Transcript Denk je iets af te weten van SAS70 verklaringen en

IT-auditors bijeen
Denk je iets af te weten van SAS70
verklaringen en Third Party Mededelingen?
Verslag van de NOREA-bijeenkomst regio Apeldoorn
Thea Gerritse
De Regio Apeldoorn van de NOREA
hield op 1 mei een bijzondere
avond over de toepasbaarheid van
SAS70 verklaringen en Third Party
Mededelingen. De organisatie had
een viertal gerenommeerde vakgenoten (zie kaders) bereid gevonden zitting te nemen in een panel
dat onder leiding van Adri de
Bruijn (zie kader) op interactieve
wijze met de mensen in de zaal in
discussie wilde gaan over de toepasbaarheid van SAS70 verklaringen en TPM’s.
Drs. Th. M.J. Gerritse RE is senior
auditor bij EDP AUDIT POOL
zaal welkom heeft geheten nodigt hij
de sprekers uit zichzelf voor te stellen, en een stelling te poneren,
waarna de zaal hierop kan reageren.
Joop Winterink geeft aan dat hij
vooral vanuit de gebruikerskant met
SAS70 verklaringen te maken heeft
en hij vindt dat hij daar niet zo veel
aan heeft. Zijn stelling is dan ook:
‘Of ik nu een SAS70 verklaring of
een TPM verklaring krijg, ik vind dat
ik er nog steeds zo weinig aan heb.
Ik ben teleurgesteld over wat ik krijg
aangeleverd, ondanks de standaard.’
De stelling van Herman van Gils kent
een heel andere invalshoek.
Vanuit zijn ervaring en betrokkenheid
met SOX verkondigt hij dat ‘SAS70
misplaatst is in een SOX-omgeving,
er moet een SOX-70 komen!’
Jan Roodnat is kort maar krachtig in
zijn stelling: ‘Een SAS70 verklaring is
één van de verschijningsvormen van
een TPM.’ Hans Nijhuis daarentegen
poneert dat een SAS70 verklaring een
TPM+ is, omdat een SAS70 verklaring verder gaat dan een TPM.
De voorzitter doet de aftrap. Gegeven de mooie tegenstelling die er is
tussen de stellingen van Roodnat en
Nijhuis, vraagt hij hen om hun stellingen toe te lichten.
M
et een bijzonder wervende uitnodiging hadden de organisatoren ongeveer vijftig mensen naar
deze discussiebijeenkomst ‘gelokt’.
En zij zijn niet teleurgesteld. Een
aantal interessante kwesties passeerde
de revue.
Nadat de voorzitter de mensen in de
SAS70: TPM+ of TPM-?
De gevraagde toelichting van Roodnat begint met een definitie van een
TPM: ‘Een TPM is een rapportage
naar aanleiding van een onderzoek
van een onafhankelijke auditor waarbij de beoordeelde organisatie, bijvoorbeeld een rekencentrum of een
serviceorganisatie, een andere is dan
de organisatie waarvoor de rapportage bestemd is.’
Hij constateert dat de wijze van uit35 | de EDP-Auditor nummer 4 | 2006
voering van een TPM onderzoek
gelijk is aan een SAS70 onderzoek.
Argument daarvoor is dat een TPM
een aantal verschijningsvormen kent,
bijvoorbeeld een onderzoek op basis
van algemene normen, zoals Cobit,
of juist op basis van specifieke
normen, op basis van webtrust et
cetera. Zo kan het onderzoek ook
uitgevoerd worden op basis van
SAS70. Het is afhankelijk van wat je
wilt met een TPM en afhankelijk van
de behoefte van de gebruikers welke
verschijningsvorm je kiest. Staat het
onderzoek vooral ten dienste van de
processen die van invloed zijn op de
jaarrekening dan kies je SAS70.
En dus… is een SAS70 verklaring één
van de verschijningsvormen van een
TPM.
Het lijkt een korte avond te worden
als Nijhuis zijn toelichting begint met
de mededeling dat hij het eens is met
Roodnat. Maar dan komen de verschillen in opvatting toch duidelijk
naar voren. Nijhuis constateert dat
een TPM vooral over geautomatiseerde gegevensverwerking gaat.
Voor veel processen in de organisatie
is automatisering essentieel. Daarom
wil een uitvoeringsorganisatie die de
automatisering heeft uitbesteed
natuurlijk een TPM. Maar een SAS70
verklaring gaat verder. Een organisatie
kent uiteraard ook nog handmatige
processen waarover je afspraken hebt
gemaakt als klant en doelstellingen
hebt afgesproken en waarvan je wilt
weten of je doel wordt bereikt.
Daarover gaat de SAS70 verklaring en
die is dus breder dan de TPM die
alleen over de automatisering gaat.
Voor Nijhuis geldt dan ook dat een
TPM een basis voorwaarde is om aan
een SAS70 verklaring te komen.
SAS70: een lege rapportagehuls?
Vanuit de zaal wordt gereageerd.
De discussie tussen Roodnat en Nijhuis is er een van kwasten vergelijken
zonder dat we weten wat we moeten
verven. Bedrijven ervaren vooral problemen rondom SOX. Er worden
eisen gesteld vanuit SOX en je bent
er niet met een SAS70 verklaring.
Gechargeerd gesteld is het een holle
rapportagehuls, de belangrijkste oorzaak daarvan is dat je de normeringen
er niet in terugvindt.
Volgens Winterink mag je dat niet
van SAS70 verwachten. Het is een
auditstandaard die bedoeld is om de
accountant die verantwoordelijk is
voor de jaarrekening informatie aan
te reiken. Het is niet de bedoeling die
standaard voor andere doeleinden te
gaan gebruiken.
Van Gils valt hem bij. ‘Op zichzelf is
er met SAS70 niet zoveel mis, maar
we zien – vooral in Nederland – een
tendens dat er vanuit SOX eisen
gesteld worden aan organisaties en
die bedrijven antwoorden met een
generieke SAS70. Die aanpak is formeel en niet voldoende inhoudelijk.’
Nijhuis geeft toe dat zijn organisatie
in het begin ook heeft geworsteld
met de normeringen. Ze hebben
daarbij veel naar Amerika gekeken.
Zijn ervaring is dat SOX juist een
belangrijke rol kan spelen in het ontwikkelen van de normering.
En de gevolgen voor IT-auditors?
Een van de auditors in de zaal wil
een lans breken voor de TPM. Hij
beargumenteert dit met het feit dat
de standaarden voor SAS70 afkomstig zijn uit Amerika en tot dikke
rapportages leiden. Die rapportages
zijn bedoeld voor de jaarrekeningaccountant en die weet in veel gevallen
niet wat hij ermee aan moet. Bovendien verwacht hij dat het werk voor
IT-auditors aanzienlijk minder creatief wordt in vergelijking met TPM
onderzoeken. Voor SAS70 onderzoeken is strak voorgeschreven wat je
moet onderzoeken en hoe je dient te
rapporteren. Vanuit de zaal wordt
dit nog aangevuld met de opmerking
dat er geen goed gericht handvat
is voor de IT-auditor over de wijze
waarop je een SAS70 onderzoek
moet inrichten.
Onder andere Van Gils reageert
hierop. Hij bevestigt dat er sprake is
van formele regels, maar hij benadrukt ook dat er ruimte is voor eigen
interpretatie, vooral als het om het
normenstelsel gaat. Dat is tenslotte
niet voorgeschreven. En die lege
huls? We moeten er met ons allen aan
werken om die te vullen. De vraag is
of dat bij een TPM anders is.
Hoe klantspecifiek is een SAS70verklaring?
Volgens Roodnat is het normaal om
ten behoeve van het uitbrengen van
een SAS70 rapportage overleg te
hebben met de klant over de beheersmaatregelen zodat je een klantspecifieke invulling kunt geven.
Daarom snapt hij niet zo goed
waarom Winterink stelt dat hij als
gebruiker zo weinig heeft aan een
SAS70 verklaring.
Winterink licht zijn stelling nog eens
toe. ‘Je bent niet de enige die de verklaring krijgt, een SAS70 rapportage
gaat naar meer gebruikers.’ Hij formuleert het probleem als volgt. In
een SAS70 worden control objectives
gedefinieerd, die zijn gekoppeld aan
risico’s. Die risico’s worden echter
niet uitgewerkt. Daarmee lijken die
control objectives uit de lucht te
komen vallen. De standaard schrijft
verder alleen voor dat de beheersmaatregelen en de controletechnieken
worden beschreven, maar niét de
specifieke bevindingen. Verder zegt
de standaard dat gebruiker en serviceorganisatie de norm waaraan getoetst
wordt moeten overeenkomen.
Van Gils reageert hierop – en wel met
de opmerking dat er geen ‘formele’
SAS70 standaard is, er is helemaal
niet zoveel ‘voor’geschreven. De
SAS70 standaard is een klein document, waar veel ‘omheen’ gedacht is.
Ook Nijhuis wil de uitspraken van
Winterink wat nuanceren: Risico’s
zijn wel degelijk meegenomen in de
opzet en uitwerking van het onderzoek. Dat ze niet in het rapport staan
heeft een pragmatische reden, het
rapport zou al gauw vijf keer dikker
worden, maar het rapport is voor de
externe accountant die dat wel degelijk kan inzien. Er is ook veel overleg
en er is ook een evaluatie of het aan
de eis van de externe accountant voldoet.
Een van de mensen in de zaal ziet
een tegenstrijdigheid in het feit dat
ten behoeve van een SAS70 verklaring afspraken worden gemaakt over
de control objectives – terwijl er ook
sprake is van algemene verklaringen –
SAS70 lijkt dan niet klantspecifiek te
zijn afgegeven. Is het niet logischer
dat als er meer klanten zijn, meer
accountants, die dan ook te betrekken bij het bepalen van de control
objectives, de normering.
Drs. Herman G.Th. van Gils RE RA
Hans Nijhuis RE RO
Mr. drs. Jan Roodnat RE RA
Herman van Gils is senior manager bij KPMG
Hans Nijhuis is manager Financial Audit
Jan Roodnat werkt ruim 17 jaar bij EAP, op
Information Risk Management en docent
binnen Group Audit Risk Services, de accoun-
dit moment als IT-audit manager – volgens
aan de post-doctorale opleiding
tantsdienst van Achmea/Eureko. Zijn werk-
hem een fantastische organisatie. Hij is
Accountancy en IT-auditing aan de
zaamheden richten zich op de business unit
geïnteresseerd in nieuwe ontwikkelingen
Universiteit van Amsterdam. De laatste
pensioenen van Achmea waar hij actief
en lid van diverse werkgroepen van NOREA,
jaren is hij vooral betrokken bij certificering-
betrokken is bij de realisatie van SAS70 type II
waaronder de werkgroep normen en stan-
opdrachten en –onderzoeken. (pakketten,
rapportages.
daarden, de werkgroep oordelen en de
privacy, TPM en SAS 70).
NOREA commissie vaktechniek.
36 | de EDP-Auditor nummer 4 | 2006
Volgens Nijhuis kan dat niet – de
SAS70 verklaring is er principieel
voor de accountants van de opdrachtgever en niet voor de toetsing van de
individuele afspraken, waaronder bijvoorbeeld de effectiviteit van de
beheersmaatregelen bij een individuele gebruikersorganisatie. Volgens
Van Gils is het logisch en ook praktijk
dat hij als externe accountant van de
gebruikersorganisatie wel betrokken is
bij het bepalen van de normering.
Hier ziet van Gils een verschil tussen
SAS70’s die nadrukkelijk op verzoek
van de gebruikersorganisatie worden
uitgevoerd (vooral nu in het kader
van SOX, en dan met een heel specifiek normenstelsel) en SAS70 onderzoeken die door de serviceprovider
voor meer gebruikersorganisaties
worden opgesteld, waarbij de serviceprovider er belang bij heeft het normenstelsel wat generieker te houden.
Uitdaging voor de beroepsorganisatie?
De voorzitter vat de discussie samen.
De conclusie is dat SAS70 wordt
ervaren als een soort van rapportagehuls, waarin control objectives en
beheersmaatregelen zijn beschreven.
We kunnen erover discussiëren, wat
de auditor daar nu precies aan heeft
gedaan. Er is geen hard normenkader
waaraan het object is getoetst.
Wil je de SAS70 verklaring meer
klantspecifiek maken dan zou je alle
control objectives moeten afstemmen
met de auditors van de klant, anderzijds zou het wellicht handig zijn om
een generiek normenkader te hebben
waar we – of het nu om een TPM of
een SAS70 gaat – naar believen uit
kunnen putten. Is het een uitdaging
voor de beroepsorganisatie om een
compleet standaard generiek normenkader op te stellen?
Volgens Winterink is er sprake van
een open norm. Wanneer uitbesteding plaatsvindt van werkzaamheden,
blijf je als organisatie zelf verantwoordelijk. Je draagt die verantwoordelijkheid door de verantwoording die je
terugkrijgt van de partij aan wie je
uitbesteedt. SAS70 geeft alleen maar
inzicht in de maatregelen die zijn
getroffen in relatie tot de control
objectives. De gebruiker van zo’n
verklaring moet zelf nog beoordelen
of hij de beschreven maatregelen voldoende vindt. SAS70 is bedoeld om
inzicht te geven, zodat je kunt interpreteren wat je aantreft, en daarom
is het ook nooit een certificaat.
Of, zoals iemand in de zaal samenvat:
het is een stukje testen van de werking achter de klapdeuren – het resultaat krijg je te zien.
Volgens Winterink klopt dat: SAS70
stelt als eis dat de maatregelen die
zijn beschreven waar zijn en moeten
passen bij de control objectives.
De auditor doet daar een uitspraak
over en geeft zijn bevindingen.
In hoofdstuk 1 geeft hij een totaaloordeel: wat ik in dit rapport heb
aangetroffen is waar en dat heb ik
gecheckt. Het oordeel houdt dus niet
meer in dan ‘ik heb dit aangetroffen
en dat heb ik gecheckt’.
SAS70 en TPM: een certificaat?
Vanuit de zaal wordt een nieuwe
kwestie aangeboord. Achmea heeft in
een advertentie aangegeven dat ze
een SAS70 type II verklaring hebben
Joop A.W. Winterink RE RA
Adri J.M. de Bruijn RE RA
Joop Winterink is sinds 1 april 2004 werkzaam
Adri de Bruijn is partner van Pricewatehouse
als hoofd Internal Audit bij het pensioenfonds
Coopers Advisory, docent EDP-Auditing aan
PGGM. Zijn carrière ontwikkelde zich van
de Erasmus School of Accounting &
accountancy & IT-auditing in het interne en het
Assurance en (ten tijde van deze bijeen-
openbare beroep (Philips, KPMG) naar manage-
komst nog) voorzitter van NOREA, de
ment functies in IAD en IT bij Rabobank
beroepsorganisatie van IT-auditors.
Nederland om tenslotte weer in de accountancy te belanden bij De Nederlandse Bank,
waar hij van 1999 tot 2004 heeft gewerkt.
37 | de EDP-Auditor nummer 4 | 2006
gekregen. De vraagsteller vindt dat de
organisatie daarmee aan het maatschappelijk verkeer doet voorkomen
dat ze een bepaald kwaliteitsstempel
hebben gekregen. Uit de deze avond
gevoerde discussie blijkt echter dat de
onderliggende onderbouwing nog
wel wat vragen oproept en de vraag is
dan ook of dat geen risico vormt voor
het aanzien van de beroepsgroep?
Natuurlijk wil Nijhuis daarop reageren. Hij memoreert dat een SAS70
verklaring een grote impact heeft op
de organisatie en een groot beroep
doet op capaciteit. Daar moet wel iets
tegenover staan. Aan het eind van de
rit is het ook een bedrijfseconomisch
aspect. Je kunt het resultaat communiceren aan de partijen met wie je
zaken doet, of je presenteert het aan
de markt. De campagne die door
Achmea is gevoerd, is om aan de partijen in de markt te laten weten ‘we
hebben ‘m’. Dat is eigenlijk relatief
besloten verkeer. Dat heeft ook te
maken met het product. Als je individuele opdrachtgevers hebt, heeft een
dergelijke advertentie een heel andere
impact. Volgens Nijhuis is dat in de
afweging betrokken. Daarnaast geldt
dat het rapport zelf niet wordt verspreid buiten het besloten verkeer.
Winterink ziet in het ‘besloten verkeer’
nu net het probleem. ‘Je kunt niet
eens de inhoud van een SAS70 met
elkaar bespreken.’ De standaard legt
ons de beperking op. Die belemmert
ons om tot een generieke standaard te
komen – om met elkaar te bespreken
wat SAS70 nou eigenlijk inhoudt.
Roodnat ziet een ander probleem.
Daarvoor citeert hij uit de advertentie: ‘daarmee is gewaarborgd dat onze
controls, niet alleen van de processen,
maar ook van de uitkomsten, van het
allerhoogste niveau, inzichtelijk én
correct zijn. Hij vraagt zich af of je
door deze formulering niet suggereert dat de inhoudelijke juistheid is
vastgesteld. Nijhuis geeft toe – het
statement dat Roodnat voorleest is
ook door het NIVRA kritisch beoordeeld. Dat Achmea trots is geeft hij
toe, maar ook dat die frase een stap te
ver is.
Een SAS70 is dus geen certificaat,
geen verklaring dat de zaak inhoudelijk juist is. Dat klopt, zegt Nijhuis,
want het is aan de individuele gebruiker/accountant om daar een oordeel
over te geven. De vraag is of een
TPM wél een certificaat oplevert
waarmee we mogen adverteren.
Volgens Roodnat wordt door organisaties ook wel geadverteerd omdat ze
trots zijn dat ze een TPM hebben.
Ze zijn dan niet altijd even precies in
het aangeven voor welke processen
die TPM geldt, terwijl het toch van
belang is om de scope aan te geven.
Maar voor de TPM geldt dat hij niet
beperkt is tot het ‘besloten verkeer’.
Een TPM kent wel een non-disclosure: dan is aangegeven voor welke
partijen de mededeling bedoeld is.
Als deze bedoeld is voor specifieke
partijen is dat altijd vermeld.
SAS70 type I en SAS70 type II
Uit de zaal komt het verzoek om het
onderscheid tussen een SAS70 verklaring type I en type II te verhelderen.
Een SAS70 verklaring is een verantwoording over de risicobeheersing,
voornamelijk gericht op de jaarrekening. Een type I verklaring documenteert opzet en bestaan, een type II
verklaring voegt daar de werking van
de maatregelen aan toe. In hoofdstuk
2 van een type I en type II verklaring
worden de control environment, control objectives en beheersmaatregelen
gedocumenteerd en in hoofdstuk 1
geeft de accountant twee oordelen;
één over de opzet en bestaan en één
over de werking. Voor een type II
verklaring geeft de auditor in hoofdstuk 3 expliciet aan hoe iedere
beheersmaatregel is getest en wat de
bevinding is.
De vraag is natuurlijk wat het oordeel
inhoudt: betekent dit dat wat
beschreven is ook goed beschreven is,
of ook dat het voldoet aan de kwaliteitseisen? Waar gaat het oordeel over
opzet en bestaan over?
Volgens Nijhuis ligt in de controle
van de werking en het oordeel daarover besloten dat de opzet ook inhoudelijk juist is. Het is de organisatie die
beschrijft en de accountant die oor-
deelt of de beschrijving de doelstelling
realiseert en in opzet en bestaan aanwezig is. De accountant bedenkt die
maatregelen niet zelf, maar hij moet
wel vaststellen of ze de control objectives voldoende afdekken.
Winterink licht voor de duidelijkheid
nog toe dat een type I verklaring éénmalig wordt afgegeven en dat het jaar
erna een type II verklaring wordt
gegeven. Nijhuis vult hem aan. ‘Je
moet het ook zien als een soort groeipad. Als er bevindingen komen uit de
type I verklaring moet je als organisatie aan het werk. Een organisatie moet
ook de tijd krijgen iets te doen aan
die bevindingen voordat er gecontroleerd gaat worden op de werking.’
Wat heb je als gebruiker aan een
SAS70 rapportage?
Winterink stelt dat het in de praktijk
niet duidelijk is wat de invulling van
de SAS70 is, de wijze waarop de
beheersmaatregelen zijn beschreven.
Hij zou graag meer inzicht daarin
hebben, maar hoe meer inzicht een
rapport geeft des te meer ‘unheimisch’ hij zich gaat voelen over de
zekerheid die hem dat moet geven.
Volgens Roodnat komt dat omdat
een SAS70 rapportage voor meer
klanten wordt opgesteld - dat vraagt
om schrijven voor de grootst gemene
deler. Een rapportage voor één klant
kan uitgebreider zijn. Voor meer
gebruikers schrijven betekent meer
globale formuleringen gebruiken, dan
kom je al gauw op het niveau van
control objectives.
Nijhuis geeft aan dat we het oorspronkelijke doel niet uit het oog moeten
verliezen. De verklaring is bedoeld
voor het financial statement van de
accountant, maar de gebruikers zijn
heel divers, je wilt tegelijk alle partijen
terwille zijn, dus moet je met partijen
overleg voeren. Het is een dilemma
uit de dagelijkse praktijk – SAS70 is
voor meer gebruikers die nogal divers
kunnen zijn – het is dus noodzakelijk
de partijen te kennen en op voorhand
met elkaar te overleggen.
Van Gils beaamt dit en geeft met
behulp van een anekdote aan dat het
38 | de EDP-Auditor nummer 4 | 2006
in de praktijk ook wel zo gaat. In de
hoedanigheid van externe auditor
heeft hij meegemaakt dat een klant de
IT wil uitbesteden. Daarvoor wordt
een SAS70 verklaring gevraagd aan de
aanbiedende serviceprovider. De serviceprovider geeft een presentatie van
wat de mogelijkheden zijn (het winkelwagentjesidee) en het is dan afhankelijk van wie er aan tafel zitten wat
er uit gaat komen. En het is duidelijk
dat je als externe auditor van de
gebruikersorganisatie ook zo je
wensen hebt.
Volgens Winterink gaan gebruikers
anders om met de rapportage dan je
als accountant zou verwachten.
Het gebruik van een dergelijke rapportage vraagt veel inspanning van de
organisatie, je moet goed naar de
scope kijken en bepalen wat je eraan
hebt. De gebruikers staan daar echter
niet altijd bij stil. Zij zien niet dat het
een instrument is en geen ‘eindproduct’. Daar zit een misverstand.
Dat roept de vraag op of we als auditors wel moeten meewerken aan
SAS70 onderzoeken.
Nijhuis vindt dat je als auditor er
voor moet zorgen dat er geen misverstanden over bestaan. Vooral op het
gebied van normeringen en het
managen van verwachtingen is er nog
veel werk aan de winkel. Overigens
geldt dat ook voor TPM en SOX, dit
is niet uniek voor SAS70.
Roodnat suggereert dat het opstellen
van een algemeen aanvaard normenstelsel (op basis van en met behulp
van de normeringen die nu al gehanteerd worden) een bijdrage zou
kunnen leveren aan het managen van
de verwachting.
Nogmaals SAS70 of TPM?
Voor Roodnat is deze discussie aanleiding om nogmaals een lans te breken
voor een TPM. In een TPM kan er
een heel nadrukkelijke relatie liggen
tussen normen en kwaliteitscriteria.
De werkwijze is dat je vanuit de kwaliteitscriteria de normen formuleert.
Dat is bij een SAS70 anders omdat
control objectives niet specifiek op de
kwaliteitscriteria zijn gericht, maar op
de jaarrekeningcontrole.
Voor Nijhuis roept dit nou juist de
vraag op of we over een paar jaar
überhaupt nog TPM’s zullen hebben.
Er komen steeds meer grote ondernemingen die internationaal opereren
en volgens hem hebben we een meer
generieke soort van verklaringen
nodig die internationaal geaccepteerd
worden. Een SAS70 ligt dan meer
voor de hand.
Van Gils betwijfelt dit omdat een
SAS70 een andere doelstelling heeft
dan een TPM. Het is afhankelijk van
de doelstelling wat het beste past: een
SAS70 of een TPM. Feitelijk is de
doelstelling van een SAS70 éénduidig
en daarmee het gebruik ingekaderd.
Een TPM kent geen vooraf opgelegde doelstelling een kan dus ruimer
worden ingezet.
Nijhuis stelt dat het dan wellicht
mogelijk is om een SAS70 breder te
maken en ook niet-jaarrekening gerelateerde control objectives in te passen
zodat de TPM er onder kan vallen.
Van Gils beaamt dit en ziet dat nu al
gebeuren, maar zou het jammer
vinden als de TPM, die in een
behoefte voorziet in het keurslijf van
een SAS70 gedwongen zou worden.
Bijvoorbeeld het toetsen van de control environment à la COSO (verplicht bij SAS70) is overkill als een
gebruikersorganisatie zekerheid wil
over de vertrouwelijkheid bij de uitbestede webhosting.
Roodnat voegt toe dat ook een TPM,
weliswaar minder dan een SAS70,
internationaal is geaccepteerd.
Hij hoopt dat de TPM blijft maar
ziet wel in dat het wellicht toch de
kant van SAS70 op zal gaan.
Winterink geeft een voorbeeld uit zijn
praktijkervaring. Toen de organisatie
waar hij werkte softwareonderhoud
uitbesteed had in India, kreeg hij als
klant zonder problemen een SAS70
en een ISO-certificaat. In India
worden de internationale standaarden
als vanzelfsprekend toegepast.
Vanuit de zaal wordt dit bevestigd.
Het gaat er eigenlijk niet om hoe het
heet, waar het om gaat is dat je een
‘in control statement’ krijgt van een
proces dat is uitbesteed.
De voorzitter stelt vast dat we het er
met elkaar over eens zijn dat je wellicht de waardevolle elementen uit de
TPM in SAS70 zou kunnen opnemen. Maar geldt dat bijvoorbeeld ook
voor een kwaliteitscriterium als continuïteit?
Volgens Nijhuis zou dat wenselijk
kunnen zijn – als het de behoefte is
van de accountant – maar hij vraagt
zich af hoe je van continuïteit, waarvan de opzet is vastgelegd in afspraken en procedures met bijvoorbeeld
uitwijkcentra, de werking over een
heel jaar kunt toetsen.
Volgens Roodnat valt bij SAS70 continuïteit niet onder de mededeling
van de auditor. Je kunt wel de informatie daarover in een apart hoofdstuk
van de SAS70 rapportage opnemen.
Volgens Winterink geldt dit ook voor
compliance.
Van Gils stelt dat vanuit SOX gezien
het management geen behoefte heeft
aan meer zekerheid over uitbestedingsdiensten, inclusief continuïteit,
omdat de continuïteit van de IT-voorziening in relatie met de waarderingscriteria (financiële criteria) minder relevant zijn. Daarom valt het buiten de
scope. Maar het is natuurlijk zeer goed
denkbaar dat het toch in een SAS70
wordt opgenomen, omdat een SAS70
niet alleen voor SOX wordt afgegeven.
Moeten we naar een SOX70 of
TPM70?
Van Gils memoreert dat een SAS70
een bepaald doel heeft, namelijk de
externe accountant van de gebruikersorganisatie zekerheid te verschaffen over uitbestede diensten die een
materiële invloed kunnen hebben op
de jaarrekening en waarbij de accountant bij de gebruikersorganisatie zelf
onvoldoende controlemogelijkheden
heeft. Hoewel SOX dat ook in het
vaandel heeft staan is er toch een
groot verschil. De externe accountant
wil graag dat de financiële processen
het gehele jaar betrouwbaar zijn en
niet alleen op jaareinde, zoals bij
SOX. Dat betekent dat de controle
anders ingestoken zal moeten
worden, bijvoorbeeld spreiding over
het hele jaar. Het verschil inzake het
39 | de EDP-Auditor nummer 4 | 2006
kwaliteitsaspect continuïteit is al
eerder aan de orde geweest. In die
zin zou het dus wenselijk zijn een
onderscheid te maken tussen een
SAS70 en een SOX70. Maar of de
markt begrijpt ….
Roodnat vult aan. Doelstelling van
SOX is het voorkomen van fraude.
SOX70 is daarom minder relevant, de
relatie tussen SOX en IT is dun.
Als het gaat om IT is de relatie met
een TPM hechter.
Volgens Winterink maakt de markt
het onderscheid niet. Als je in Google
de termen TPM en SAS70 intypt
krijg je veel dezelfde hits. Maar als
SAS70 een bekender begrip is bij
managers dan TPM, moeten we daar
dan niet op inspelen?
SLA en SAS70
Een vraag uit de zaal betreft de relatie
tussen SLA’s en SAS70. Zou een SLA
de gebruiker kunnen ondersteunen
om de SAS70 te interpreteren? Is het
niet makkelijker om een SAS70
onderzoek te doen als je op de SLA
kunt terugvallen?
Van Gils beaamt dat. Als je zoveel
mogelijk afspraken vastlegt in de SLA
dan is dat de normering voor je
SAS70. Het gebeurt volgens hem ook
wel dat je afspreekt dat het normenstelsel deel uitmaakt van de SLA, veelal
afzonderlijk uitgewerkt in het DAP
(Dossier Afspraken en Procedures).
Dit wordt bevestigd door Roodnat.
Voor een TPM binnen de Rijksoverheid geldt dit ook. De TPM is terug
te voeren op een SLA (binnen de
overheid worden deze ook SNO
genoemd). Die vormen dan het
uitgangspunt voor je normering.
Maar dat brengt met zich mee dat je
zaken moet afspreken die je kunt
beheersen én meten.
Tot slot
De voorzitter sluit af: dankt het publiek
voor kritische vragen en opmerkingen
en het panel voor hun ervaringen
en hun boodschap. Het publiek gaat
tevreden naar huis, mét antwoorden
en wellicht nieuwe vragen! ■