SlideShare ist ein Scribd-Unternehmen logo

Presentatie Henk Meijer

Gerard Slump
Gerard Slump

Van SAS70 naar ISAE3402, Business Assurance

1 von 13
Business Assurance nu en in de toekomst Welkom Henk Meijer 30 november 2010 © Into Control 3-12-2010 pagina 1
Wat gaan we doen vanavond? 18.30 Introductie Henk Meijer, Into Control BV 18.35 Business Assurance: nu en in de toekomst ISAE3402, ISAE3000, SSAE16, ISA 800 of ISO 27001. Wat is uw nummer? Henk Meijer, Directeur Into Control BV 19.00 De vruchten van Business Assurance voor serviceverleners: Wrang of Zoet? Menno Harkema, CFRO ASR Nederland Financial Markets 19.25 Pauze 19.45 De (on)mogelijkheden van de 3 ‘lines of defence’ voor interne beheersing Sander van Bellen RA, Senior Manager KPMG Financial Services 20.10 Afsluiting en Borrel © Into Control 3-12-2010 pagina 2
Themabijeenkomsten Into Control Implementatie op het gebied van Interne Beheersing Kennis delen Into Control Ervaringen uitwisselen Netwerken Risk Management Control Concepts Compliance Vanavond: Control Concept Business Assurance Business Organization & Processes © Into Control 3-12-2010 pagina 3
Business Assurance Wat is uw nummer? 1. Wat is Business Assurance? 2. Business Assurance volgens SAS70 3. Business Assurance onder ISAE3402 4. Enige overige standaarden 5. Wat is uw nummer? 6. Optimalisatie van Business Assurance: Control Testing 7. Vragen? Henk Meijer 30 november 2010 © Into Control 3-12-2010 pagina 4
Business Assurance, wat is het? ► Business Assurance: ► Het verlenen van comfort aan derden over de interne beheersing van een serviceorganisatie of Shared Service Centre ► Waarom? ► Vragen vanuit klanten, stafafdelingen  marktdruk (o.a. SoX) ► Betrouwbaarheid gegevens / rapportages ► Betrouwbaarheid van processen ► 2 soorten: ► In Control statement door organisatie zelf (ICS) ► Verklaring door onafhankelijke auditor Service organisatie ► Meerdere typen verklaringen © Into Control 3-12-2010 pagina 5
Huidige situatie Bussiness Assurance ►SAS70 is dominant! ► 80-er jaren  uitbesteding  1992  SAS70 ► Hoofddoel: Verklaring over beheersing t.b.v. financiële rapportage. ► Onderzoek door accountant volgens een vaste audit standaard Financiële External Auditor External Auditor OK SAS70 Rapport rapportage Cliëntorganisatie serviceverlener Audit Audit Gebruikersorganisatie Service organisatie (uitbestedende partij) (fin) gegevens services ► SAS70 heeft nu grote internationale populariteit en een goed imago ► SAS70 wordt breed gebruikt op assurance gebied © Into Control 3-12-2010 pagina 6
Business Assurance volgens SAS70 ► SAS70 ► Biedt een „redelijke mate van zekerheid‟ ► Is proces georiënteerd (relevant voor financiële rapportages) ► Richt zich op juistheid, tijdigheid en volledigheid ► Beperkte doelgroep ► Inhoud rapport ► Verklaring van externe auditor (H1) ► Beschrijving interne organisatie (H2) ► Beschrijving beheersingsmaatregelen van de service organisatie (H3) ► Beschrijving testwerkzaamheden + overige informatie (H4) ► Type I Statement ► Toets of de interne maatregelen effectief zijn qua opzet ► Toets of beheersingsmaatregelen ook bestaan. ► Type II Statement ► Toets op de effectieve werking voor 6 - 12 maanden © Into Control 3-12-2010 pagina 7
Business Assurance onder ISEA 3402 ► Waarom ISAE3402? ► Internationale standaard gewenst ► Harmonisatie van meerdere landelijke standaarden ► Belangrijkste verschillen t.o.v. SAS70 ► Internationale standaard ► Assurance standaard ► Requirements vastgelegd ► Management verklaring (aantoonbare basis, SoX 302) ► Beoordeling op 3 onderdelen: ► Fairness of representation  Type I + II ► Suitability of design  Type I + II ► Operating effectiveness  Type II ► Inhoud rapport ► Managementverklaring ► Auditors attestation ► Beschrijving interne organisatie (incl. risk management) ► Beschrijving maatregelen + testresultaten ► Andere relevante informatie (o.a. testmethodieken) ► SAS70 vervallen vanaf 15-6-2011 © Into Control 3-12-2010 pagina 8
Enige overige standaarden ► ISA800  assurance standaard voor toetsing speciale financiële rapportages ► SSAE16  Statement on Standards for Attestation Engagements  Report on Controls in Service Organisations ► SoX  specifieke (verplichte) SEC standaard voor beheersing van financiële rapportages (Sarbanes Oxley) ► ISO 31000 NEN  standaard voor risk management ► ISO 9001  standaard voor kwaliteitsmanagement ► ISO 27001 kwaliteit van informatiebeveiliging ► BS25999 (standaard voor IT continuïteit) ► ISAE3000  algemene assurance standaard © Into Control 3-12-2010 pagina 9
ISAE3000 standaard ► Algemene assurance standaard ► Geen specifieke focus op financiële verslaglegging “Engagements other than historical financial information” ► Vrije vorm alleen wel minimale set criteria ► drie partijen ► de verantwoordelijke partij / opdrachtgever; ► de (beoogd) gebruiker; ► de accountant ► definitie van het onderzoeksobject ► geïmplementeerde beheersingsmaatregelen ► kwaliteitsaspecten, zoals betrouwbaarheid, exclusiviteit en continuïteit ► auditor onderzoekt toepasbaarheid van de criteria ► Keuze mate van assurance (in overleg met gebruiker) ► redelijke mate van zekerheid of ► beperkte mate van zekerheid ► Toe te snijden op kwaliteit van (niet-financiële) processen © Into Control 3-12-2010 pagina 10
Wat is uw nummer? ► Bepalend voor keuze zijn: doel, doelgroep en omstandigheden ► 1: ISAE3402 + ISA800 ► Financiële dienstverlening (afhankelijkheid) ► Sarbanes Oxley (ISAE3402 + SSAE16) ► 2: ISAE3000 + ISO 9001 ► Productieprocessen (niet financieel) ► Kwaliteit van procesvoering ► Shared Service Centres ► 3: ISAE3000 + BS25999 + ISO 27001 ► IT dienstverlening ► Kwaliteit van procesvoering / dienstverlening ► SLA management © Into Control 3-12-2010 pagina 11
Business Assurance - Optimalisatie Testfunctie binnen de business (met link naar 2e lijn) Nadeel: Kosten inrichting Management dashboard Voordelen: ICS - Snel bijsturen - Awareness hoog Risk Management - Besparing op audit Externe Audit - Minder interrupties (non financial) Internal Audit - integrated testset Aandachtspunt: Control -Tester onafhankelijkheid Framework Compliance SoX ToE (wetgeving) SAS70 / ISAE3402 programma Solvency II (pillar II) Etc... Altijd aantoonbaar ‘in control’! Toekomstige Control Improvement Assurance vragen © Into Control 3-12-2010 pagina 12
Vragen? Henk Meijer Into Control Risk Management, Compliance & Control Concepts Tel: +31(0)6 26536701 info@intocontrol.nl www.intocontrol.nl Dorpsstraat 20 3611 AE Oud Zuilen The Netherlands © Into Control 3-12-2010 pagina 13

Empfohlen

Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Thomas van Vooren
 
Materi asam dan basa
Materi asam dan basaMateri asam dan basa
Materi asam dan basaHarni Salsa
 
Trabajo historia 2
Trabajo historia 2Trabajo historia 2
Trabajo historia 2sarabaloco
 
Understanding India’s many business environments! Harsh Shrivastava's Worldco...
Understanding India’s many business environments! Harsh Shrivastava's Worldco...Understanding India’s many business environments! Harsh Shrivastava's Worldco...
Understanding India’s many business environments! Harsh Shrivastava's Worldco...Harsh Shrivastava
 
Ejercicio 3
Ejercicio 3Ejercicio 3
Ejercicio 3sarabaloco
 
Exploring Complex Networks
Exploring Complex NetworksExploring Complex Networks
Exploring Complex NetworksJimmy Lu
 
Burkina beverage michael & bobby
Burkina beverage michael & bobbyBurkina beverage michael & bobby
Burkina beverage michael & bobbyBobby Antan Caiquo
 
Core java by amit
Core java by amitCore java by amit
Core java by amitThakur Amit Tomer
 

Empfohlen

Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 2...Thomas van Vooren
 
Materi asam dan basa
Materi asam dan basaMateri asam dan basa
Materi asam dan basaHarni Salsa
 
Trabajo historia 2
Trabajo historia 2Trabajo historia 2
Trabajo historia 2sarabaloco
 
Understanding India’s many business environments! Harsh Shrivastava's Worldco...
Understanding India’s many business environments! Harsh Shrivastava's Worldco...Understanding India’s many business environments! Harsh Shrivastava's Worldco...
Understanding India’s many business environments! Harsh Shrivastava's Worldco...Harsh Shrivastava
 
Ejercicio 3
Ejercicio 3Ejercicio 3
Ejercicio 3sarabaloco
 
Exploring Complex Networks
Exploring Complex NetworksExploring Complex Networks
Exploring Complex NetworksJimmy Lu
 
Burkina beverage michael & bobby
Burkina beverage michael & bobbyBurkina beverage michael & bobby
Burkina beverage michael & bobbyBobby Antan Caiquo
 
Core java by amit
Core java by amitCore java by amit
Core java by amitThakur Amit Tomer
 
Your Path to Financial Security
Your Path to Financial SecurityYour Path to Financial Security
Your Path to Financial SecurityDouglas MacDonald
 
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...Silvia Tassone
 
How to setup a diary farm
How to setup a diary farm How to setup a diary farm
How to setup a diary farm Yashas C Shekar
 
Sura kahaf-2015
Sura kahaf-2015Sura kahaf-2015
Sura kahaf-2015Manzur Ashraf
 
Vietnam law on enterprise 2014
Vietnam law on enterprise 2014Vietnam law on enterprise 2014
Vietnam law on enterprise 2014AC&C Consulting Co., Ltd.
 
Biografia de abraham maslow
Biografia de abraham maslowBiografia de abraham maslow
Biografia de abraham maslowRonaldo Pacheco .'.
 
Tpa
TpaTpa
Tpanieuwe bomen | bureau voor content marketing
 
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptxWebinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptxStork
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control MonitorKleijwegtJ
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control MonitorKleijwegtJ
 
ConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een IntroductieConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een Introductieschapend
 
LIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceLIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceElly Stroo Cloeck
 
SIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling LekkerkerkSIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling LekkerkerkAntonie Reichling
 
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016TOPdesk
 
Inspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMSInspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMSnhofte
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nlA_Hassing
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nlKEY-Group
 
New Change Management (NCM)
New Change Management (NCM)New Change Management (NCM)
New Change Management (NCM)fsw13169
 
Maak werk van uw ambities!
Maak werk van uw ambities!Maak werk van uw ambities!
Maak werk van uw ambities!iljavdmeijden
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheereHerkenning
 
Inspiratiesessie internal auditing ams
Inspiratiesessie internal auditing amsInspiratiesessie internal auditing ams
Inspiratiesessie internal auditing amsBen Broeckx
 
2014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 62014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 6Arjen van Veen
 

Weitere ähnliche Inhalte

Andere mochten auch

Your Path to Financial Security
Your Path to Financial SecurityYour Path to Financial Security
Your Path to Financial SecurityDouglas MacDonald
 
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...Silvia Tassone
 
How to setup a diary farm
How to setup a diary farm How to setup a diary farm
How to setup a diary farm Yashas C Shekar
 

Andere mochten auch (6)

Your Path to Financial Security
Your Path to Financial SecurityYour Path to Financial Security
Your Path to Financial Security
 
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
Perché le gallerie d'arte dovrebbero sfruttare il marketing digitale e i soci...
 
How to setup a diary farm
How to setup a diary farm How to setup a diary farm
How to setup a diary farm
 
Sura kahaf-2015
Sura kahaf-2015Sura kahaf-2015
Sura kahaf-2015
 
Vietnam law on enterprise 2014
Vietnam law on enterprise 2014Vietnam law on enterprise 2014
Vietnam law on enterprise 2014
 
Biografia de abraham maslow
Biografia de abraham maslowBiografia de abraham maslow
Biografia de abraham maslow
 

Ähnlich wie Presentatie Henk Meijer

Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptxWebinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptxStork
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control MonitorKleijwegtJ
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control MonitorKleijwegtJ
 
ConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een IntroductieConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een Introductieschapend
 
LIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceLIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceElly Stroo Cloeck
 
SIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling LekkerkerkSIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling LekkerkerkAntonie Reichling
 
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016TOPdesk
 
Inspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMSInspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMSnhofte
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nlA_Hassing
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nlKEY-Group
 
New Change Management (NCM)
New Change Management (NCM)New Change Management (NCM)
New Change Management (NCM)fsw13169
 
Maak werk van uw ambities!
Maak werk van uw ambities!Maak werk van uw ambities!
Maak werk van uw ambities!iljavdmeijden
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheereHerkenning
 
Inspiratiesessie internal auditing ams
Inspiratiesessie internal auditing amsInspiratiesessie internal auditing ams
Inspiratiesessie internal auditing amsBen Broeckx
 
2014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 62014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 6Arjen van Veen
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezichtGeert Henk Wijnants
 
Webinar | BRZO inspecties in 2020
Webinar | BRZO inspecties in 2020Webinar | BRZO inspecties in 2020
Webinar | BRZO inspecties in 2020Stork
 
Presentatie kredietverzekering woonbranche
Presentatie kredietverzekering woonbranchePresentatie kredietverzekering woonbranche
Presentatie kredietverzekering woonbrancheJeroen Ottevanger
 

Ähnlich wie Presentatie Henk Meijer (20)

Tpa
TpaTpa
Tpa
 
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptxWebinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
Webinar | Omgaan snel met veranderende wetgeving in duurzaamheid.pptx
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control Monitor
 
Corporatie Control Monitor
Corporatie Control MonitorCorporatie Control Monitor
Corporatie Control Monitor
 
ConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een IntroductieConQuaestor Proces Consulting ... Een Introductie
ConQuaestor Proces Consulting ... Een Introductie
 
LIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_AssuranceLIO-Discussiedocument_Continous_Assurance
LIO-Discussiedocument_Continous_Assurance
 
SIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling LekkerkerkSIGMA201605_Reichling Lekkerkerk
SIGMA201605_Reichling Lekkerkerk
 
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
Jungle fever in certificeringsland, welke keuze te maken - SEE 2016
 
Inspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMSInspection Management Benelux - Stork AMS
Inspection Management Benelux - Stork AMS
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nl
 
Key group slidedeck tcf nl
Key group slidedeck tcf nlKey group slidedeck tcf nl
Key group slidedeck tcf nl
 
New Change Management (NCM)
New Change Management (NCM)New Change Management (NCM)
New Change Management (NCM)
 
Maak werk van uw ambities!
Maak werk van uw ambities!Maak werk van uw ambities!
Maak werk van uw ambities!
 
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - BeheerPresentatie Masterclass eHerkenning (17 januari 2012) - Beheer
Presentatie Masterclass eHerkenning (17 januari 2012) - Beheer
 
Inspiratiesessie internal auditing ams
Inspiratiesessie internal auditing amsInspiratiesessie internal auditing ams
Inspiratiesessie internal auditing ams
 
2014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 62014 in control - key control dashboard - v1 6
2014 in control - key control dashboard - v1 6
 
(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht(4) 19 mei16 compliance en systeemgericht toezicht
(4) 19 mei16 compliance en systeemgericht toezicht
 
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
Webinar ISO 27001 informatiebeveiliging: revisie, certificering en implementa...
 
Webinar | BRZO inspecties in 2020
Webinar | BRZO inspecties in 2020Webinar | BRZO inspecties in 2020
Webinar | BRZO inspecties in 2020
 
Presentatie kredietverzekering woonbranche
Presentatie kredietverzekering woonbranchePresentatie kredietverzekering woonbranche
Presentatie kredietverzekering woonbranche
 

Presentatie Henk Meijer

  • 1. Business Assurance nu en in de toekomst Welkom Henk Meijer 30 november 2010 © Into Control 3-12-2010 pagina 1
  • 2. Wat gaan we doen vanavond? 18.30 Introductie Henk Meijer, Into Control BV 18.35 Business Assurance: nu en in de toekomst ISAE3402, ISAE3000, SSAE16, ISA 800 of ISO 27001. Wat is uw nummer? Henk Meijer, Directeur Into Control BV 19.00 De vruchten van Business Assurance voor serviceverleners: Wrang of Zoet? Menno Harkema, CFRO ASR Nederland Financial Markets 19.25 Pauze 19.45 De (on)mogelijkheden van de 3 ‘lines of defence’ voor interne beheersing Sander van Bellen RA, Senior Manager KPMG Financial Services 20.10 Afsluiting en Borrel © Into Control 3-12-2010 pagina 2
  • 3. Themabijeenkomsten Into Control Implementatie op het gebied van Interne Beheersing Kennis delen Into Control Ervaringen uitwisselen Netwerken Risk Management Control Concepts Compliance Vanavond: Control Concept Business Assurance Business Organization & Processes © Into Control 3-12-2010 pagina 3
  • 4. Business Assurance Wat is uw nummer? 1. Wat is Business Assurance? 2. Business Assurance volgens SAS70 3. Business Assurance onder ISAE3402 4. Enige overige standaarden 5. Wat is uw nummer? 6. Optimalisatie van Business Assurance: Control Testing 7. Vragen? Henk Meijer 30 november 2010 © Into Control 3-12-2010 pagina 4
  • 5. Business Assurance, wat is het? ► Business Assurance: ► Het verlenen van comfort aan derden over de interne beheersing van een serviceorganisatie of Shared Service Centre ► Waarom? ► Vragen vanuit klanten, stafafdelingen  marktdruk (o.a. SoX) ► Betrouwbaarheid gegevens / rapportages ► Betrouwbaarheid van processen ► 2 soorten: ► In Control statement door organisatie zelf (ICS) ► Verklaring door onafhankelijke auditor Service organisatie ► Meerdere typen verklaringen © Into Control 3-12-2010 pagina 5
  • 6. Huidige situatie Bussiness Assurance ►SAS70 is dominant! ► 80-er jaren  uitbesteding  1992  SAS70 ► Hoofddoel: Verklaring over beheersing t.b.v. financiële rapportage. ► Onderzoek door accountant volgens een vaste audit standaard Financiële External Auditor External Auditor OK SAS70 Rapport rapportage Cliëntorganisatie serviceverlener Audit Audit Gebruikersorganisatie Service organisatie (uitbestedende partij) (fin) gegevens services ► SAS70 heeft nu grote internationale populariteit en een goed imago ► SAS70 wordt breed gebruikt op assurance gebied © Into Control 3-12-2010 pagina 6
  • 7. Business Assurance volgens SAS70 ► SAS70 ► Biedt een „redelijke mate van zekerheid‟ ► Is proces georiënteerd (relevant voor financiële rapportages) ► Richt zich op juistheid, tijdigheid en volledigheid ► Beperkte doelgroep ► Inhoud rapport ► Verklaring van externe auditor (H1) ► Beschrijving interne organisatie (H2) ► Beschrijving beheersingsmaatregelen van de service organisatie (H3) ► Beschrijving testwerkzaamheden + overige informatie (H4) ► Type I Statement ► Toets of de interne maatregelen effectief zijn qua opzet ► Toets of beheersingsmaatregelen ook bestaan. ► Type II Statement ► Toets op de effectieve werking voor 6 - 12 maanden © Into Control 3-12-2010 pagina 7
  • 8. Business Assurance onder ISEA 3402 ► Waarom ISAE3402? ► Internationale standaard gewenst ► Harmonisatie van meerdere landelijke standaarden ► Belangrijkste verschillen t.o.v. SAS70 ► Internationale standaard ► Assurance standaard ► Requirements vastgelegd ► Management verklaring (aantoonbare basis, SoX 302) ► Beoordeling op 3 onderdelen: ► Fairness of representation  Type I + II ► Suitability of design  Type I + II ► Operating effectiveness  Type II ► Inhoud rapport ► Managementverklaring ► Auditors attestation ► Beschrijving interne organisatie (incl. risk management) ► Beschrijving maatregelen + testresultaten ► Andere relevante informatie (o.a. testmethodieken) ► SAS70 vervallen vanaf 15-6-2011 © Into Control 3-12-2010 pagina 8
  • 9. Enige overige standaarden ► ISA800  assurance standaard voor toetsing speciale financiële rapportages ► SSAE16  Statement on Standards for Attestation Engagements  Report on Controls in Service Organisations ► SoX  specifieke (verplichte) SEC standaard voor beheersing van financiële rapportages (Sarbanes Oxley) ► ISO 31000 NEN  standaard voor risk management ► ISO 9001  standaard voor kwaliteitsmanagement ► ISO 27001 kwaliteit van informatiebeveiliging ► BS25999 (standaard voor IT continuïteit) ► ISAE3000  algemene assurance standaard © Into Control 3-12-2010 pagina 9
  • 10. ISAE3000 standaard ► Algemene assurance standaard ► Geen specifieke focus op financiële verslaglegging “Engagements other than historical financial information” ► Vrije vorm alleen wel minimale set criteria ► drie partijen ► de verantwoordelijke partij / opdrachtgever; ► de (beoogd) gebruiker; ► de accountant ► definitie van het onderzoeksobject ► geïmplementeerde beheersingsmaatregelen ► kwaliteitsaspecten, zoals betrouwbaarheid, exclusiviteit en continuïteit ► auditor onderzoekt toepasbaarheid van de criteria ► Keuze mate van assurance (in overleg met gebruiker) ► redelijke mate van zekerheid of ► beperkte mate van zekerheid ► Toe te snijden op kwaliteit van (niet-financiële) processen © Into Control 3-12-2010 pagina 10
  • 11. Wat is uw nummer? ► Bepalend voor keuze zijn: doel, doelgroep en omstandigheden ► 1: ISAE3402 + ISA800 ► Financiële dienstverlening (afhankelijkheid) ► Sarbanes Oxley (ISAE3402 + SSAE16) ► 2: ISAE3000 + ISO 9001 ► Productieprocessen (niet financieel) ► Kwaliteit van procesvoering ► Shared Service Centres ► 3: ISAE3000 + BS25999 + ISO 27001 ► IT dienstverlening ► Kwaliteit van procesvoering / dienstverlening ► SLA management © Into Control 3-12-2010 pagina 11
  • 12. Business Assurance - Optimalisatie Testfunctie binnen de business (met link naar 2e lijn) Nadeel: Kosten inrichting Management dashboard Voordelen: ICS - Snel bijsturen - Awareness hoog Risk Management - Besparing op audit Externe Audit - Minder interrupties (non financial) Internal Audit - integrated testset Aandachtspunt: Control -Tester onafhankelijkheid Framework Compliance SoX ToE (wetgeving) SAS70 / ISAE3402 programma Solvency II (pillar II) Etc... Altijd aantoonbaar ‘in control’! Toekomstige Control Improvement Assurance vragen © Into Control 3-12-2010 pagina 12
  • 13. Vragen? Henk Meijer Into Control Risk Management, Compliance & Control Concepts Tel: +31(0)6 26536701 info@intocontrol.nl www.intocontrol.nl Dorpsstraat 20 3611 AE Oud Zuilen The Netherlands © Into Control 3-12-2010 pagina 13