Onderstaande visie is gebaseerd op persoonlijke denkbeelden en ideeën, deze zijn gebaseerd op ervaringen, algemene kennis en resultaten van het uitgevoerde onderzoek.
Het uitbesteden van diensten is een ontwikkeling welke de afgelopen jaren steeds meer gangbaar is geworden binnen organisaties. Het is de verwachting dat deze trend zich voort gaat zetten de komende jaren, de intensiteit en diversiteit van uitbestede diensten zal verder toenemen. Het verkrijgen van zekerheid omtrent uitbestede diensten was afgelopen jaren al zeer belangrijk, de importantie zal de komende jaren enkel maar toenemen. Ik verwacht geen veranderingen ten aanzien van de wijze waarop deze zekerheid geboden wordt, ik verwacht dat de Service auditor’s rapporten in dezelfde / vergelijkbare vorm blijven bestaan in de toekomst. De gebruikswaarde van deze Service auditor’s rapporten dient echter wel sterk te verbeteren, zodat deze efficiënter en effectiever gebruikt kunnen worden.
Het is daarom van groot belang dat er onderzoek wordt gedaan naar het betreffende speelveld: welke stakeholder heeft welke verantwoordelijkheden, wat zijn kritische succesfactoren, hoe dient de samenwerking ingevuld te worden, etcetera. Middels het uitgevoerde onderzoek zijn opvattingen van de verschillende stakeholders verkregen. Tevens is de gebruikswaarde van een aantal Service auditor’s rapporten vastgesteld aan de hand van een model. Door beide activiteiten te combineren zijn eerste opvattingen ten aanzien van de gebruikswaarde van de Service auditor’s rapporten ontstaan (zie tevens paragraaf 5.1). In het algemeen ben ik van mening dat Service auditor’s rapporten de juiste informatie bieden voor de gebruikers en daarmee de gewenste zekerheid bieden. De wijze waarop deze zekerheid wordt gepresenteerd biedt echter onvoldoende gebruikswaarde, zo wordt de nadruk in de rapporten niet op de juiste onderwerpen gelegd, staat er (te) veel niet van toepassing zijnde informatie in de rapporten en nodigt de omvang niet uit tot het secuur doorlezen van het rapport.
De conclusies zoals in paragraaf 5.1 gepresenteerd zijn mijn inziens van belang om de gebruikswaarde te verbeteren en van een afdoende niveau te houden in de toekomst. Het feit dat deze conclusies zijn gebaseerd op interviews met de verschillende stakeholders is een belangrijk gegeven, hierdoor is benadrukt dat de stakeholders zich bewust zijn van de huidige tekortkomingen en mogelijke verbeteringen welke in de toekomst ingevoerd kunnen worden.
Persoonlijke aanbevelingen ten aanzien van het verhogen van de gebruikswaarde van Service auditor’s rapporten zijn:
- Het vergroten van de focus van IT-Auditor’s op de gebruikswaarde van Service auditor’s rapporten. Op basis van een toename in het bewustzijn bij IT-Auditors zal de uiteindelijke gebruikswaarde verbeteren; - Het introduceren van zogenaamde ‘one-pagers’ in aanvulling op de Service auditor’s rapporten. Een one-pager betreft een samenvatting van de uitgevoerde werkzaamheden en daaraan ontleende conclusie. Door one-pagers aan een Service auditor’s rapport toe te voegen is het voor de gebruiker zeer eenvoudig om op een efficiënte en effectieve wijze een inschatting te kunnen maken omtrent het van toepassing zijn van het Service auditor’s rapport, de gebruikswaarde zal hiermee verbeteren;
41 - Het introduceren van ronde-tafel sessies waaraan alle vier de stakeholders deelnemen. Tijdens dergelijke sessies kunnen wensen en verwachten geventileerd worden door de gebruikers, alsmede de mogelijkheden en onmogelijkheden door de IT-Auditor worden toegelicht. Door een dergelijke afstemming worden verwachtingen over-en-weer afgestemd, wat de (perceptie van) gebruikswaarde zal verbeteren.
7. Literatuurlijst
American Institute of Certified Public Accountants. (1992). Reports on the processing of Transactions by Service Organizations. Durham (Verenigde Staten): American Institute of Certified Public Accountants.
American Institute of Certified Public Accountants. (2005). AU Section 324 Service Organizations. Durham: American Institute of Certified Public Accountants .
Ernst & Young. (2013). Implementing and maintaining ISAE3402. Amsterdam: Ernst & Young Accountants LLP.
European Institute for Brand Management. (2011). Verwerken van kwalitatieve data. EURIB Nieuwsbrief, 1-3. Ewals, R. (2010). ISAE 3402: een nieuw hoofdstuk voor de IT-auditor. de IT-auditor, 37-45.
Houtekamer, D., & de Graaf, R. (2009). ISAE3402: einde van SAS 70 in zicht? de EDP-Auditor, 30-35. Instituut van Internal Auditors Nederland. (nb). ISAE 3402 en de internal auditor. Amsterdam: Instituut van
Internal Auditors Nederland.
J.J. van Beek, & M.A. Francken. (2010). SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording. . Compact, 38-42.
Knolmayer, G., & Asprion, P. (2011). Assuring Compliance in IT Subcontracting and Cloud Computing. University of Bern - Working Paper no. 236.
Koninklijke NBA. (2015). Handleiding Regelgeving Accountancy. Amsterdam: Nederlandse beroepsorganisatie van accountants.
KPMG. (2012). Praktijkgids 4 - Service Organisatie Control-rapport, ISAE 3402 . Amsterdam: KPMG Advisory N.V.
Leung, J., & Datardina, M. (2014). Auditor Reporting on Controls at Service Organizations. Centre for Information System Assurance, 1-37.
Luttikhuis, E. (2016, mei 20). NETQ. Opgehaald van NETQ: http://www.netq-enquete.nl/nl/blog/online- enquetes-welke-likertschaal-gebruiken
NOREA. (2010). NOREA Richtlijn 3402. Amsterdam: Nederlandse Orde van Register EDP-Auditors. NOREA. (2016, mei 30). Nieuwe Richtlijn 3402. Opgehaald van www.norea.nl:
http://www.norea.nl/Norea/Actueel/Nieuws/Richtlijn+3402.aspx
Van Beek, J., & Francken, M. (2010). SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording. Compact, 38-42.
43 8. Lijst van figuren
Figuur 1: Buitendijk en Sluiter (2012). Pagina: 6 Figuur 2: Wouter van Putten (2016). Pagina: 14
Figuur 3: Ewals (2010). Pagina: 16
Figuur 4: : Instituut van Internal Auditors Nederland. Pagina: 39
45 Bijlage 1: Samenvatting typen Service Auditor’s rapporten
Kenmerk SAS 70 ISAE 3402 Standaard / Richtlijn 3000
Third party
mededeling ISO (9000) Uitgevende
instantie American Institute of Certified Public Accountants (AICPA)
IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA)
IAASB (en dan lokale bij IFAC aangesloten organisaties, zoals NOREA en NIVRA)
Niet specifiek International Standards Organisation
Wie verstrekt
een mededeling Auditor (RA/RE) Management & Auditor (RA/RE) Auditor (RA/RE) Auditor Any firm that has been authorised by ISO to certify Soort
mededeling Redelijke zekerheid Redelijke zekerheid Redelijke zekerheid of beperkte zekerheid Type
mededeling Direct reporting Direct reporting Direct reporting of assertion based reporting Bewoording
mededeling Voorgeschreven Voorgeschreven Vormvrij Beoordelings-
criteria auditor Niet beschreven Specifiek beschreven Werkzaamhe-
den internal auditfunctie
Mag niet worden opgenomen
Moet worden opgenomen, inclusief wijze van review door externe auditor
Niet specifiek beschreven
Gebruikersgroep Management service- organisatie, Externe accountant Gebruikersorganisati e Management serviceorganisatie, Externe accountant Gebruikersorganisatie
Niet vooraf bepaald Naast de opdrachtgever, een bekende gebruiker of beperkte kring van bekende gebruikers. Naast
opdrachtgever (deels) onbe- kende gebruikers
(maatschappelijk verkeer)
Management
Biedt het zeker- heid over opzet, bestaan en wer- king ten behoeve van accountants van gebruikers- organisaties
Type I: nee
Type II: ja Type I: nee Type II: ja Alleen indien de werking over een periode is getest
Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking : ja
Nee
Reikwijdte
Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de Gebruikersorganisatie
Alle activiteiten van de serviceorganisatie relevant voor de jaarrekening van de Gebruikersorganisatie
Reikwijdte zelf
to bepalen Vormvrije best practice benaderingen Kwaliteit van het managementproce s
(operational risk management)
- you do what you say you do Testwerkzaam-
heden in rapport
Ja (type II verplicht) Ja (type II verplicht) Optioneel
Conclusies in de- tail in rapport
Ja Ja Optioneel Vrijblijvend Nee
Biedt het zeker- heid over opzet, bestaan en wer- king ten behoeve van accountants van gebruikers- organisaties
Type I: nee
Type II: ja Type I: nee Type II: ja Alleen indien de werking over een periode is getest
Rapport van bevindingen: neen Assurancerapport inzake beoordeling opzet, bestaan en werking: ja
Nee
47 Bijlage 3: Gespreksverslagen interviews
Respondent 1
Minutes – “Gebruikswaarde Service auditor’s rapportages” 24 mei, 10:00 uur
Algemene introductie - Functie
Senior Manager Big4 accountantsorganisatie = RA en RE
Werkzaam in de IT audit praktijk: afgeven rapportages + adviesrol Lid kernteam Big4 accountantsorganisatie t.a.v. 3402
Niet echt een technische IT auditor > voornamelijk ondersteuning jaarrekeningcontrole > 30 jaar werkzaam.
- Ervaring met Service auditor’s rapportages (ISAE3402) o Stakeholder-rol.
Zie bovenstaand
o Typen
Afgeven: ISAE3402 / 3000 / SOC1 en afgeleiden privacy certificering (NOREA 3600) Gebruiken van Service auditor’s rapporten in het kader van de jaarrekeningcontrole
Wat is een Service auditor’s rapportages - Relevante stakeholders
Geen aanvullingen.
- Verantwoordelijkheden stakeholders
IT auditor: afgeven van een ISAE3402 op basis van evidence ten aanzien van een adequaat
normenstelsel (vaststellen in hoeverre controls en beheersdoelstellingen op elkaar aansluiten). In ISAE3402 moet onderscheid gemaakt worden naar de wensen van de gebruiker: gebruikersorganisaties. vs. Accountant van de gebruikersorganisatie. Scope moet aansluiten op wensen van de gebruikers.
“ISAE3402 is een eigen leven gaan leiden als een assurance-rapportage” Beoordeling:
Accountant beoordeelt een ISAE op basis van Standaard 402 > ten behoeve van de financiële verantwoording in de jaarrekening.
Gebruikersorganisatie > gebruikt ISAE meer voor het bepalen van de robuustheid van de Service Provider. ISAE is daarbij aanvullend op het initiële vertrouwen in de Service Provider (op basis van
reguliere werkzaamheden / contact / etc. ). ISAE3402 betreft meer een bevestiging ‘door onafhankelijke onpartijdige derde” richting de gebruikersorganisatie.
- Vereisten / wensen qua inhoud van de rapportage
Service providers - Wat is de gewenste
eindsituatie?
- Pro-actieve afstemming met IT-Auditor / gebruikers? - IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Servicee Auditors rapport
RA’s:
- Toepassen Standaard 402? - Contact met IT-Auditor /
gebruikersorganisatie n.a.v. beoordeling? - IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Service Auditors Rapport.
IT-audit praktijk:
- Vaststellen gebruikswaarde (scope, systeembeschrijving en beheersdoelstellingen)
In verleden: drie of vier partijen (service Providers / gebruikers providers (evt. inclusief accountant)+ IT auditor) bij elkaar gebracht voor overleg en vaststellen normenstelsel (inclusief scope).
Huidig: geen overleggen meer met alle stakeholders. Komt door het feit dat de Service providers de meerwaarde niet meer zien, maar ‘gewoon’ een ISAE willen hebben om af te kunnen geven. ISAE3402 wordt tegenwoordig meer commercieel gebruikt dan in het verleden.
- Afgestemd op eisen Standaard 402?
Wordt niet actief toegepast bij het opstellen van een ISAE3402. Samenstelling van de rapportage is gebaseerd op ‘gezond verstand’ en ervaring. Gezien RA achtergrond is een goede understanding van Standaard 402 aanwezig, derhalve wordt deze Standaard impliciet toegepast.
49 - IT-Auditor in staat om
voldoende gebruikswaarde te creëren?
Ja, zou in staat moeten zijn. Respondent vraagt zich af of de gebruikswaarde niet afneemt door ‘te brede rapportage’/ ‘vervlakking’ van de ISAE3402’s (waardoor er meer wordt opgenomen in de rapportage dan zou moeten) Het opnemen van additionele informatie in de ISAE3402 komt door vercommercialisering van de ISAE3402. - Verbetering van de gebruikswaarde van de Service Auditors rapport.
Meer specifieke ISAE3402 meer gericht op Service provider > Meer informatie bieden in de ISAE3402 rapportage door deze meer specifiek te maken.
Meer evidence vergaren middels data-mining (substantive-evidence)
Gebruikswaarde
- Hoe is de gebruikswaarde vast te stellen?
Gebruikswaarde =zeer verschillend per rapportage.
Voor de ontvangende partij “indien de rapportage voldoet aan de eisen van de gebruiker”
In de basis > voor RA > assurance verkrijgen over uitbestede processen door klant van de RA (cf. standaard 402)
- ‘must haves’ vs. ‘nice to haves’ in het Service Auditor’s Rapport.
Nice to have > meer specifieke zaken die toegevoegde waarde bieden voor slechts één Service provider. Minder strak, maar meer pragmatisch toepassen van 3402’s > zodat deze aansluit op behoefte service organisaties.
- Niet bruikbare rapportages > impact.
Een te generieke rapportage is niet bruikbaar aangezien deze niet voldoet aan de eisen en wensen van de gebruikers.
Verwachtingskloof tussen rapport en gebruikerswensen
- Voldoet de Service auditor’s rapportage aan de verwachtingen?
Op basis van het beperkt aantal vragen / opmerkingen wel.
- Geeft deze afdoende inzicht / zekerheid?
Zie bovenstaand.
- Is een RE in staat de gebruikswaarde voor de service organisatie en de RA's goed in te schatten?
Ja, zie tevens bovenstaand.
- Advies om verwachtingskloof de minimaliseren (indien aanwezig).
- Commerciële kant vs. Assurance kant scherp houden
- Frequentie verhogen (niet op jaarbasis), maar meer regelmatiger (verschuivend per kwartaal). - Rapport presenteren tijdens meeting met alle betrokken stakeholders (zodat vragen gesteld
51 Respondent 2
Minutes – “Gebruikswaarde Service auditor’s rapportages” 19 mei 2016, 16:00 hr.
Algemene introductie - Functie
RE / partner van een zelfstandige accountantsorganisatie. Bevoegd tot het doen van wettelijke controles. 25 jaar bij Big 4 gewerkt, eerst als financial auditor vervolgens als IT-Auditor. Heeft nu 10 jaar een zelfstandige accountantsorganisatie.
- Ervaring met Service auditor’s rapportages (ISAE3402)
Laatste 10 jaar bij Big 4 actief geweest met het verstrekken van SAS70 verklaringen. Tevens veel adviesopdrachten gedaan ten behoeve van inrichting Control-frameworks / SAS70 / ISAE’s. Als zelfstandige verzorg begeleiding van a-tot-z: beginnen met advies omtrent inrichting control- framework, afronding middels ISAE type II (vaak voorafgaand een type I afgegeven).
o Stakeholder-rol = IT auditor
Verstrekt de afgelopen jaren ongeveer 10 ISAE’s per jaar, verzorgd zelf het gehele proces (soms externe inhuur bij drukte voor testwerkzaamheden).
o Typen
Ervaring ten aanzien van SAS70 / ISAE3402 / Richtlijn 3402 / SOC 1 + 2
Wat is een Service auditor’s rapportages - Relevante stakeholders
- Stakeholders dienen te worden uitgebreid met de ‘eigenaar’ van de Richtlijnen (de
verantwoordelijke voor het opstellen en updaten van de richtlijnen). Deze partijen hebben volgens de respondent een significante invloed op de inhoud van de rapportage.
> Gebruikersorganisaties zijn buiten beschouwing gelaten als onderdeel van het onderzoek.
- Verantwoordelijkheden stakeholders
Service Providers: control framework up-to-date houden, aanpassingen hieromtrent tijdig afstemmen met IT-Auditor. Werking controls goed documenteren.
RA’s: focus op service organisation controls welke in de ISAE’s expliciet worden verantwoord. Tevens een professioneel kritische instelling tonen ten aanzien van de beoordeling van de ISAE’s. RE’s: adequaat uitvoeren van de werkzaamheden ten behoeve van verstrekken ISAE.
- Vereisten / wensen qua inhoud van de rapportage
Leesbaarheid van groot belang, tevens volledigheid cf. Standaard 402. Gezien feit dat respondent als financial accountant heeft gewerkt is deze goed op de hoogte van de inhoud van deze Standaard.
Service providers - Wat is de gewenste
eindsituatie?
- Pro-actieve afstemming met IT-Auditor / gebruikers?
Nee, gebeurt zeer zelden.
- IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Service Auditors rapport
RA’s:
- Toepassen Standaard 402? - Contact met IT-Auditor /
gebruikersorganisatie n.a.v. beoordeling?
Het komt vrijwel niet voor dat de gebruikers van een Service auditor’s rapport contact zoeken met vragen / opmerkingen. - IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Service Auditors Rapport.
IT-audit praktijk:
- Vaststellen gebruikswaarde (scope, systeembeschrijving en beheersdoelstellingen)
Wordt in basis initieel verzorgd door de Service provider, waar nodig zorgt de respondent voor de nodige aanvulling / handvatten. Uiteindelijk conclusie ten aanzien van volledigheid scope, beschrijving, etc. is de respondent ‘in the lead’.
- Afgestemd op eisen Standaard 402?
Ja, respondent is bekend met Standaard 402 en spoort zijn klanten (= Service providers) aan de rapportage aan te laten sluiten op deze Standaard.
- IT-Auditor in staat om voldoende gebruikswaarde te creëren?
Sterk afhankelijk van
samenwerking tussen Service Provider en IT-Auditor. In de basis is de IT-Auditor zeer goed in staat om
gebruikswaarde van een hoog niveau te bieden.
- Verbetering van de gebruikswaarde van de Service Auditors rapport.
Zie onderstaand
Gebruikswaarde
Respondent trekt een parallel tussen “gebruikswaarde” en “informatiewaarde” > uiteindelijk akkoord met verschillen tussen beiden benamingen. Gebruikswaarde is daarom het totaal van de
informatiewaarde van de rapportage + het gemak waarmee de rapportage toe te passen is (leesbaarheid, omvang, diepgang, mate van details, volledigheid, etc.).
53 - Hoe is de gebruikswaarde vast te stellen?
Op basis van bovenstaande kenmerken. Tevens is het vrij snel te concluderen ‘o.b.v. onderbuik’ nadat het rapport is doorgelezen: “Kan ik hier iets mee?”.
- ‘must haves’ vs. ‘nice to haves’ in het Service Auditor’s Rapport.
Must haves:
- Goede samenvatting / overall oordeel - Diepgang qua scope
- Duidelijke / gedetailleerde omschrijving control framework + testwerkzaamheden Nice to haves:
- Details ten aanzien van governance organisatie / locatie / overige gegevens
- Niet bruikbare rapportages > impact.
Verwachtingskloof tussen rapport en gebruikerswensen
- Voldoet de Service auditor’s rapportage aan de verwachtingen?
Vaak wel, geeft zekerheid ten aanzien van een bepaald proces.
- Geeft deze afdoende inzicht / zekerheid?
Zie bovenstaand > afdoende voor gebruikers. Gebruikswaarde is echter minder relevant (tot nu toe).
- Is een RE in staat de gebruikswaarde voor de service organisatie en de RA's goed in te schatten?
Ja, maar wordt geen focus op gelegd. Derhalve is de gebruikswaarde vaak relatief laag. Door focus kan deze sterk verbeterd worden in de toekomst.
- Advies om verwachtingskloof de minimaliseren (indien aanwezig).
Grotere focus van IT-Auditor op de gebruikswaarde > “Waar heeft de gebruiker wat aan” & “less is more principe toepassen”.
Respondent 3
Minutes – “Gebruikswaarde Service auditor’s rapportages” 25 mei 2016, 13:00 hr.
Algemene introductie - Functie
20 jaar werkzaam voor Service Provider
Begonnen als trainer P&O (opleidingsachtergrond) > via R&D / IT > consultant geworden omtrent info. Beveiliging >> IT Management / IT Directie >> nu werkzaam bij Global Security Org.
Global security organisatie > “operational risk management”> ongeveer 1 jaar geleden gestart in huidige functie. Was voor huidige al bezig met compliance support (als onderdeel van Legal department).
“Mister compliance” > op basis van initiatieven / internationale projecten overall gezien als verantwoordelijke omtrent compliance.
- Ervaring met Service auditor’s rapportages (ISAE3402) o Stakeholder-rol.
3 jaar proces gecoördineerd >> daarnaast ~ 4 jaar nauw betrokken geweest.
o Typen
Ervaring met o.a. ISAE / SOC1 / SOX / ISO 27001 (bekend met 27001, Service provider zelf niet gecertificeerd).
Wat is een Service auditor’s rapportages - Relevante stakeholders
Trend zichtbaar “oprekken van toepassingsgebied” van ISAE > hierdoor neemt het aantal stakeholders toe. Dergelijke uitbreiding van de rapportages zorgt ook voor bepaalde
spanningsvelden tussen ‘eigen belangen Service Provider’ en klanten (= mogelijk tegengestelde belangen).
- Verantwoordelijkheden stakeholders
Service providers: eigenaar van control framework en bijbehorende processen / policies.
Verantwoordelijk voor procesverbetering op basis van de ISAE3402. Eigenaarschap nemen omtrent processen en bijbehorende assurance welke geleverd moet worden.
RA: -
IT auditors: 9 jaar Deloitte + nu 3 jaar EY: Op scherp zetten van de Service Provider omtrent de
inhoud van de rapportage (dat deze bruikbaar is voor de RA’s). frisse blik is door EY zeker toegepast bij aantreden.
55 - Vereisten / wensen qua inhoud van de rapportage
Service providers - Wat is de gewenste
eindsituatie?
Afgeven van ISAE rapportage “welke voor zich spreekt”, begrijpelijk en toepasbaar voor klanten van de Service Provider.
Organisatie breed voldoende aandacht voor de
meerwaarde /
verbeteringsmogelijkheden.
- Pro-actieve afstemming met IT-Auditor / gebruikers?
Professional partnersip ervaren bij IT auditors (verstrekkers) >
bevlogenheid aanwezig / liefde voor het vak.
Proces: geen sprake van pro- actieve afstemming met gebruikers.
Één keer in het verleden betrokken in het kader van een klant-escalatie. Inhoudelijk ‘verassend weinig’ feedback vanuit gebruikers. M.n. wens van aanvullende toelichting op management responses op deviations, testperiode, etc. - IT-Auditor in staat om voldoende gebruikswaarde te creëren? RA’s: - Toepassen Standaard 402? - Contact met IT-Auditor /
gebruikersorganisatie n.a.v. beoordeling? - IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Service Auditors Rapport.
IT-audit praktijk: - Vaststellen gebruikswaarde (scope, systeembeschrijving en beheersdoelstellingen) - Afgestemd op eisen Standaard 402? - IT-Auditor in staat om voldoende gebruikswaarde te creëren? - Verbetering van de gebruikswaarde van de Service Auditors rapport.
Ja, minder vragen dan ooit. Maar: als IT auditor ‘vrij spel’ zou hebben in het kader van ondersteuning > zou men veel ruimte zien voor nadere verbetering van processen / rapportage. IT auditor wordt wat gelimiteerd.
- Verbetering van de gebruikswaarde van de Service Auditors rapport
Zie onderstaande
Gebruikswaarde
- Hoe is de gebruikswaarde vast te stellen?
Gebruikswaarde = dient de rapportage het primaire doel (= het geven van assurance over uitbestede financieel gerelateerde proces): scoping moet goed en volledig zijn (processen en systemen) + verhelderen / to-the-point weergave van control framework. “Any other information” gebruiken indien van toepassing.
Duidelijkheid omtrent toepassingsgebied in combinatie vraag vanuit markt.
- ‘must haves’ vs. ‘nice to haves’ in het Service Auditor’s Rapport.
Must have:
- Scoping moet duidelijk / concreet zijn.
- Verhelderen / to the point zijn van de rapportage. Nice to have:
- “Any other information” > gebruiken om rapportage meer lokaal specifiek te maken