………………... • Beheer- en beveiliging deelrapporten • Idem

  9. RT “Ontwikkelingen SAS70” TPM in uitbestedingsituatie en huidige wet- en regelgeving Enkele sterke punten • Vorm en inhoud: geen verplicht format • Bekendheid in Nederland • ……. Minder sterke punten • Internationaal uitleggen • …………………..

  10. RT “Ontwikkelingen SAS70” SAS70 • Assurance rapport (TPM volgens SAS70 richtlijnen) • Amerikaans: Statement on Auditing Standard 70 (AU 324 “Service Organizations”). • Nav jaarrekeningcontrole van de gebruikers organisatie: • Rapportage tussen accountants • Scope: gerelateerd aan betrouwbaarheid financiële gegevens • Onderdeel bij contractonderhandelingen • Frequentie SAS70 audit jaarlijks

  11. RT “Ontwikkelingen SAS70” SAS70 rapport: scope Service organisatie Geleverde services Scope van een SAS 70 rapport Uitbestede services Gebruikersorganisatie

  12. RT “Ontwikkelingen SAS70” Wat is een SAS70 rapport niet? • Geen certificaat • Beperkte, gedefinieerde gebruikers kring • Rapport van de auditor • SAS70 is geen norm. Het is een auditing standaard die tekst en structuur van de mededeling auditor voorschrijft • SAS70 zegt niets over niveau van interne beheersing: • Ambitie beheersdoelstellingen kan laag zijn • Scope kan te beperkt zijn

  13. RT “Ontwikkelingen SAS70” SAS70 type rapporten • Type 1 rapport (momentopname), de service auditor geeft een oordeel over: • De beschrijving van alle controle maatregelen die relevant zijn voor de gebruikersorganisatie • De beschreven controle maatregelen zijn ontworpen om de gespecificeerde controle doelstellingen te behalen • De beschreven controle maatregelen zijn geïmplementeerd • Type 2 rapport (tijdsperiode), de service auditor geeft een oordeel op: • Dezelfde aspecten zoals hierboven aangegeven in a type 1 rapport, en • De werking van de controle maatregelen

  14. RT “Ontwikkelingen SAS70” SAS 70-rapport secties en verantwoordelijkheden Sectie Verantwoordelijkheden Rapport van de onafhankelijke auditor I. Service auditor Bedrijf A’s beschrijvingvan de controlemaatregelen en procedures II. Bedrijf A Testen van de werking Service auditor III. Bedrijf A Overige informatie IV.

  15. RT “Ontwikkelingen SAS70” Uitgifte van SAS 70-rapport Volgende varianten zijn mogelijk • Geheel rapport op het briefpaper van de serviceorganisatie. Serviceauditor tekent sectie I • Sectie I en Sectie III op het briefpapier van de serviceauditor en sectie II en sectie IV op het briefpapier van de serviceorganisatie • Geheel rapport op het briefpapier van de serviceauditor

  16. RT “Ontwikkelingen SAS70” Totstandkoming SAS70 rapport Voorbereiding Certificering • Fase 4 • Uitvoeren SAS 70-audit • Fase 2 • Beschrijven service- organisatie • Fase 3 • Doorvoeren verbeteringen • Fase 1 • Uitvoerenimpactanalyse Type I of Type IIVerklaring Doorlooptijd ca. 4 weken ca 3 maanden ca.1-2 maanden Type I: 1 maandType II: 6 maanden

  17. RT “Ontwikkelingen SAS70” SAS70 in uitbestedingsituatie en huidige wet- en regelgeving Sterke punten • (internationale) naamsbekendheid • Continuïteit (jaarlijkse audit) • .. Minder sterke punten • Verplicht format: inhoud en vorm • Aansprakelijkheid (externe kantoren) • ..

  18. RT “Ontwikkelingen SAS70” SAS70, TPM of anders? • Wat vraagt de gebruikers organisatie? • Wet- en regelgeving (Sarbanes Oxley) • Uitbestedings contract • Scope (compliance, continuïteit) • User controls • Inzicht in impact afwijkingen • Inzicht in risk afwegingen

  19. RT “Ontwikkelingen SAS70” SAS70, TPM of anders? • Wat wil de service provider? Efficiënt voldoen aan behoefte gebruikers organisatie(s) (contract): • Scope • Generiek versus maatwerk • Combinatie assurance producten

  20. RT “Ontwikkelingen SAS70” International Standard on Assurance Engagements (ISAE) 3402, Assurance Reports on Controls at a Third Party Service Organization Richtlijn van International Auditing and Assurance Standards Board (IAASB). Treedt in werking in 2009. Veel overeenkomsten met SAS70 SAS70 wordt op korte termijn herzien door AICPA

  21. RT “Ontwikkelingen SAS70” ISAE 3402, aantal kenmerken (t.o.v. SAS70) • Management Assertion • Meer dan alleen financiële processen • Risico’s en materialiteit expliciet • Audit mededeling vermeldt gecombineerd afwijkingen • Auditor beoordeelt raamwerk (controle doelstellingen, controls) vs. aantal criteria • Eis aan auditors van gebruikers organisatie Overeenkomsten SAS70 • Type A (I) en B (II) • Use of Internal Audit • Rapportage format ongeveer gelijk • LOR

  22. RT “Ontwikkelingen SAS70” Verwachte impact ISAE 3402 op gebruikers organisatie • Managament assertion nodig • Criteria Control objectives, controls moet specifiek, relevant, meetbaar zijn • Overgang SAS70 naar ISAE 3402 rapport • Uitleggen aan gebruiker (contracten)

  23. RT “Ontwikkelingen SAS70” Is ISAE 3402 het antwoord? Komt tegemoet aan aantal wensen gebruiker organisaties en service provider: • Scope breder dan alleen financieel proces • Risico afwegingen explicieter Maar er blijven over: • Kosten (ook overgang vanuit SAS70) • Geen eenduidig normen kader

  24. RT “Ontwikkelingen SAS70” Assurance: rol van de internal (operational/ IT) auditor • Assurance proces • Aan tafel op moment van uitbesteding: • “SAS70 automatisme” • Afstemming scope en beheersdoelstellingen met gebruikers organisatie en service auditor • Wat heeft service provider nog meer in huis qua assurance • User controls • Contractuele vastlegging assurance afspraken • Adviseur management; kennis van internationale assurance ontwikkelingen • Bouw • Internal Audit vaak betrokken bij opbouw product (project) • Audit • Integratie externe en interne assurance • Monitoren actie punten • Externe accountant

  25. RT “Ontwikkelingen SAS70” Publicaties Assurance ISACA en IIA IIA : position paper ”SAS70 en de internal auditor”, januari 2008

  26. RT “Ontwikkelingen SAS70” ?

More Related