Contenu connexe
Similaire à Presentatie Henk Meijer (20)
Presentatie Henk Meijer
- 1. Business Assurance nu en in
de toekomst
Welkom
Henk Meijer
30 november 2010
© Into Control 3-12-2010 pagina 1
- 2. Wat gaan we doen vanavond?
18.30 Introductie
Henk Meijer, Into Control BV
18.35 Business Assurance: nu en in de toekomst
ISAE3402, ISAE3000, SSAE16, ISA 800 of ISO 27001. Wat is uw nummer?
Henk Meijer, Directeur Into Control BV
19.00 De vruchten van Business Assurance voor serviceverleners: Wrang of Zoet?
Menno Harkema, CFRO ASR Nederland Financial Markets
19.25 Pauze
19.45 De (on)mogelijkheden van de 3 ‘lines of defence’ voor interne beheersing
Sander van Bellen RA, Senior Manager KPMG Financial Services
20.10 Afsluiting en Borrel
© Into Control 3-12-2010 pagina 2
- 3. Themabijeenkomsten Into Control
Implementatie op het gebied van Interne Beheersing
Kennis delen
Into Control Ervaringen uitwisselen
Netwerken
Risk Management
Control Concepts
Compliance
Vanavond:
Control Concept
Business Assurance
Business Organization & Processes
© Into Control 3-12-2010 pagina 3
- 4. Business Assurance
Wat is uw nummer?
1. Wat is Business Assurance?
2. Business Assurance volgens SAS70
3. Business Assurance onder ISAE3402
4. Enige overige standaarden
5. Wat is uw nummer?
6. Optimalisatie van Business Assurance: Control Testing
7. Vragen?
Henk Meijer
30 november 2010
© Into Control 3-12-2010 pagina 4
- 5. Business Assurance, wat is het?
► Business Assurance:
► Het verlenen van comfort aan derden over de interne beheersing van een
serviceorganisatie of Shared Service Centre
► Waarom?
► Vragen vanuit klanten, stafafdelingen marktdruk (o.a. SoX)
► Betrouwbaarheid gegevens / rapportages
► Betrouwbaarheid van processen
► 2 soorten:
► In Control statement door organisatie zelf (ICS)
► Verklaring door onafhankelijke auditor
Service organisatie
► Meerdere typen verklaringen
© Into Control 3-12-2010 pagina 5
- 6. Huidige situatie Bussiness Assurance
►SAS70 is dominant!
► 80-er jaren uitbesteding 1992 SAS70
► Hoofddoel: Verklaring over beheersing t.b.v. financiële rapportage.
► Onderzoek door accountant volgens een vaste audit standaard
Financiële External Auditor External Auditor
OK SAS70 Rapport
rapportage Cliëntorganisatie serviceverlener
Audit Audit
Gebruikersorganisatie Service organisatie
(uitbestedende partij) (fin) gegevens
services
► SAS70 heeft nu grote internationale populariteit en een goed imago
► SAS70 wordt breed gebruikt op assurance gebied
© Into Control 3-12-2010 pagina 6
- 7. Business Assurance volgens SAS70
► SAS70
► Biedt een „redelijke mate van zekerheid‟
► Is proces georiënteerd (relevant voor financiële rapportages)
► Richt zich op juistheid, tijdigheid en volledigheid
► Beperkte doelgroep
► Inhoud rapport
► Verklaring van externe auditor (H1)
► Beschrijving interne organisatie (H2)
► Beschrijving beheersingsmaatregelen van de service organisatie (H3)
► Beschrijving testwerkzaamheden + overige informatie (H4)
► Type I Statement
► Toets of de interne maatregelen effectief zijn qua opzet
► Toets of beheersingsmaatregelen ook bestaan.
► Type II Statement
► Toets op de effectieve werking voor 6 - 12 maanden
© Into Control 3-12-2010 pagina 7
- 8. Business Assurance onder ISEA 3402
► Waarom ISAE3402?
► Internationale standaard gewenst
► Harmonisatie van meerdere landelijke standaarden
► Belangrijkste verschillen t.o.v. SAS70
► Internationale standaard
► Assurance standaard
► Requirements vastgelegd
► Management verklaring (aantoonbare basis, SoX 302)
► Beoordeling op 3 onderdelen:
► Fairness of representation Type I + II
► Suitability of design Type I + II
► Operating effectiveness Type II
► Inhoud rapport
► Managementverklaring
► Auditors attestation
► Beschrijving interne organisatie (incl. risk management)
► Beschrijving maatregelen + testresultaten
► Andere relevante informatie (o.a. testmethodieken)
► SAS70 vervallen vanaf 15-6-2011
© Into Control 3-12-2010 pagina 8
- 9. Enige overige standaarden
► ISA800 assurance standaard voor toetsing speciale financiële
rapportages
► SSAE16 Statement on Standards for Attestation Engagements
Report on Controls in Service Organisations
► SoX specifieke (verplichte) SEC standaard voor beheersing
van financiële rapportages (Sarbanes Oxley)
► ISO 31000 NEN standaard voor risk management
► ISO 9001 standaard voor kwaliteitsmanagement
► ISO 27001 kwaliteit van informatiebeveiliging
► BS25999 (standaard voor IT continuïteit)
► ISAE3000 algemene assurance standaard
© Into Control 3-12-2010 pagina 9
- 10. ISAE3000 standaard
► Algemene assurance standaard
► Geen specifieke focus op financiële verslaglegging
“Engagements other than historical financial information”
► Vrije vorm alleen wel minimale set criteria
► drie partijen
► de verantwoordelijke partij / opdrachtgever;
► de (beoogd) gebruiker;
► de accountant
► definitie van het onderzoeksobject
► geïmplementeerde beheersingsmaatregelen
► kwaliteitsaspecten, zoals betrouwbaarheid, exclusiviteit en continuïteit
► auditor onderzoekt toepasbaarheid van de criteria
► Keuze mate van assurance (in overleg met gebruiker)
► redelijke mate van zekerheid of
► beperkte mate van zekerheid
► Toe te snijden op kwaliteit van (niet-financiële) processen
© Into Control 3-12-2010 pagina 10
- 11. Wat is uw nummer?
► Bepalend voor keuze zijn:
doel, doelgroep en omstandigheden
► 1: ISAE3402 + ISA800
► Financiële dienstverlening (afhankelijkheid)
► Sarbanes Oxley (ISAE3402 + SSAE16)
► 2: ISAE3000 + ISO 9001
► Productieprocessen (niet financieel)
► Kwaliteit van procesvoering
► Shared Service Centres
► 3: ISAE3000 + BS25999 + ISO 27001
► IT dienstverlening
► Kwaliteit van procesvoering / dienstverlening
► SLA management
© Into Control 3-12-2010 pagina 11
- 12. Business Assurance - Optimalisatie
Testfunctie binnen de business (met link naar 2e lijn)
Nadeel: Kosten inrichting
Management dashboard Voordelen:
ICS - Snel bijsturen
- Awareness hoog
Risk Management - Besparing op audit
Externe Audit - Minder interrupties
(non financial)
Internal Audit - integrated testset
Aandachtspunt:
Control -Tester onafhankelijkheid
Framework
Compliance SoX
ToE
(wetgeving) SAS70 / ISAE3402
programma
Solvency II (pillar II)
Etc...
Altijd aantoonbaar ‘in control’!
Toekomstige
Control Improvement
Assurance vragen
© Into Control 3-12-2010 pagina 12
- 13. Vragen?
Henk Meijer
Into Control
Risk Management, Compliance & Control Concepts
Tel: +31(0)6 26536701
info@intocontrol.nl
www.intocontrol.nl
Dorpsstraat 20
3611 AE Oud Zuilen
The Netherlands
© Into Control 3-12-2010 pagina 13