Jaarrekeningcontrole & Assurance in de Cloud · 2015-11-04 · 1 20 juli 2015 Jaarrekeningcontrole...
70
1 20 juli 2015 Jaarrekeningcontrole & Assurance in de Cloud Steunen op de dienstverlening van externe cloud service providers in het kader van de jaarrekeningcontrole Document: Version: Thesis postgraduate IT audit Final Auteurs: Noud Stienen, MSc. Studie: VU University Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate Opleiding IT Audit, Compliance & Advisory Scriptiebegeleider: Dr. R. Matthijsse RE
Transcript of Jaarrekeningcontrole & Assurance in de Cloud · 2015-11-04 · 1 20 juli 2015 Jaarrekeningcontrole...
1
20 juli 2015
Jaarrekeningcontrole &
Assurance in de Cloud
Steunen op de dienstverlening van externe cloud service providers in het kader van de jaarrekeningcontrole
Document:
Version:
Thesis postgraduate IT audit
Final
Auteurs: Noud Stienen, MSc.
Studie: VU University Amsterdam
Faculteit der Economische Wetenschappen en
Bedrijfskunde
Postgraduate Opleiding IT Audit, Compliance &
Advisory
Scriptiebegeleider: Dr. R. Matthijsse RE
2
*lege pagina*
3
Management Samenvatting Accountants en IT-auditors krijgen bij de audit werkzaamheden van jaarrekeningen steeds vaker
te maken met cloud applicaties die door externe dienstverleners worden aangeboden aan hun
clienten. Termen als Public Cloud en SaaS zijn als volledig ingeburgerd in het hedendaagse
bedrijfsleven. Echter blijkt volgens een kritisch rapport van het AFM in 2014 dat accountants in de
praktijk moeite hebben met de complexiteit die komt kijken bij het auditen van externe
dienstverleners.
Dit onderzoek richt zich zowel op de risico’s die externe dienstverleners met zich meebrengen als
op de risico’s die voortkomen uit cloud computing. In hoofdstuk 2 en 3 is onderzocht welke eisen
de controlestandaard NVCOS 402 ‘Overwegingen met betrekking tot controles van entiteiten die
gebruik maken van een serviceorganisatie’ stelt aan de werkzaamheden van de accountant
wanneer deze wil steunen op de interne beheersingsmaatregelen bij de externe dienstverlener.
Verder worden de technische aspecten van cloud computing behandeld en hoe deze cloud-
specifieke eigenschappen kunnen leiden naar risico’s die bij het traditionele hosten van
applicaties niet van toepassing zijn.
Door middel van een casestudy onderzoek in hoofdstuk 4 is de geldende controlestandaard
NVCOS 402 toegepast op een tweetal casussen bij controlecliënten, waar gebruik wordt gemaakt
van een externe dienstverlener. Hierbij zijn de cloud specifieke risico’s nadrukkelijk meegenomen
in de uitvoering van de audits. De bevindingen uit deze casestudy zijn vervolgens besproken met
een aantal experts in het auditen van (cloud-) serviceorganisaties. Uiteindelijk is er een analyse
gemaakt in hoofdstuk 5 van de theorie uit de literatuurstudie, de ervaringen opgedaan in de
praktijk door middel van het casestudy onderzoek en de expert interviews.
De belangrijkste bevindingen hebben betrekking op het verkrijgen en documenteren van
voldoende inzicht in de cloud applicatie en de bijbehorende interne beheersmaatregelen van de
cloud serviceprovider (CSP) en de impact op de interne beheersingsmaatregelen van de
gebruikersorganisatie, het beoordelen van derdenverklaringen (ISAE 3402 rapporten), voldoen
aan complexe en internationale privacy wetgeving, behandelen van multi-tenancy risico’s en het
integreren van de beheersmaatreglen bij de cloud dienstverlener in het beheersingsframework
van de gebruikersorganisatie.
In hoofdstuk 6 worden een vijftal aanbevelingen geformuleerd voor de auditor die onvermijdelijk
vroeg of laat te maken krijgt met cloud dienstverleners bij zijn werkzaamheden. Deze aanbeveling
zijn inclusief een vragenlijst en een overzicht van attentiepunten die de auditor kunnen
ondersteunen bij zijn controlewerkzaamheden. Het lezen van deze scriptie zal de auditor voorzien
van een stevig fundament, in zowel theorie als praktijk, bij het auditen van (cloud)
serviceproviders in het kader van de jaarrekening.
4
Inhoud Management Samenvatting .................................................................................................................... 3
Hoofdstuk 1: Introductie Onderzoek ....................................................................................................... 7
1.1. Achtergrond ............................................................................................................................. 7
1.2. Centrale vraagstelling .............................................................................................................. 9
1.3. Afbakening Jaarrekeningcontrole ........................................................................................... 9
1.4. Onderzoeksaanpak ................................................................................................................ 10
Hoofdstuk 2: Voorschriften en richtlijnen ten aanzien van de jaarrekeningcontrole in het
geval van uitbesteding........................................................................................................................... 11
2.1. De jaarrekeningcontrole ........................................................................................................ 11
2.2. De externe accountant en wetgeving ................................................................................... 11
2.3. Controlestandaarden en toezicht .......................................................................................... 12
2.4. Risicogerichte accountantscontrole ...................................................................................... 12
2.4.1 IT risico model CIA ................................................................................................................ 13
2.4.2 Financial audit Risico’s en Assertions ................................................................................... 14
2.5. Automatisering en de impact op de jaarrekeningcontrole ................................................... 15
2.5.1 IT auditors bij de jaarrekeningcontrole ................................................................................ 15
2.5.2 General IT controls ............................................................................................................... 15
2.5.3 IT application controls .......................................................................................................... 16
2.5.4 Impact van de IT audit op de werkzaamheden van de accountant. .................................... 16
2.6 Uitbesteding van IT in NVCOS 402 .............................................................................................. 17
2.6.1 Het verwerven van inzicht in de diensten die worden verleend door een
serviceorganisatie met inbegrip van de interne beheersing. ........................................................ 18
2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking van
materiaal belang ................................................................................................................................ 19
2.6.3 Gebruik van een ISAE3402 rapport .......................................................................................... 20
2.7 Conclusie ..................................................................................................................................... 21
Hoofdstuk 3: Welke risico’s zijn van toepassing op cloud applicaties? ................................................ 22
3.1 Wat is Cloud? ............................................................................................................................... 22
3.1.1 Definitie Cloud Computing ................................................................................................... 22
3.1.2 Vormen en karakteristieke van Cloud .................................................................................. 23
3.1.3 Cloud uitgelegd van het business- en IT perspectief. ........................................................... 23
3.1.4 De evolutie van cloud ........................................................................................................... 23
3.2 Cloud risico’s ................................................................................................................................ 23
5
3.2.1 Eigenschappen van Cloud vs Traditionele Hosting in het kader van de
jaarrekeningcontrole. .................................................................................................................... 23
3.2.2 Cloud specifieke risico’s in het kader van de jaarrekeningcontrole ..................................... 24
3.3: Conclusie hoofdstuk 3 ................................................................................................................ 27
Hoofdstuk 4: Casestudy onderzoek ....................................................................................................... 28
4.1 Aanpak Onderzoek ...................................................................................................................... 28
4.2 Beschrijving casus omgevingen ................................................................................................... 29
4.2.1 Beschrijving organisatie 1 ..................................................................................................... 29
4.2.2 Beschrijving organisatie 2 ..................................................................................................... 29
4.2.3 Structuur casus onderzoek ................................................................................................... 29
4.3 Bevindingen Casus 1 .................................................................................................................... 30
4.4 BevindingenCasus 2 ..................................................................................................................... 38
4.5 Samenvatting Casussen1 & 2 ...................................................................................................... 48
Hoofdstuk 5. Analyse en Conclusies ...................................................................................................... 50
5.1 Analyse bevindingen.................................................................................................................... 50
5.1.1 Verwerven van inzicht .......................................................................................................... 50
5.1.2 Beoordelen van een derdenverklaring (type 2 rapport) ...................................................... 51
5.1.3 Flexibele locatie van de data en software ............................................................................ 52
5.1.4 Delen van middelen met andere gebruikers ........................................................................ 52
5.1.5 Snelheid en gemak van aanpassen infrastructuur ............................................................... 53
5.1.6 Complexe structuur cloud service providers ........................................................................ 53
5.1.7 Afwijking beheersmaatregelen cloud omgeving met het IT governance
framework ..................................................................................................................................... 54
5.2 Conclusies analyse casestudy onderzoek .................................................................................... 55
5.3 Beantwoording deelvraag 2 ........................................................................................................ 55
Hoofdstuk 6 Aanbevelingen .................................................................................................................. 57
Aanbeveling 1: Vragenlijst ‘Verwerven van Inzicht in de Diensten van de CSP’ ............................... 57
Aanbeveling 2: Kritisch beoordelen van derdenverklaringen ........................................................... 58
Aanbeveling 3: Locatie van de data en privacy wetgeving ............................................................... 59
Aanbeveling 4: Aandacht voor multitenancy .................................................................................... 59
Aanbeveling 5: IT governance en CSP ............................................................................................... 59
Bijlagen .................................................................................................................................................. 60
BIJLAGE A. Cloud Computing Deployment en Service Delivery Modellen ........................................ 60
BIJLAGE B. Het cloud concept uitgelegd vanuit het business perspectief. ....................................... 63
6
BIJLAGE C. Cloud uitgelegd vanuit het IT perspectief ....................................................................... 65
BIJLAGE D. Evolutie van de Cloud ...................................................................................................... 67
Referenties: ........................................................................................................................................... 70
7
Hoofdstuk 1: Introductie Onderzoek
1.1. Achtergrond
Ontwikkelingen op het gebied van informatietechnologie (IT) hebben sinds de Tweede
Wereldoorlog een grote invloed gehad op de samenleving. In de jaren 50 was het bouwen van
een computer nog een reusachtig eenmalig project. Computers zoals de Harvard Mark I en de
ENIAC bestonden uit tienduizenden relais en buizen en verbruikten evenveel elektriciteit als een
kleine woonwijk. Belangrijke uitvindingen zoals de transistor en de ontwikkeling van
geïntegreerde circuits, maakten de productie van compacte computers mogelijk. De trend waarbij
goedkope en toegankelijke computers geproduceerd konden worden heeft geleid tot de
technologie zoals wij die vandaag kennen.
Elke organisatie gebruikt IT ter ondersteuning van haar primaire en secundaire bedrijfsprocessen.
IT is verwerkt in talloze dagelijkse gebruiksvoorwerpen. Een leven zonder smartphone is
tegenwoordig bijna ondenkbaar. IT vormt de basis voor de wereld overstijgende
communicatienetwerken die onze samenleving drastisch veranderd hebben. (Fijneman,
Lindgreen, Veltman, 2005).
Deze ontwikkelingen, de toenemende globalisering en de opkomst van de informatie-economie
hebben de rol van IT in het bedrijfsleven drastisch veranderd. Internet is de basis geworden van
nieuwe ondernemingsmodellen, nieuwe processen en nieuwe manieren voor het distribueren van
kennis. Ondernemingen gebruiken internet en netwerktechnologie om bedrijfsprocessen te
automatiseren en kantoren over de hele wereld met elkaar te verbinden. Organisaties gebruiken
informatiesystemen ten behoeve van hun boekhouding en kunnen proefbalansen opmaken en
andere financiële overzichten genereren. Managers kunnen de actuele cijfers over verkopen,
kortingen, inkomsten, productmarges en personeelskosten altijd en overal inzien en analyseren.
Deze digitale integratie, zowel binnen als buiten de onderneming, bij een klant of in het magazijn
verandert de manier waarop organisaties zijn ingericht. Uiteindelijk hebben deze ontwikkelingen
geleid tot volledig gedigitaliseerde organisaties waarin alle processen en relaties met de klant
digitaal zijn geregeld.
Sinds het ontstaan van de computer kenmerkt de ontwikkeling van de hardware zich in grote
lijnen door twee patronen die zich tot op de dag van vandaag voordoen: toenemende snelheid en
afnemende omvang. Hoewel er dus sprake is van een continue ontwikkeling kunnen we toch een
aantal fases onderscheiden:
Het tijdperk van de mainframes (1959-heden)
Het mainframemodel is historisch gezien de eerst voorkomende vorm van computers die binnen
bedrijven werd ingezet. Wanneer er gebruik wordt gemaakt van een mainframe wordt een
centrale krachtige computer ingezet. Hardware, software en gegevensopslag zijn geconcentreerd,
en van waaruit via datacommunicatie zoveel mogelijk gebruikers worden bediend door middel
van werkstations. Als gevolg van de hoge technische eisen die deze mainframes stelde aan hun
omgeving en de hoge aanschafwaarde van deze machines, lag een centrale structuur voor de
hand waarbij zoveel mogelijk gebruikers van de hardware gebruik konden maken.
8
Het tijdperk van de personal computer (1981-heden)
Door de opkomst van de personal computer (PC) werd het mainframe model steeds vaker
verlaten. Gebruikers krijgen nu de mogelijkheid om toepassingen uit te voeren die beter zijn
afgestemd op de persoonlijke eisen en wensen. Op een PC hoeft tenslotte de hardware en
software niet gedeeld te worden met andere gebruikers. Met de opkomst van de PC konden
computers daarom worden ingezet op plekken in de organisatie die voorheen ondenkbaar waren.
Rekenkracht werd in verhouding steeds goedkoper en door de lage eisen die de PC stelt aan haar
omgeving kon deze op elke plek in de organisatie worden gebruikt.
Het tijdperk van de netwerken (1992-heden)
De inzet van netwerken biedt de mogelijkheid om PC’s met elkaar te verbinden zodat gegevens en
faciliteiten met elkaar konden worden gedeeld en uitgewisseld. Ook kunnen netwerken ertoe
leiden dat afzonderlijke PC’s gezamenlijke taken uitvoeren. De inrichting van netwerken en in het
bijzonder de ontwikkeling van Internet leidde vervolgens tot verdere vergroting van de mobiliteit
van computers. Hierdoor deden laptops en andere kleine varianten van PC’s hun intrede. Met de
verdere uitbouw van mobiele netwerken neemt de toepassing van kleine mobiele computers
alleen maar toe (Vaassen, Bollen, Hartmann, Meuwissen, Vluggen, 2005).
Het tijdperk van cloud computing (2000-heden)
Met cloud computing wordt bedoeld het via het internet op aanvraag beschikbaar stellen van
hardware, software en gegevens, ongeveer zoals elektriciteit uit het lichtnet. De cloud staat voor
een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers'
vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of
waar die precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de
gebruikte hard- en software en is niet verantwoordelijk voor het onderhoud. Als we kijken naar
het tijdperk van cloud computing zien we overeenkomsten met het mainframe tijdperk. In beide
tijdperken wordt namelijk gebruik gemaakt van gecentraliseerde computerkracht.
Het toenemende gebruik van informatietechnologie heeft ook geleid tot een toename van
bijbehorende risico’s. Hierdoor is een groeiende behoefte aan zekerheid ontstaan bij de partijen
die op de een of andere manier afhankelijk zijn van de technologie. Dit zijn bijvoorbeeld
gebruikers, afnemers, toezichthouders, etc. De ontwikkelingen ten aanzien van cloud computing
brengen aanvullende risico’s met zich mee ten opzichte van traditionele oplossingen.
Steeds vaker ook wordt de accountant geconfronteerd met applicaties die kritisch zijn voor de
financiële rapportages en die gehost worden in een cloud omgeving. Binnen de beschikbare
literatuur over de cloud wordt veel geschreven over security aspecten binnen de cloud maar ook
steeds meer over governance & assurance binnen de cloud. Bekende voorbeelden van
organisaties die aandacht aan deze onderwerpen besteden zijn:
National Institute of Standards and Technology (NIST);
European Network and Information Security Agency (ENISA);
Information Security Forum (ISF);
Information Systems Audit and Control Association (ISACA);
Cloud Security Alliance (CSA);
9
Cloud gerelateerde issues die de accountant en de IT-auditor tegenkomen in het kader van de
jaarrekeningcontrole zijn echter nog relatief onderbelicht, op enkele uitzonderingen na (Chung,
2011) en (KAM, 2011).
1.2. Centrale vraagstelling
De IT ontwikkelingen in de cloud hebben ook effect op de aard van onderzoeksobjecten bij de
financiële jaarrekeningcontrole uitgevoerd door de accountant. Deze accountant wil voor zijn
controlewerkzaamheden kunnen steunen op de integriteit van de data uit de cloud applicaties in
scope.
Vandaar dat de centrale vraagstelling van deze thesis is: ‘met welke risico’s dient de controlerend
accountant rekening te houden wanneer een cloud applicatie in scope van de jaarrekening valt
en welke aanvullende controlemaatregelen moeten worden genomen bij het uitvoeren van de
jaarrekeningcontrole?’
Om tot een antwoord op deze vraag te kunnen komen zijn drie deelvragen gedefinieerd:
1. Welke voorschriften en richtlijnen zijn relevant bij het uitvoeren van een
jaarrekeningcontrole wanneer één of meerdere applicaties in scope zijn ondergebracht in
de cloud? En welke risico’s zijn te onderscheiden ten aanzien van cloud applicaties?
2. Hoe kan de accountant in de praktijk omgaan met cloud specifieke risico’s?
3. Met welke aanvullende controlemaatregelen dient de accountant rekening te houden in
het geval van een cloud applicatie in scope van de jaarrekeningcontrole?
1.3. Afbakening Jaarrekeningcontrole
Dit onderzoek focust zich op de controlerisico’s die ontstaan bij de jaarrekeningcontrole als er
kritieke applicaties binnen de scope van de jaarrekening vallen die worden gehost in de cloud
door een externe partij. De accountant evalueert in de planningsfase in welke applicaties
transacties geregistreerd worden die de financiële rapportage van de organisatie raken.
Gebruikersorganisatie en externe accountant
Het perspectief waarop naar de te onderzoeken onderwerpen wordt gekeken is vanuit de ogen
van de externe accountant en de gebruikersorganisatie. Hierbij is de NVCOS 402 ‘Overwegingen
met betrekking tot controles van entiteiten die gebruik maken van een serviceorganisatie’ van
toepassing. De Cloud Service Provider (CSP) is in dit onderzoek niet de entiteit waarover
assurance wordt verleend door de accountant, in dat geval zou NVCOS 3402 ‘Assurance-
rapporten betreffende interne beheersingsmaatregelen bij serviceorganisaties’ van toepassing
zijn.
10
1.4. Onderzoeksaanpak
Dit onderzoek is opgezet in vier stappen die achtereenvolgens doorlopen worden om de drie
deelvragen te kunnen beantwoorden en uiteindelijk een antwoord te kunnen geven op de
onderzoeksvraag.
Stap 1 is de literatuurstudie waarin we in de beschikbare literatuur op zoek gaan naar de
relevante audit standaarden die van toepassing zijn wanneer een cloudapplicatie relevant
is voor de jaarrekeningcontrole. Tevens wordt gezocht naar specifieke IT risico’s die cloud
computing met zich meebrengt (deelvraag 1). Om deze cloud risico’s te kunnen
identificeren zullen we eerst inzoomen op de rol van IT en de IT auditor in de
jaarrekeningcontrole en de ontwikkeling van cloud technologie.
Stap 2 betreft een casestudy waarin in de praktijk wordt gekeken hoe de in deelvraag 1
gedefinieerde audit standaard met bijbehorende risico’s kunnen worden toegepast bij
een accountantscontrole (deelvraag 2). Hiertoe worden twee audits uitgevoerd op
externe dienstverleners bij controleclienten uit de praktijk.
In stap 3 beschouwen we stap 1 (de theorie) en stap 2 (de praktijk) in samenhang met
interviews met experts uit het veld. Hierbij analyseren we hoe de praktijk zich verhoudt
ten opzichte van de risico’s uit de theorie. In welke mate is de praktijk ingericht om de
theoretische risico’s te beheersen en welke rol kan de it auditor spelen in het verbeteren
op de aansluiting van de praktijk tot de theorie?
Stap 4 is de documentatie van alle werkzaamheden in de vorige drie stappen. Dit betreft
een uitgebreide beschrijving van onze werkzaamheden, bevindingen, conclusies en
aanbevelingen met betrekking tot toe te passen additionele controlemaatregelen.
11
Hoofdstuk 2: Voorschriften en richtlijnen ten
aanzien van de jaarrekeningcontrole in het
geval van uitbesteding
De afgelopen jaren worden accountants steeds vaker geconfronteerd met cloud applicaties
tijdens het controleren van de jaarrekening. Dit hoofdstuk onderzoekt welke wetgeving van
toepassing is bij uitbesteding van de IT in het kader van de jaarekeningcontrole. Eerst behandelen
we welke regelgeving van toepassing is op de jaarrekeningcontrole in Nederland. Daarna wordt de
rol van IT in de jaarrekeningcontrole bekeken en in meer detail wat de eisen zijn volgens de audit
standaarden bij het uitbesteden van IT in de cloud.
2.1. De jaarrekeningcontrole
Een organisatie stelt jaarlijks een jaarrekening op onder de verantwoordelijkheid van het
management. De jaarrekening geeft een jaarlijks overzicht van de financiële situatie van een
bedrijf. Het bestaat uit een jaarverslag van het bestuur, een balans, een resultatenrekening, een
toelichting op beide, het kasstroomoverzicht en de overige gegevens met daarin een
controleverklaring.
De accountantscontrole is erop gericht om zekerheid ten aanzien van de jaarrekening te
verschaffen voor het maatschappelijke verkeer en overige stakeholders. Dit kunnen
aandeelhouders zijn, klanten, leveranciers, banken, verzekeringsmaatschappijen, maar ook de
belastingdienst, de vakbond, de medewerkers en in publieke organisaties ook de burger zelf. De
raad van bestuur van een controleplichtige organisatie stelt de externe accountant aan om een
jaarrekeningcontrole uit te voeren. De accountantscontrole is volgens de wet verplicht voor grote
en middelgrote ondernemingen. Een en ander is in Nederland geregeld in het Burgerlijk Wetboek,
Boek 2, Titel 9. Daarnaast heeft ook de wetgever in BW, Boek 2, artikel 393, lid 4 de accountant
gevraagd te rapporteren over zijn bevindingen in zake de betrouwbaarheid en continuïteit van de
geautomatiseerde gegevensverwerking.
2.2. De externe accountant en wetgeving
Een externe accountant is iemand die beroepsmatig jaarrekeningen controleert. Voor dit beroep
is een speciale opleiding nodig en in veel landen is het een beschermde titel. De accountant voert
de jaarrekeningcontrole uit volgens lokale wetgeving. In Nederland is het wettelijk kader met
betrekking tot jaarrekeningen en –verslagen voor beleggingsondernemingen terug te vinden in
artikel 4:85, eerste lid, Wet op het financieel toezicht (Wft) juncto artikel 163 Besluit
Gedragstoezicht financiële ondernemingen (BGfo)
In artikel 4:85, eerste lid, Wft is bepaald dat een beleggingsonderneming met zetel in Nederland
binnen zes maanden na afloop van het boekjaar aan de AFM een jaarrekening, een jaarverslag en
overige gegevens verstrekt als bedoeld in de artikelen 361, eerste lid, 391, eerste lid, en 392,
12
eerste lid, onderdelen a tot en met h, van Boek 2 van het Burgerlijk Wetboek (BW). Verder is in
artikel 163 BGfo bepaald dat de beleggingsonderneming de jaarrekening, het jaarverslag en de
overige gegevens dient te verstrekken in de vorm waarin deze zijn opgemaakt volgens Titel 9 van
Boek 2 BW of de internationale jaarrekeningstandaarden.
2.3. Controlestandaarden en toezicht
De lokale wetgeving verwijst vaak naar verslaggevingsstandaarden (IFRS of het Nederlandse RJ)
hoe de jaarrekening opgesteld moet worden door de entiteit. Vaak zijn er landelijke
toezichthouders die erop toezien dat accountants voldoende werkzaamheden verrichten om een
gedegen oordeel te vellen over de getrouwheid van de jaarrekening. In Nederland is dit
bijvoorbeeld het AFM in de VS wordt toezicht gehouden op de kwaliteit van de controles door het
PCOAB.
De Nederlandse wetgever en de NBA stellen gedrags- en beroepsregels vast voor alle accountants
die zijn ingeschreven in het accountantsregister. Al deze regelgeving voor accountants is
opgenomen in de Handleiding Regelgeving Accountancy (HRA). Onderdeel van deze regelgeving
zijn de Nadere Voorschriften Controle- en Overige Standaarden (NVCOS) waarin de specifieke
controlevoorschriften staan vermeld die de accountants moeten hanteren bij de uitvoering van
hun werk. De Nederlandse NVCOS is bijna een kopie van de Internationale Audit Standaarden
(IAS) onder verantwoording van het International Accounting Standards Board (IASB).
2.4. Risicogerichte accountantscontrole
Een accountant steunt bij zijn controle op de interne organisatie en de ingebouwde controles in
de organisatie. Alleen als de processen intern goed worden beheerst, kan de accountant
zekerheid verkrijgen over de financiële stromen en balansposten. In de moderne controleaanpak
wordt vanuit efficiency en effectiviteitsoverwegingen veelvuldig gebruik gemaakt van
risicoanalyse. Dit komt tot uitdrukking in het zogenaamde audit risicomodel. Dit model beschrijft
het risico dat de accountant een materiele fout in de jaarrekening niet ontdekt. Het
accountantscontrolerisico (ACR) bestaat uit drie deelrisico’s, het inherente risico (IR), het interne
controle risico (ICR) en het detectierisico (DR).
Het Inherente Risico (IR) is het risicoprofiel dat een specifieke post fouten bevat. Bijvoorbeeld een
post waarbij schattingen gemaakt moeten worden door het management (de voorzieningen)
hebben een hoger IR dan de overige kosten die gebaseerd zijn op ‘harde’ factoren zoals facturen
en betalingen. Het Interne controlerisico (ICR) is het risico dat de door de organisatie getroffen
interne controlemaatregelen eventuele fouten niet ontdekken. Een goede interne beheersing in
opzet, bestaan en werking van de processen is hierbij van belang. Dit is een onderdeel waar
accountants en it-auditors tijdens de interimcontrole aandacht aan besteden. Het Detectie Risico
(DR) is het risico dat accountants tijdens de gegevensgerichte werkzaamheden een eventuele fout
niet ontdekken. Als de accountants veel gegevensgerichte werkzaamheden uitvoeren zal dit risico
lager zijn, en waar weinig gegevensgerichte audit werkzaamheden uitgevoerd worden is het risico
vanzelfsprekend hoger. De gegevensgerichte werkzaamheden worden door de accountant
doorgaans uitgevoerd tijdens de eindejaarscontrole. Het accountantscontrolerisico (ACR) kan in
de volgende formule worden weergegeven:
ACR = IR * ICR * DR
13
Om het accountantscontrolerisico (ACR) tot een acceptabel niveau te brengen waarbij voldoende
zekerheid over de verantwoorde financiële informatie kan worden verschaft is het zaak om deze
formule in ‘balans’ te brengen. Bij een post met een laag inherent risico, en een goede interne
beheersing kan het detectierisico hoger zijn (DR) en dit betekent dat de accountant nog maar
weinig gegevensgerichte werkzaamheden hoeft uit te voeren. Wanneer bijvoorbeeld het ICR
hoger is door een hiaat in de werking van de interne beheersing zal dit gecompenseerd moeten
worden met een lager DR, en dus meer gegevensgerichte werkzaamheden. De gegevensgerichte
werkzaamheden zijn vaak een grote belasting voor zowel de accountants als de klant die al deze
gegevens moet opleveren.
De accountantscontrole bestaat uit vier onderdelen:
1. de planningsfase: In deze fase wordt door de accountant en eventueel de IT auditor de
controlestrategie bepaald door middel van het uitvoeren van een risico analyse. Hier
wordt onder andere het inherente risico (IR) per post bepaald.
2. de interimcontrole: Deze fase betreft het beoordelen van de opzet, het bestaan en de
werking van de getroffen beheersingsmaatregelen al dan niet door de IT-auditor en de
accountant. Dit heeft betrekking op de interne beheersingsrisco (ICR) in de formule zoals
hierboven beschreven.
3. de eindejaarscontrole: In deze fase worden door de accountant gegevensgerichte
controlewerkzaamheden verricht om het detectie risico (DR) af te dekken. De IT auditor
kan hierbij ondersteuning aanbieden bij de analyse van data.
4. De afronding: De controlecyclus wordt afgesloten met de evaluatie en communicatie naar
de klant. De evaluatie mondt uit in een verklaring bij de jaarrekening, en de communicatie
doorgaans door middel van een rapportage aan het management, het auditcommitee en
de Raad van Commissarissen.
In veel gevallen zal de accountant tijdens de controle steunen op de expertise van derden zoals
belastingadviseurs, actuarissen, advocaten maar ook IT auditors worden steeds vaker ingezet om
te ondersteunen in de controlewerkzaamheden. Fijneman, Roos Lindgren en Ho (2006)
onderscheiden drie momenten in het proces van een jaarrekeningcontrole waarbij de IT-auditor
een belangrijke bijdrage kan leveren. Deze drie momenten zijn:
a. beoordelen van de opzet van de general IT-controls als een van de elementen voor het
bepalen van de controleaanpak (planningsfase);
b. beoordelen van de kwaliteit van de applicationcontrols tijdens de procesanalyse in de
interimcontrole fase;
c. beoordelen van de goede werking van specifieke general IT-controls ter waarborging van
de goede werking van de application controls.
In de volgende paragraaf zullen we verder ingaan op de rol van automatisering en it-auditors bij
de jaarrekeningcontrole.
2.4.1 IT risico model CIA
Om risico’s te classificeren is CIA binnen de IT audit een vaak gebruikt model (Confidentiality,
Integrity and Availability). Het eerste component Vertrouwelijkheid (Confidentiality) heeft
betrekking op het veilig houden van vertrouwelijke informatie. Bijvoorbeeld dat medische
gegevens enkel toegankelijk zijn voor daarvoor gemachtigde medewerkers. Vertrouwelijkheid in
14
het kader van de jaarrekening kan betrekking hebben op de assertion Compliance. De entiteit
loopt het risico om nationale wetgeving te overtreden en om een boete opgelegd te krijgen door
toezichthouders. Ook kan er in sommige gevallen reputatieschade optreden als vertrouwelijke
informatie openbaar wordt, bijvoorbeeld als er medische gegevens op straat komen te liggen.
Voor de accountant zijn compliance issues vaak issues die in de management letter terecht komen
en zodoende besproken worden met het management. Verder kunnen issues op het gebied van
compliance indicaties zijn voor de integriteit van het management of zelfs leiden tot een verhoogd
fraude risico.
De tweede component Integriteit betekent dat de kwaliteit van de data gebruikt voor de
transactiegegevens niet aangetast wordt. Auditors hebben assurance nodig over de mate van
integriteit van data om te bepalen in hoeverre er gesteund kan worden op de rapportages uit het
grootboek en andere it applicaties die gebruikt worden bij de controle van de jaarrekening. Als
niet gesteund kan worden op de integriteit van de data kan dat tot gevolg hebben dat de
accountant meer substantive testwerkzaamheden moet uitvoeren om tot een oordeel te komen
over de jaarrekening. De assertions die hierop betrekking hebben zijn juistheid, bestaan en
volledigheid.
De derde component Beschikbaarheid (Availability) draagt zorg dat de entiteit bij voorkeur te
allen tijde bij zijn data kan zodat de dagelijkse operationaliteit van het bedrijfsproces niet in
gevaar komt. Ook zou een entiteit met terugwerkende kracht data moeten kunnen oproepen uit
het verleden als data onverhoopt verloren gaat vandaag. Mocht de accountant bevindingen
hebben gedaan in het kader van de beschikbaarheid van data en software is dit vaak een
management letter punt. Management moet hiervan op de hoogte gesteld worden zodat
passende maatregelen getroffen kunnen worden. Maar als deze bevindingen ernstig genoeg zijn
kan dit zelfs gevolgen hebben voor de strekking van de controleverklaring. Want in de
controleverklaring geeft de accountant ook een oordeel over continuïteit van de entiteit volgens
het continuïteitsbeginsel (BW2, artikel 384). In de praktijk komt dat erop neer dat de accountant
verklaart dat het bedrijf vanaf het afgeven van de controleverklaring nog tenminste één jaar zal
blijven voortbestaan.
2.4.2 Financial audit Risico’s en Assertions
De accountant wil de impact van risico’s op de werkzaamheden van de accountant bepalen, zodat
hij zijn werkzaamheden efficiënt kan afstemmen op basis van de risico inschattingen. Daarom
verdeelt de accountant jaarrekeningposten in diverse risico componenten op het zogenaamde
‘assertion’ niveau. Een assertion is een bewering van het management over de balans, winst &
verlies rekening en de toelichtingen. Accountants ontleden deze algemene bewering van het
management dat de jaarrekening een getrouw beeld geeft van de economische werkelijkheid in
diverse beweringen. De Internationale Audit Standaard ISA 200 gaat hier dieper op in. Veel
gebruikte assertions op grootboekrekeningniveau zijn:
Bestaan (Occurrance) - de transactie vond daadwerkelijk plaats, of het bezit bestaat in
werkelijk echt
Juistheid (Accuracy) - een transactie is voor de juiste hoeveelheid verantwoord in de
financiële administratie
Volledigheid (Completeness) - een bedrag is volledig verantwoord
15
Cutoff - de transactie is in de juist periode verantwoord
Classificatie - de transactie is op de juiste grootboekrekening verantwoord
Waardering (Valuation) - een bezit of schuld is juist gewaardeerd en aanpassingen in de
accounting periode zijn volledig verwerkt
Rights en Obligation (Compliance) - De entiteit heeft de rechten op een object en heeft al
zijn contractuele verplichtingen toegelicht
Een accountant denkt steeds in bovenstaande management assertions als het gaat om de impact
van risico’s te bepalen op de werkzaamheden die hij verricht op de transacties zoals weergegeven
in de financiële administratie. Bijvoorbeeld als een IT auditor een bevinding in de werking van de
controls die volgens het CIA model de Integriteit van de data kan aantasten, zal dat volgens de IAS
naar alle waarschijnlijkheid invloed hebben tenminste op de assertions: juistheid en volledigheid.
Bij de analyse van IT risico’s tijdens de jaarrekeningcontrole die voortvloeien uit de vijf
geïdentificeerde cloud-specifieke kenmerken zal men rekening moeten houden met de IT risico’s
alswel de impact hiervan op assertion niveau.
2.5. Automatisering en de impact op de jaarrekeningcontrole
Een trend die al decennia terug is ingezet binnen organisaties is de steeds verdere automatisering.
In de jaarrekeningcontrole spelen accountants hierop in door ook naar de IT-omgeving van de
organisatie te kijken. Een IT applicatie dwingt vaak een werkwijze af die de betrouwbaarheid van
de gegevensverwerking ten goede komt. Bijvoorbeeld dat een geautoriseerde inkooporder en de
goederenontvangst aanwezig moeten zijn, voordat een crediteur betaald wordt. Echter brengt dit
ook risico’s met zich mee in het geval dat een applicatie-instelling niet goed geconfigureerd staat.
Door een menselijke fout kan gedurende een langere periode ongemerkt foutieve transacties
verwerkt worden of transacties niet conform de richtlijnen van de entiteit geautoriseerd worden.
2.5.1 IT auditors bij de jaarrekeningcontrole
IT-auditors zijn gespecialiseerd in IT-aspecten in combinatie met risicomanagement bij de
jaarrekeningcontrole. Zij zijn in staat om de IT-omgeving van een organisatie goed te
doorgronden. In de jaarrekeningcontrole wordt op twee manieren naar de IT-omgeving van een
organisatie gekeken:
- De beheersing van de IT-omgeving om zo een uitspraak te doen over de betrouwbaarheid
van de geautomatiseerde gegevensverwerking gedurende het gehele boekjaar. Hier wordt vaak
naar gerefereerd als de General IT Controls (GITC).
- Specifieke geautomatiseerde beheersmaatregelen en configuratie-instellingen, ofwel de
IT-Application Controls (ITAC).
Daarnaast voert de IT auditor uiteenlopende data-analyses uit op basis van exports uit
verschillende IT-systemen binnen een organisatie. IT-auditors volgen verschillende opleidingen en
trainingen om deze specialisatie op peil te houden en de meeste zijn geregistreerd bij NOREA, de
beroepsvereniging van IT-auditors.
2.5.2 General IT controls
General IT Controls zijn van toepassing op alle system componenten processen en data aanwezig
in een organisatie of it omgeving. Deze controls zijn om vast te stellen dat de organisatie de
16
risico’s rondom de implementatie en ontwikkeling van applicaties beheerst en om de integriteit
van programma’s en data en computer operations. Als de conclusie wordt getrokken dat de
General IT Controls zwak zijn zal de accountant al bij het bepalen van de controleaanpak daar
rekening mee moeten houden. Meer gegevensgerichte werkzaamheden ligt dan meer voor de
hand. Een aantal belangrijke aandachtsgebieden voor de jaarreningcontrole zijn (Fijneman et al
2006):
- Logische toegangsbeveiliging
- Systeemontwikkeling
- Changemanagement
- Fysieke toegangscontrole
- Computer Operation controls
- Continuiteit
- Outsourcing
De General IT controls zijn cruciaal wil de accountant kunnen steunen op de rapportages uit
applicaties in scope van de jaarrekening en bij het steunen op IT application controls.
2.5.3 IT application controls
IT Application Controls zijn van toepassing op de data en transacties van één applicatie of proces.
De doelstelling van ITACs zijn dikwijls het juist en volledig vastleggen van transacties, of het
helpen bij het juist invoeren van data entries of de verwerking van transacties. In andere
woorden, ITAC zijn specifiek gericht op een bedrijfsproces en GITCs zijn van toepassing op een
volledige IT omgeving.
2.5.4 Impact van de IT audit op de werkzaamheden van de accountant.
De vertaling van de uitkomsten van de werkzaamheden van de IT-auditor naar de onderbouwing
van de jaarrekeningcontroleposten is een van de meest cruciale onderdelen van de samenwerking
tussen de accountant en IT-auditor.
Wil de accountant kunnen steunen op een IT Application Controls (bijvoorbeeld de Three-Way-
Match), dan zal hij eerst voldoende zekerheid moet hebben over de GITC van de IT omgeving
waarin de betreffende inkoop-applicatie draait.
Bij de evaluatie van de general IT controls voor de werking van de application controls kan de IT-
auditor ten aanzien van de werking van de general IT-controls een drietal conclusies trekken
(Fijneman et al 2006):
De relevante general IT-controls zijn van dien aard, dat de controledoelstelling van de
accountant volledig is afgedekt, met andere woorden de accountant kan steunen op de
betrouwbare werking van de aangetroffen applicatiecontroles.
De relevante general IT-controls vertonen belangrijke leemtes, waardoor de accountant
niet zonder meer kan steunen op de continue werking van de applicatiecontroles.
De IT-auditor constateert dusdanige leemtes dat überhaupt niet op de applicaties kan
worden gesteund.
17
In het geval van controle-bevindingen in de GITCs zoals bedoeld onder punt twee zal er per
bevinding een analyse gemaakt moeten worden van de impact op de jaarrekening controle en
vooral op alle individuele ITACs waar de accountant van voornemens was om op te steunen. De
IT-auditor en de accountant bepalen samen wat dit geval het zogenaamde ‘restrisico’ is bij de
werking van de application controls. Enerzijds betreft deze samenwerking het wederzijds
onderkennen van de controledoelstelling en de af te dekken risico’s en anderzijds de mate waarin
het risico niet wordt weggenomen. Daarbij spelen andere general IT controls en application
controls vaak een belangrijke rol, omdat ze elkaar kunnen compenseren of zelfs versterken. Bij
belangrijke bevindingen op het gebied van de processen rondom Change Management of Identity
en Access Administration kan de impact op de controleaanpak van de accountant aanzienlijk zijn.
In deze gevallen zullen bijna altijd aanvullende controlemaatregelen nodig zijn. Deze zullen veelal
bestaan uit gegevensgerichte maatregelen zoals steekproeven en aanvullende analyses. Zo kan
bijvoorbeeld uit logging blijken dat bepaalde medewerkers nooit toegang hebben gehad tot
applicaties waarbij ze mogelijk een kritische functiescheiding zouden hebben kunnen doorbreken.
Wanneer geheel niet op GITCs gesteund kan worden zal er ook geen gebruik gemaakt kunnen
worden op de aanwezige application controls. Ook een rapportage (bijvoorbeeld een lijst met alle
medewerkers in dienst over 2014) kan in dit geval gezien worden als een application control. De
rapportage wordt in dit geval aangemerkt als handmatig- in plaats van automatisch-gegenereerd.
De accountant zal dan bij al de handmatige rapportages testwerkzaamheden moeten uitvoeren
op de juistheid en volledigheid van de rapportage.
2.6 Uitbesteding van IT in NVCOS 402
IT-applicaties in scope van de jaarrekeningcontrole zijn steeds vaker uitbesteed aan een externe
dienstverlener, of zoals de NVCOS dit noemt een ‘service organisatie’. Ook de Cloud Service
Provider valt onder de noemer van service organisatie. Indien er sprake is van uitbesteding van
(een deel) van de IT-omgeving is de NVCOS Standaard 402 van toepassing. Standaard 402 luidt:
‘Overwegingen met betrekking tot controles van entiteiten die gebruik maken van een service
organisatie’ (NBA, 2015). Deze Standaard behandelt de verantwoordelijkheid van de accountant
voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een organisatie
gebruik maakt van de diensten van één of meer serviceorganisaties. De standaard weidt uit over
hoe de accountant NVCOS Standaard 315 (Risico’s op een afwijking van materieel belang
identificeren en inschatten door inzicht te verwerven in de entiteit en haar omgeving) en NVCOS
Standaard 330 (Inspelen door de accountant op ingeschatte risico’s) toe moet passen. In de
volgende paragrafen zullen we dieper ingaan op de vereisten die de NVCOS stelt aan de controle
wanneer gebruik wordt gemaakt van een cloud applicatie. Dit doen we door middel van de
paragrafen 2.6.1 ‘Het verwerven van inzicht in de diensten die worden verleend door een
Serviceorganisatie met inbegrip van de interne beheersing’ (gebaseerd op COS 315), paragraaf
2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking van materieel belang
(gebaseerd op COS 330) en met speciale aandacht voor de rol van derdenverklaringen (bijv. ISAE
3402) in paragraaf 2.6.3.
18
2.6.1 Het verwerven van inzicht in de diensten die worden verleend door een
serviceorganisatie met inbegrip van de interne beheersing.
Voor een goede risicoanalyse is voldoende inzicht nodig in de diensten van de serviceorganisatie.
Als blijkt dat deze diensten invloed hebben op de transactiestromen of financiële administratie
en/of een belangrijk onderdeel uitmaken van de interne beheersing van de gecontroleerde
organisatie, dan is inzicht vereist in de beheersingsmaatregelen bij de serviceorganisatie.
Standaard 402 kan gezien worden als een handleiding die de accountant moet verrichten
wanneer hij wil steunen op een externe dienstverlener wanneer deze relevant zijn voor de
controle van de financiële rapportages van een organisatie en de daarmee verband houdende
bedrijfsprocessen. Een voorbeeld hiervan is een externe salarisverwerker die zorg draagt voor de
een correcte uitbetaling van de salarissen van de werknemers van een organisatie. Maandelijks
worden de transacties zoals uitgevoerd door externe dienstverlener (inclusief salaris, loonheffing,
sociale lasten en pensioeninhoudingen) door middel van een loonjournaalpost in de financiële
administratie van de gebruikersorganisatie geboekt.
In eerste instantie moet de accountant begrijpen welke diensten de externe serviceprovider
verleend en hoe deze diensten verleend worden (COS 402.9). Hiervoor kan de accountant gebruik
maken van de overeenkomst met de service verlener, technische handleidingen van de applicatie
of informatie verzamelen door middel van een interview van de applicatiebeheerder. De volgende
stap (COS 402.10) is het beoordelen van de opzet van de interne beheersingsmaatregelen bij de
klant (dus niet bij dienstverlener). En als derde stap (COS 402.11) vereist de standaard dat de
accountant evalueert of hij voldoende inzicht heeft in de aard van de dienstverlening en de
interne beheersing. De werking van de beheersing is hier nog niet aan de orde. Hieronder een
beknopte samenvatting van de COS betreffende COS standaarden:
COS 402.9: Bij het verwerven van inzicht dient de accountant inzicht te verwerven in de wijze
waarop die organisatie bij haar activiteiten gebruik maakt van de diensten van een
serviceorganisatie, waaronder:
1. De aard van de diensten die door de serviceorganisatie worden verleend en de
significantie van die diensten voor de gebruikersorganisatie, met inbegrip van het effect ervan op
de interne beheersing van de gebruikersorganisatie;
2. De aard en de materialiteit van de verwerkte transacties, rekeningen of financiële
verslaggevingsprocessen waarop de serviceorganisatie invloed heeft;
3. De mate waarin er interactie bestaat tussen de activiteiten van de serviceorganisatie en
die van de gebruikersorganisatie; en
4. De aard van de relatie tussen de gebruikersorganisatie en de serviceorganisatie, met
inbegrip van de relevante contractuele voorwaarden betreffende de door de serviceorganisatie
uitgevoerde werkzaamheden.
COS 402.10: De accountant dient een evaluatie te verrichten van de opzet en de implementatie
van de relevante interne beheersingsmaatregelen bij de gebruikersorganisatie die betrekking
hebben op de door de serviceorganisatie verleende diensten
19
COS 402.11: De accountant dient te bepalen of hij een toereikend inzicht heeft verworven in de
aard en significantie van de door de serviceorganisatie verleende diensten en het effect ervan op
de voor de controle relevante interne beheersing van de gebruikersorganisatie, dat hem in staat
stelt de risico’s op een afwijking van materieel belang te identificeren en in te schatten.
Wanneer de accountant geen toereikend inzicht kan verwerven via de gebruikersorganisatie,
dient hij dit inzicht te verwerven via een of meer van de volgende werkzaamheden:
1. Het verkrijgen van een type 1- of type 2-rapport, indien beschikbaar;
2. Het opnemen van contact met de serviceorganisatie, via de gebruikersorganisatie, om
specifieke informatie te verkrijgen;
3. Het bezoeken van de serviceorganisatie en het uitvoeren van werkzaamheden die de
noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen bij
de serviceorganisatie; of
4. Het gebruikmaken van een andere accountant om werkzaamheden te laten uitvoeren die
de noodzakelijke informatie zullen verschaffen over de relevante interne beheersingsmaatregelen
bij de serviceorganisatie.
In de volgende paragraaf behandelen we hoe de accountant volgens de standaard de werking van
de beheersingsmaatregelen op de werkzaamheden van de dienstverlener kan vaststellen.
2.6.2 Manieren om in te spelen op de ingeschatte risico’s op een afwijking
van materiaal belang
Wanneer de accountant voldoende inzicht heeft verworven in de aard van de dienstverlening
zoals bedoeld onder de standaard COS 315 is het zaak om te bepalen hoe hij de ingeschatte
risico’s op een afwijking van materieel belang gaat afdekken. Deze risico’s variëren per post en
per dienstverlener. In het voorbeeld van de externe salarisverwerker zouden de juistheid van de
salariskosten en de volledigheid van de afdrachten sociale premies een dergelijk risico kunnen
zijn. COS 402.15 dwingt de auditor om na te denken over 1.) of hij kan steunen op de werking
interne beheersingsmaatregelen bij de serviceorganisatie (COS 402.15) en hoe hij deze informatie
het beste kan verkrijgen (COS 402.16).
NVCOS 402.15 Bij het inspelen op ingeschatte risico’s in overeenstemming met Standaard 330
dient de accountant van de gebruikersorganisatie:
1. Te bepalen of er voldoende en geschikte controle-informatie over de relevante in de
financiële overzichten opgenomen beweringen beschikbaar is op basis van vastleggingen bij de
gebruikersorganisatie; en, zo niet,
20
2. Verdere controlewerkzaamheden uit te voeren om voldoende en geschikte controle-
informatie te verkrijgen dan wel gebruik te maken van een andere accountant om die
werkzaamheden namens hem bij de serviceorganisatie te laten uitvoeren.
NVCOS 402.16 Wanneer de accountant van de gebruikersorganisatie in zijn risico-inschatting de
verwachting uitspreekt dat de interne beheersingsmaatregelen bij de serviceorganisatie effectief
werken, dient hij controle-informatie over de effectieve werking van die interne
beheersingsmaatregelen te verkrijgen via een of meer van de volgende werkzaamheden:
1. Het verkrijgen van een type 2-rapport, indien beschikbaar;
2. Het verrichten van passende toetsingen op interne beheersingsmaatregelen bij de
serviceorganisatie; of
3. Het gebruikmaken van een andere accountant om namens hem toetsingen op interne
beheersingsmaatregelen bij de serviceorganisatie te laten verrichten.
In de praktijk ziet men steeds vaker dat de service organisatie een ISAE 3402 rapport verschaft
aan haar klanten om aan hun behoefte op assurance op de dienstverlening te kunnen voldoen.
2.6.3 Gebruik van een ISAE3402 rapport
Organisaties besteden processen, die niet core zijn, uit aan service organisaties. Bij deze
uitbesteding ontstaat de vraag hoe deze uitbesteding beheerst wordt. De reikwijdte van ISAE3402
voornamelijk gericht op de financiële controlewerkzaamheden van de accountant in het kader
van de jaarrekening. De standaard COS 3402 behandelt de de vereisten die gesteld worden aan
een ISAE 3402 rapportage. Deze standaard stelt dat alle processen die een materieel effect
hebben op de jaarrekening opgenomen moeten worden. Veel voorkomende voorbeelden waarin
de standaard COS 3402 toegepast wordt zijn (Schellevis & Van Dijk, 2014):
- de onderneming voert de boekhouding binnen een online boekhoudapplicatie;
- de onderneming heeft de salarisverwerking uitbesteed aan een serviceprovider;
- de onderneming heeft de vorm van een webwinkel;
- de volledige infrastructuur van een applicatie voor transactieverwerking wordt gehost in
een extern rekencentrum.
In het algemeen geldt dat een ISAE 3402 verklaring nuttig is indien er een derde partij is die (een
deel van) de AO/IB uitvoert. De ISAE 3402 verklaring kent twee verschijningsvormen:
Type 1: De verklaring beperkt zich tot de opzet van de interne beheersingsmaatregelen
van de serviceorganisatie
Type 2: De verklaring omvat de opzet, het bestaan en de werking van de interne
beheersingsmaatregelen van de service organisatie over een bepaald tijdvak.
21
De standaard COS 402.17 stelt specifieke eisen aan de werkzaamheden die de accountant dient
uit te voeren wanneer hij wil steunen op een type-2 rapport voor de werking van de
beheersingsmaatregelen onder invloed van de serviceorganisatie:
NVCOS 402.17 Indien de accountant van plan is een type 2-rapport te gebruiken als controle-
informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de
serviceorganisatie, dient hij na te gaan of het rapport van de accountant van de serviceorganisatie
voldoende en geschikte controle-informatie verschaft over de effectiviteit van de interne
beheersingsmaatregelen om zijn risico-inschatting te ondersteunen, door:
1. Te evalueren of de beschrijving, de opzet en de effectieve werking van de interne
beheersingsmaatregelen bij de serviceorganisatie van een datum zijn of voor een periode gelden
die passend is voor zijn doeleinden;
2. Te bepalen of de aanvullende interne beheersingsmaatregelen van de
gebruikersorganisatie die door de serviceorganisatie zijn vermeld, relevant zijn voor de
gebruikersorganisatie en, zo ja, inzicht te verwerven in de vraag of de gebruikersorganisatie
dergelijke interne beheersingsmaatregelen heeft opgezet en geïmplementeerd en, zo ja, de
effectieve werking ervan te toetsen;
3. Te evalueren of de periode waarop de toetsingen van de interne beheersingsmaatregelen
betrekking hebben adequaat is en de tijd te evalueren die is verstreken sinds het verrichten van
de toetsingen; en
4. Te evalueren of de door de accountant van de serviceorganisatie verrichte toetsingen van
de interne beheersingsmaatregelen en de resultaten daarvan, zoals die in diens rapport zijn
beschreven, relevant zijn voor de beweringen in de financiële overzichten van de
gebruikersorganisatie en of zij voldoende en geschikte controle-informatie verschaffen om zijn
risico-inschatting te ondersteunen.
2.7 Conclusie
In dit hoofdstukken is behandeld welke voorschriften en standaarden relevant zijn bij de
jaarrekeningcontrole en in het bijzonder bij uitbesteding van IT. De controlestandaarden zoals
beschreven in de NVCOS zijn verankerd in wetgeving. Wanneer sprake is van cloud gebaseerde
applicaties zullen er additionele risico’s van toepassing kunnen zijn in vergelijking tot uitbesteding
van applicaties die in een traditioneel datacenter worden gehost. Deze verschillen zouden
inzichtelijk gemaakt moeten worden door de controlerend accountant volgens standaard COS
402.17.4 waar de accountant dient te evalueren of de beheersingsmaatregelen relevant zijn voor
de controleinformatie die hij nodig heeft om zijn risico-inschatting te kunnen ondersteunen. In
het volgende hoofdstuk wordt verkend op basis van de beschikbare literatuur met welke cloud-
specifieke risico’s rekening dient te worden gehouden.
22
Hoofdstuk 3: Welke risico’s zijn van toepassing
op cloud applicaties?
Wanneer het object van onderzoek van de jaarrekeningcontrole verschuift naar een service
organisatie in de vorm van cloud computing krijgt de accountant te maken met cloud specifieke
risico’s. In de planningsfase van de audit dienen deze risico’s in overweging te worden genomen
om de controleaanpak hier adequaat op aan te passen. Dit hoofdstuk beantwoordt de vraag
welke risico’s van toepassing zijn op cloud applicaties. Hiertoe onderzoeken wij eerst welke
eigenschappen cloud applicaties met zich meebrengen ten opzichte van traditionele hosting
modellen. Vervolgens gaan we in op welke risico’s gepaard gaan met deze eigenschappen.
3.1 Wat is Cloud?
3.2 Cloud Risico’s bij de jaarrekeningcontrole
3.3 Conclusie
3.1 Wat is Cloud?
Om inzicht te verkrijgen in de cloud-specifieke risico’s is het noodzaak om eerst goed te begrijpen
wat Cloud Computing is en wat de karakteristieken van cloud computing zijn.
3.1.1 Definitie Cloud Computing
Met cloud computing wordt bedoeld het via het internet op aanvraag beschikbaar stellen van
hardware, software en gegevens, ongeveer zoals elektriciteit uit het lichtnet. De cloud staat voor
een netwerk dat met al de computers die erop aangesloten zijn een soort 'wolk van computers'
vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of
waar die precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de
gebruikte hard- en software en is niet verantwoordelijk voor het onderhoud. De details van de
informatietechnologische infrastructuur worden aan het oog onttrokken en de gebruiker beschikt
over een ‘eigen’, in omvang en mogelijkheden schaalbare, virtuele infrastructuur. De cloud is dus
een begrip dat onlinediensten aanduidt.
Een definitie van het begrip cloud computing is een essentieel onderdeel van dit begrip. Het
Amerikaans National Institute of Standards and Technology (NIST, 2009) geeft de volgende
definitie van Cloud Computing:
“Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de diensten in de
vorm van infrastructuur, data en applicaties via het internet worden aangeboden als een
gedistribueerde service via één of meerdere service providers. Deze diensten worden door
verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en worden betaald per gebruikte
eenheid.”
23
3.1.2 Vormen en karakteristieke van Cloud
Het cloud model kan bestaan uit een drietal service modellen en een viertal deployment
modellen. Dit zijn de welbekende SaaS, Paas en IaaS en de deployment modellen Public, Private,
Community en Hybrid cloud. Voor een gedetailleerde beschrijving van deze service- en
deployment modellen zie bijlage A.
Daarnaast zijn er in de literatuur zeven essentiële karakteristieken van de cloud technologie te
identificeren, namelijk gebaseerd op diensten, schaalbaarheid en elasticiteit, elasticiteit, gedeeld
met andere gebruikers, betalen per gebruikerseenheid en internettechnologie. Zie voor een
gedetailleerde beschrijving bijlage A.
3.1.3 Cloud uitgelegd van het business- en IT perspectief.
Omdat een IT-auditor vaak op het snijvlak van de business operationele processen en de
onderliggende techniek werkzaam is geprobeerd om begrip te krijgen van wat de introductie van
cloud technologie voor consequenties heeft voor de business (zie bijlage B) en ook wat de
techniek achter cloud met zich meebrengt (zie bijlage C). Beide perspectieven zijn belangrijk om
te begrijpen, want zoals we later zullen zien ontstaan er binnen de jaarrekeningcontrole cloud-
specifieke risico’s met betrekking tot de business processen als wel op it gebied.
3.1.4 De evolutie van cloud
Cloud computing is allesbehalve nieuw, het is over vele jaren geëvolueerd samen met de opkomst
van het internet en de alsmaar toenemende mogelijkheden die het world wide web ons biedt.
Cloud is dus gebaseerd op bestaande infrastructuur en processen. De eerste blootstellingen van
gebruikers aan de cloud kwamen opzetten toen e-mail werd aangeboden aan internet-verbonden
computergebruikers in het begin van 1990. De vijf fases die cloud technologie sindsdien heeft
doorlopen is uitgebreid beschreven in bijlage D.
3.2 Cloud risico’s
In deze sectie worden een aantal specifieke eigenschappen van cloud computing geïdentificeerd
die een impact kunnen hebben op de jaarrekening controle omdat ze risico’s met zich mee
kunnen brengen die traditionele vormen van hosting niet, of in mindere mate omvatten.
Een risico is de kans dat een negatieve gebeurtenis zich voordoet vermenigvuldigt met het gevolg
van die gebeurtenis. Een auditor geeft invulling aan de jaarrekening aan de hand van een
risicoanalyse (NIVRA, 2002). Maar ook een organisatie is veelal bezig met het managen van
risico’s. Een veelgebruikt model hierbij is het COSO model. Nog meer specifiek op IT risico’s
toegericht is een best practise het zogenaamde CObIT raamwerk (Control Objectives for
Information and Related Technology). In hoofdstuk twee is het onderwerp IT risico’s en de
mogelijke impact op de jaarrekeningcontrole al uitgebreid behandeld. Voor een verdieping in dit
onderwerp zie secties 2.4.1 en 2.4.2.
3.2.1 Eigenschappen van Cloud vs Traditionele Hosting in het kader van de
jaarrekeningcontrole.
Risico management in de cloud is een topic dat sterk in de belangstelling staat in de IT risk wereld
vandaag de dag. De cloud-risico’s specifiek voor de controlewerkzaamheden van de accountant in
24
het kader van de jaarrekening is een onderwerp waar nog niet heel veel over is geschreven. Twee
bronnen die dit onderwerp wel behandelen zijn het artikel ‘Assurance in the Cloud, the impact of
cloud computing on financial statements, 2011’ van M. Chung en de ‘KPMG KAM alert Cloud
Services.
M. Chung identificeert in zijn artikel drie specifieke kenmerken van cloud computing die
verschillen van de traditionele on-premise IT en een impact hebben op de jaarrekengcontrole. Dit
zijn:
External data storage and processing
Sharing of IT resources with other customers
Dependency on public internet
In zijn artikel verkent Chung de impact van deze cloud specifieke kenmerken op de General IT
Controls waar de accountant doorgaans op steunt bij de controle van de jaarrekening en
formuleert aandachtspunten voor gebruikersorganisaties en accountants om deze risico’s te
kunnen mitigeren.
In 2011 verschijnt het ‘KAM alert Cloud Services’ van KPMG met als doel de accountant te
ondersteunen in zijn werkzaamheden bij de jaarrekeningcontrole wanneer hij geconfronteerd
wordt met applicatie in scope van zijn audit werkzaamheden die gehost worden in de cloud. In dit
alert worden vier mogelijke risico’s geïdentificeerd met een impact op de
controlewerkzaamheden:
Ease of changability, immediacy
Disconnect/deviation of controls with existing IT governance framework
Complex arrangements between entity and cloud service providers
Ease of transportability of data
3.2.2 Cloud specifieke risico’s in het kader van de jaarrekeningcontrole
De risico’s beschreven in de twee bovenstaande bronnen hebben vele overeenkomsten. In het
kader van dit onderzoek behandel ik een aantal kenmerken in een cloud omgeving die een impact
kunnen hebben op de risico inschatting door de accountant bij de controle van de jaarrekening.
Bij de keuze van de onderstaande vijf cloud specifieke kenmerken wordt niet geprobeerd om een
volledig overzicht te verschaffen met alle risico’s die in dit kader een rol kunnen spelen, maar wel
in grote lijnen de cloud-specifieke kenmerken te behandelen die kunnen resulteren in cloud-
specifieke risico’s.
1. Flexibele locatie van de data en software
2. Delen van middelen met andere gebruikers
3. Snelheid en gemak van aanpassen infrastructuur
4. Complexe structuur cloud service providers
5. Afwijking beheersmaatregelen cloud omgeving met het IT governance framework
1.) Flexibele locatie van de data en software
CSP kunnen data verwerken of opslaan op servers over diverse juridicties in de wereld hierdoor is
het voor de accountant moeilijk om te bepalen aan welke it- en juridische omgevingen de data en
software is blootgesteld. Dit maakt het moeilijk voor de accountant om vast te stellen welke
25
beheersmaatregelen op de data en applicaties van toepassing zijn geweest gedurende de
rapportage periode.
Daarnaast zorgt de flexibiliteit van de locatie van de data ook voor compliance issues in het kader
van nationale wetgeving. Als een Nederlands bedrijf gevoelige data in de US, China en/of Rusland
heeft staan, zijn er een diversiteit van nationale wetgeving van toepassing op de data. Dit
resulteert in een risico dat de entiteit minder goed toegang heeft tot zijn data, of dat nationale
wetgevingen overtreden worden met als gevolg boetes of negatieve aandacht in de media.
2.) Delen van middelen met andere gebruikers
Het gebruik van technieken als virtualisatie, grid computing en shared data caches stelt de
gebruikers van cloud in staat om middelen in een IT infrastructuur te delen (multi-tenancy). Dit
zijn dikwijls onderdelen van de IT infrastructuur, maar gebruikers kunnen ook software delen. Als
gebruikers toegang hebben tot elkaars data kan dit negatieve gevolgen opleveren voor de
integriteit van de data. Dit leidt tot extra risico’s leiden bij de controle van de jaarrekening. Het is
belangrijk dat de gebruiker zichzelf ervan verzekerd dat de cloud provider voldoende maatregelen
in plaats heeft om data van klanten van elkaar af te scheiden, bijvoorbeeld door middel van
encryptie. Indien encryptie wordt toegepast dan zal de gebruiker zekerheid moeten verkrijgen
over de encryptie key management en het proces gebruikt om data te de-crypten voordat deze
wordt verwerkt.
3.) Snelheid en gemak van aanpassen infrastructuur
Het identificeren van alle cloud diensten relevant voor de jaarrekeningcontrole kan moeilijker zijn
omdat cloud services gemakkelijker buiten de IT afdeling ingekocht kunnen worden. Voor een
typisch SaaS product dat door middel van een internetverbinding wordt aangeboden is in de
beleving van een gemiddelde inkoper geen IT kennis nodig voor installatie of onderhoud. Maar
vanuit een assurancebril gezien is de betrokkenheid van de it afdeling vaak wel van kritisch
belang. Om dit cloud-risico te beheersen zullen de interne beheersingsprocessen en controls
aangepast moeten worden. De auditor heeft inzicht nodig welke controls en governance
processen hierop betrekking hebben en wie binnen de entiteit geautoriseerd is om
overeenkomsten aan te gaan met externe service providers, zodat hij kan beoordelen of alle CSPs
die relevant voor de audit worden geacht ook in scope van de werkzaamheden vallen of dat
additionele werkzaamheden nodig zijn.
4. Complexe structuur cloud service providers
Cloud service providers maken dikwijls gebruik van subcontractors die delen van de diensten van
de externe serviceorganisatie verzorgen, bijvoorbeeld het beheer van de it infrastructuur. Dit kan
resulteren in complexe contracten tussen de gebruiker en de cloud provider. In de ISAE
rapportages van de serviceprovider wordt veelvuldig gebruik gemaakt van de zogenaamde carve-
out methode. Dit betekent dat subcontractors die een bepaalde dienst leveren aan de
serviceorganisatie niet meegenomen worden bij de controlewerkzaamheden van de accountant
van de betreffende serviceorganisatie. Echter wanneer de diensten van de subcontractor wel in
scope zijn van de controlewerkzaamheden van de accountant bij de gebruikersorganisatie zal hij
toch zekerheid willen verkrijgen over de beheersingsmaatregelen bij de subcontractor. Deze
26
complexiteit zorgt voor een verhoogd risico op onvoldoende controlewerkzaamheden door de
accountant op serviceorganisaties in het kader van de jaarrekeningcontrole.
De accountant kan zekerheid verkrijgen over de beheersingsmaatregelen bij de
subserviceorganisaties bijvoorbeeld door middel van een ISAE type 2 rapport. Maar als dit niet
mogelijk is kan de accountant ook zelf controlewerkzaamheden uitvoeren bij de betreffende
subcontractor. In de praktijk is het voor de accountant vaak niet mogelijk om zelf bij de cloud
provider te mogen auditen. (M. D. Ryan, 2011) omdat het ook security risico’s voor de cloud
provider met zich meebrengt. Daarbij zijn de lasten die het geven van het ‘right to audit’ aan alle
gebruikers voor de cloud provider dusdanig hoog dat de providers er vaak voor kiezen om geen
externe auditors toe te laten in hun cloud data centers.
5.) Afwijking beheersmaatregelen cloud omgeving met het IT governance framework
Risico’s en beheersmaatregelen worden door de cliënt gedefinieerd in een IT governance
framework. Cloud services kunnen relatief gemakkelijk geïmplementeerd worden door een
entiteit, waardoor een deel van die beheersmaatregelen ook uitgevoerd worden door de
serviceprovider. Het kan voorkomen dat de beheersingsmaatregelen van de CSP niet worden
opgenomen in het IT beheersingsframework van de afdeling binnen de gebruikersorganisatie die
is belast met IT governance. Als de gebruikersorganisatie geen monitoring uitvoert op de
beheersingsmaatregelen van de serviceorganisatie kan dit operationele risico’s tot gevolg hebben.
Het managen van externe cloud providers vergt niet alleen aanpassingen aan het IT governance
framework, maar ook additionele vaardigheden en kennis van de IT afdeling om de implementatie
en het operationele beheer te managen. Een goed begrip van de voorwaarden van het service
contract en de impact op de relevante proces level controls en de ITGCs is hierbij noodzakelijk. Dit
houdt onder meer in een begrip van de flow van data en transacties tussen de
gebruikersorganisatie en de CSP. Het verplaatsen van software applicaties en financiële data in
cloud service modellen kan resulteren in minder inzicht in de flow van transacties en informatie
over financiële transactie zou minder goed beschikbaar kunnen worden dan in het verleden.
27
3.3: Conclusie hoofdstuk 3
In dit hoofdstuk is door middel van literatuuronderzoek een relevant inzicht verworven in de
karakteristieken van cloud technologie. Op basis hiervan zijn vijf cloud-specifieke risico’s
geïdentificeerd die een auditor in een controleopdracht tegen kan komen. Deze vijf risico’s
worden meegenomen in het casestudy onderzoek in hoofdstuk 4 waar twee cloud service
providers in het kader van de jaarrekening worden geaudit op basis van de audit standaard
NVCOS 402.
Tevens geven hoofdstuk 2 en 3 antwoord op deelvraag 1: “Welke voorschriften en richtlijnen zijn
relevant bij het uitvoeren van een jaarrekeningcontrole wanneer één of meerdere applicaties in
scope zijn ondergebracht in de cloud? En welke risico’s zijn te onderscheiden ten aanzien van de
cloud applicaties?” De relevante regelgeving voor de accountant is te vinden in de
controlestandaard NVCOS 402 ‘Overwegingen met betrekking tot controles van entiteiten die
gebruik maken van een serviceorganisatie’. Verder is gebleken uit de literatuur dat cloud
technologie een aantal additionele risico’s met zich meebrengt waar de accountant aandacht aan
hoort te besteden bij zijn werkzaamheden op de interne beheersingsmaatreglen bij de
serviceorganisatie. Dit zijn de flexibele locatie van de data, multitenancy, snelheid en gemak van
het aanpassen van de IT infrastructuur, complexte structuur van CSPs en afwijkende
beheersingsmaatregelen met het IT governance framework van de gebruikersorganisatie.
28
Hoofdstuk 4: Casestudy onderzoek In dit hoofdstuk worden de uitvoering en de bevindingen van het casestudy onderzoek
beschreven.
4.1 Aanpak onderzoek
4.2 Beschrijving casus omgevingen
4.3 Bevindingen casus 1
4.4 Bevindingen casus 2
4.5 Samenvatting
4.1 Aanpak Onderzoek
In hoofdstuk 4 en 5 wordt een antwoord gegeven op deelvraag twee, namelijk ‘op welke wijze kan
een accountant omgaan in de praktijk wanneer een cloud applicatie kritisch wordt geacht in de
controle van de jaarrekening?’ Deze vraag is tweeledig, in eerste instantie wordt nagegaan op
welke manier de NVCOS audit standaard welke van toepassing is op service providers kan worden
toegepast. Daarnaast wordt onderzocht op welke manier met cloud specifieke risico’s omgegaan
kan worden. In het volgende hoofdstuk worden de bevindingen die uit het casestudy onderzoek
naar voren komen besproken met diverse experts. Alles wordt geanalyseerd aan de hand van de
theorie, de praktijkervaring van de casestudies en de expert interviews. Uiteindelijk wordt een
antwoord geformuleerd op de tweede subvraag.
Methode
Dit hoofdstuk zoekt een antwoord op de bovenstaande vragen door het uitvoeren van twee
casestudies. In de casestudies worden twee audits uitgevoerd op externe cloud service
organisaties die een IT application hosten in de cloud in scope voor de jaarrekeningcontrole van
de gebruikersorganisatie. Deze audits zijn uitgevoerd aan de hand van de geldende voorschriften
en met inachtneming van de cloud-risico’s die in de literatuur geïdentificeerd zijn.
De onderzoeksfunctie volgens Yin (2010) die we toepassen in deze casestudy is overwegend
evaluerend en ook een stukje ontwerpend ingestoken. Evaluerend omdat we audits uitvoeren op
situaties die daadwerkelijk in de praktijk voorkomen. Hierbij wordt aan de hand van de geldende
regelgeving getoetst in hoeverre de aanwezige controle-informatie bij de gebruikersorganisatie en
externe serviceorganisatie in voldoende mate de risico’s op de beweringen in de financiële
rapportages afdekken. Daarnaast een stukje ontwerpend waar aanbevelingen worden
geformuleerd aan de hand van de bevindingen die de controle van externe cloud-
serviceorganisatie kunnen verbeteren.
29
4.2 Beschrijving casus omgevingen
De twee casussen geselecteerd voor review zijn een middelgrote en een grote organisatie die
allebei controleplichtig zijn voor de jaarrekening volgens BW2, titel 9. Hieronder een korte
beschrijving van de organisaties, de betreffende cloud applicaties, gerelateerde processen en de
manier waarop assurance verkregen wordt over de beheersingsmaatregelen bij de externe
dienstverlener.
4.2.1 Beschrijving organisatie 1
Deze jaarrekening controle betreft een middelgroot bedrijf dat advertenties verkoopt aan
websites voor haar klanten. Het heeft vestigingen heeft in Europa, Azië en (zuid) Amerika. Bij het
bedrijf zijn tussen de 50 en 100 mensen werkzaam.
De omzet van dit bedrijf is onder andere afhankelijk van het aantal ‘views’ en het aantal ‘clicks’
die het webverkeer op de website van de affiliates genereert. Om dit te kwantificeren wordt een
SaaS applicatie van een externe dienstverlener gebruikt die dagelijks de online-activiteiten
aangaande de advertenties op de websites kwantificeert. De organisatie belast de kosten voor de
webmasters door aan adverteerders inclusief een opslag voor de eigen geleverde service, dit
betreft de belangrijkste omzetstroom van deze cliënt.
Het object van onderzoek is de SaaS applicatie van de externe service provider gehost en is alleen
toegankelijk voor de gebruikersorganisatie door middel van een internetverbinding. De service
provider van de SaaS applicatie stelt een derdenverklaring (ISAE 3402) beschikbaar wanneer de
gebruiker hierom vraagt.
4.2.2 Beschrijving organisatie 2
De cliënt betreft een groot bedrijf dat zich bezighoudt met logistieke dienstverlening in Nederland
en enkele andere Europese landen. Er werken meer dan 250 medewerkers bij het bedrijf. De
salarisadministratie van het overgrote deel van de medewerkers is uitbesteed aan een externe
dienstverlener. Wel is de organisatie zelf verantwoordelijk voor het bijhouden van het
personeelsbestand in de SaaS applicatie die via het internet toegankelijk is voor de HR afdeling.
De accountant maakt gebruik van rapportages uit deze applicatie voor de controle van de
personeelskosten en de afdracht van loonheffing en sociale lasten. De applicatie betreft een SaaS
cloud applicatie en wordt aangeboden door een gespecialiseerde salarisverwerker. Deze externe
serviceorganisatie stelt jaarlijks een ISAE 3402 type 2 rapport beschikbaar aan haar klanten.
4.2.3 Structuur casus onderzoek
In hoofdstuk 2 is beschreven dat een cloud-applicatie in de scope van de jaarrekening valt onder
de norm NVCOS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van een
serviceorganisatie’, waarin de minimale vereisten aan controlewerkzaamheden zijn beschreven
wanneer de cliënt van de accountant gebruik maakt van een externe dienstverlener. Deze richtlijn
is te onderscheiden in drie vereisten en staan in de volgende tabel weergegeven met daarbij de
relevante controlestandaard uit de NVCOS 402.
30
NVCOS Vereisten Controlestandaard
a.) Het verwerven van inzicht in de diensten
die worden verleend door een
serviceorganisatie met inbegrip van de
interne beheersing.
NVCOS 402.9, 402.10, 402.11
b) Manieren om in te spelen op de
ingeschatte risico’s op een afwijking van
materieel belang
NVCOS 402.15, 402.16
c) Gebruik van een ISAE 3402 rapport NVCOS 402.17
In de volgende sectie gaan we aan de hand van de richtlijnen en cloud-specifieke karakteristieken
een audit uitvoeren met als doel om te beoordelen in welke mate de accountant kan steunen op
de rapportages die gegenereerd worden uit de SaaS applicaties van de externe serviceprovider.
4.3 Bevindingen Casus 1
Zoals beschreven bestaat de jaarrekeningcontrole uit drie fases (Fijneman et al, 2006), namelijk
de planningsfase, de interim-fase en de afrondingsfase. Tijdens de interim-fase heeft de IT auditor
de IT omgeving van de klant beschreven en in overleg met de accountant alle applicaties die
gebruikt worden voor de financiële verslaggeving geïdentificeerd. Ook heeft hij een van deze
applicaties als een cloud based applicatie aangemerkt. Deze applicatie betreft een SaaS applicatie
die in een public cloud omgeving wordt gehost. De gebruikersorganisatie bemiddelt in online
advertentie verkopen tussen de adverteerder en de eigenaren van de websites waar de
advertenties worden weergegeven. De adverteerders betalen de webmasters op basis van het
aantal clicks en views en leads dat door de advertenties op hun website wordt behaald. De
administratieve afhandeling tussen de adverteerders en de webmasters wordt verzorgd door deze
klant. Op basis van de cloud applicatie draait men rapportages waaruit blijkt hoeveel de
adverteerder aan de webmaster verschuldigd is. De conclusie tijdens de planningsfase van de
accountant luidt dat IT sterk is geïntegreerd in de business, het IT landschap complex is en de
business is afhankelijk van application controls. Daarom wil de auditor zekerheid over het
bestaan, opzet en de werking van de IT General Controls van de SaaS applicaties om te kunnen
steunen op de rapportages. Dit geldt ook voor de ITGCs van de service provider die de SaaS
applicatie van dit onderzoek aanbiedt. Als de accountant niet kan steunen op de ITGC van de CSP
heeft dat tot gevolg dat hij ook niet zomaar kan steunen op de rapportages van de SaaS applicatie
die gebruikt worden om de omzet te factureren.
De aanbieder van deze SaaS cloud applicatie wordt door de NVCOS aangemerkt als een
zogenaamde externe serviceorganisatie. De COS 402 stelt een aantal vereisten aan de controle
van serviceorganisaties (zie hoofdstuk 2). Op basis van deze vereisten heb ik een werkprogramma
opgesteld en dit uitgevoerd bij de betreffende organisatie. Bij deze organisatie is documentatie
opgevraagd, en zijn interviews gehouden met de relevante medewerkers. Ook heb ik een
interview gehouden met de accountant waar ik in het volgende hoofdstuk op terug kom.
31
Het eerste onderdeel betreft de vereiste waarin de it auditor inzicht dient te verwerven in de
diensten die worden verleend door de serviceorganisatie en de impact die dit heeft op de interne
beheersing van de gebruikersorganisatie, de cliënt van de accountant.
32
Werkprogramma Casus 1
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Het verwerven van inzicht in de
diensten die worden verleend
door een serviceorganisatie met
inbegrip van de interne
beheersing
NVCOS 402.9
Verkrijg inzicht in:
1. de aard van de diensten die door de
serviceorganisatie worden verleend en de
significantie van die diensten voor de
gebruikersorganisatie, met inbegrip van het
effect ervan op de interne beheersing van de
gebruikersorganisatie.
2. de aard en de materialiteit van de verwerkte
transacties, rekeningen of financiële
verslaggevingsprocessen waarop de
serviceorganisatie invloed heeft.
3. de mate waarin er interactie bestaat tussen de
activiteiten van de serviceorganisatie en die van
de gebruikersorganisatie.
4. de aard van de relatie tussen de
gebruikersorganisatie en de serviceorganisatie,
met inbegrip van de relevante contractuele
voorwaarden betreffende de door de
serviceorganisatie uitgevoerde werkzaamheden
1. De applicatie van de serviceorganisatie verleent
rapportages aan de gebruikersorganisatie
aangaande de q-component van de omzet. Hierbij
maakt men het aantal clicks en views inzichtelijk
dat een advertentie van een merchant op websites
genereert. Deze rapportages gebruikt de
gebruikersorganisatie als input voor de
omzetfacturen aan hun klanten (de adverteerders).
De serviceorganisatie voert geen transacties uit
voor de gebruikersorganisatie, dus er is geen
significant effect op de beheersing van de
gebruikersorganisatie.
2. De serviceorganisatie voert geen transacties van
materieel belang uit voor de gebruikersorganisatie,
maar de aard van de dienstverlening is wel
significant, want de serviceprovider verleent
rapportages die als basis dienen voor de omzet. In
deze omstandigheden is het toch noodzakelijk om
inzicht te verkrijgen in de interne
beheersingsmaatregelen bij de CSP.
3. De mate waarin interactie bestaat tussen de
activiteiten van de serviceorganisatie en de
33
gebruikersorganisatie is niet hoog. De
serviceorganisatie voert geen transacties uit voor
de gebruikersorganisatie maar voorziet de cliënt
van informatie die als basis voor de facturatie en
omzet dient. In de SLA met de serviceorganisatie
staan geen beheersmaatregelen beschreven die
onder de verantwoordelijkheid van de
gebruikersorganisatie valt, behalve het toegang
verlenen van de eigen medewerkers tot de SaaS
applicatie.
4. De gebruikersorganisatie heeft op basis van een
licentie een account bij de betreffende cloud
applicatie. In de gebruikersvoorwaarden van de
overeenkomst staan de algemene voorwaarden en
richtlijnen vermeld. Er staat niet of de
serviceorganisatie een rapport zal uitbrengen over
haar interne beheersingsmaatregelen. Bij navraag
is er wel een ISAE 3402 type II rapport
beschikbaar.
NVCOS 402.10
Verricht een van de opzet en de implementatie van de
relevante interne beheersingsmaatregelen bij de
gebruikersorganisatie die betrekking hebben op de
door de serviceorganisatie verleende diensten, met
inbegrip van de maatregelen die worden toegepast op
de door de serviceorganisatie verwerkte transacties.
Bij navraag bij het hoofd van de IT afdeling blijkt dat er
geen formele beheersingsmaatregelen bij de
gebruikersorganisatie van kracht zijn op door de
serviceorganisatie verleende diensten. Wel is er een
procedure die rechten aan de medewerkers van de
gebruikersorganisatie toebedeeld en intrekt. De
applicatiebeheerder is hiervoor verantwoordelijk.
34
NVCOS 402.11
Bepaal of een toereikend inzicht is verworven in de
aard en significantie van de door de serviceorganisatie
verleende diensten en het effect ervan op de voor de
controle relevante interne beheersing van de
gebruikersorganisatie, om de risico’s op een afwijking
van materieel belang te identificeren en in te schatten.
Op basis van inspectie van licentieovereenkomsten, de
gebruikersovereenkomsten, handleidingen van de SaaS
applicatie en interviews met de applicatiebeheerder en
medewerker van de financiële administratie zijn we van
mening dat we toereikend inzicht hebben verworden in
de aard en significatie van de door de serviceorganisatie
verleende diensten en het effect ervan op de voor de
controle relevante interne beheersing van de
gebruikersorganisatie om risico’s op een afwijking van
materieel belang te identificeren en in te schatten
Tijdens bovenstaande exercitie is bepaald dat de auditor voldoende inzicht in de diensten van de serviceprovider heeft verworven om op een
adequate manier risico’s in the schatten. Er is ondermeer inzicht verworven in de informatie stromen die naar en van de gebruikersorganisatie
vloeien, de impact op de beheersingsmaatregelen en de gebruikte rapportages voor de omzet. De risico’s zijn in een eerder stadium van de
controle door de accountant geïdentificeerd volgens Standaard 330. Omzet is een significant risico en de relevante assertions betreffen
juistheid, volledigheid en bestaan van de omzet. In de tweede vereiste volgens COS 402 dient de accountant stil te staan bij de manieren
waarop hij in kan spelen om risico’s voldoende af te dekken.
Werkprogramma Casus 1
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Manieren om in te spelen op de
ingeschatte risico’s op een
afwijking van materieel belang
NVCOS 402.15
Bij het inspelen op ingeschatte risico’s overeenkomstig
Standaard 330 dient de accountant van de
1. Om in te kunnen spelen op de risico’s gerelateerd
aan deze cloud applicatie (bestaan, juistheid en
35
gebruikersorganisatie:
1. te bepalen of er voldoende en geschikte
controle-informatie over de relevante in de
financiële overzichten opgenomen beweringen
beschikbaar is op basis van vastleggingen bij de
gebruikersorganisatie; en, zo niet,
2. verdere controlewerkzaamheden uit te voeren
om voldoende en geschikte controle-informatie
te verkrijgen dan wel gebruik te maken van een
andere accountant om die werkzaamheden
namens hem bij de serviceorganisatie te laten
uitvoeren.
volledigheid van de omzet) is er bij de
gebruikersorganisatie onvoldoende geschikte
controle-informatie om te kunnen steunen op de
rapportages die gebruikt worden bij de omzet.
2. We hebben vernomen dat de accountant van de
serviceorganisatie een ISAE 3402 type II rapport
opmaakt en dat deze bij de externe
serviceorganisatie op te vragen is. Hierdoor
verwachten wij gebruik te kunnen maken van
voldoende geschikte controle-informatie.
NVCOS 402.16
Wanneer de accountant van de gebruikersorganisatie
in zijn risico-inschatting de verwachting uitspreekt dat
de interne beheersingsmaatregelen bij de
serviceorganisatie effectief werken, dient hij controle-
informatie over de effectieve werking van die interne
beheersingsmaatregelen te verkrijgen via een of meer
van de volgende werkzaamheden:
1. het verkrijgen van een type 2-rapport, indien
beschikbaar;
2. het verrichten van passende toetsingen op
interne beheersingsmaatregelen bij de
serviceorganisatie; of
Tot dusver heb ik geen aanleiding gezien tijdens ons
onderzoek dat de interne beheersingsmaatregelen bij
de serviceorganisatie niet effectief zouden werken.
1. Uit de interviews heb ik vernomen dat een type
2 rapport beschikbaar wordt gesteld door de
serviceprovider en dit is door de
gebruikersorganisatie voor ons opgevraagd en
inmiddels ontvangen.
2. Nvt
3. Nvt
36
3. het gebruikmaken van een andere accountant
om namens hem toetsingen op interne
beheersingsmaatregelen bij de
serviceorganisatie te laten verrichten.
Omdat de gebruikersorganisatie geen aandacht besteedt aan de beheersingsmaatregelen van zijn serviceorganisatie dient de auditor controle-
informatie te verkrijgen via een andere manier. In dit geval is van de klant vernomen dat er een type-2 rapport beschikbaar kan worden gesteld
door de CSP. Dit rapport heb ik ontvangen en beoordeeld volgens de derde vereisten die het gebruik van een type 2 rapport als controle-
informatie voor de effectieve werking van beheersmaatregelen behandeld.
Werkprogramma Casus 1
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Gebruik van een type 2-rapport
als controle-informatie voor de
effectieve werking van interne
beheersingsmaatregelen bij de
serviceorganisatie
NVCOS 402.17
Ga na of het rapport van de accountant van de
serviceorganisatie voldoende en geschikte controle-
informatie verschaft over de effectiviteit van de interne
beheersingsmaatregelen om zijn risico-inschatting te
ondersteunen, door:
1. te evalueren of de beschrijving, de opzet en de
effectieve werking van de interne
beheersingsmaatregelen bij de serviceorganisatie van
een datum zijn of voor een periode gelden die
passend is voor zijn doeleinden;
2. te bepalen of de aanvullende interne
1. Bij inspectie van het type 2 rapport heb ik vastgesteld
dat het rapport betrekking heeft op slechts 6 van de 12
maanden in het jaar. Bij navraag blijkt er over de
resterende periode nog geen type 2 rapport
beschikbaar.
2. Door middel van inspectie van het rapport heb ik
vastgesteld dat aanvullende interne
beheersingsmaatregelen van de gebruikersorganisatie
niet relevant zijn.
3. Zoals boven opgemerkt is de periode waarop de
toetsingen hebben plaatsgevonden niet adequaat omdat
37
beheersingsmaatregelen van de
gebruikersorganisatie die door de serviceorganisatie
zijn vermeld, relevant zijn voor de
gebruikersorganisatie en, zo ja, inzicht te verwerven
in de vraag of de gebruikersorganisatie dergelijke
interne beheersingsmaatregelen heeft opgezet en
geïmplementeerd en, zo ja, de effectieve werking
ervan te toetsen;
3. te evalueren of de periode waarop de toetsingen van
de interne beheersingsmaatregelen betrekking
hebben adequaat is en de tijd te evalueren die is
verstreken sinds het verrichten van de toetsingen; en
4. te evalueren of de door de accountant van de
serviceorganisatie verrichte toetsingen van de
interne beheersingsmaatregelen en de resultaten
daarvan, zoals die in diens rapport zijn beschreven,
relevant zijn voor de beweringen in de financiële
overzichten van de gebruikersorganisatie en of zij
voldoende en geschikte controle-informatie
verschaffen om zijn risico-inschatting te
ondersteunen.
slechts de eerste zes maanden van het financiële
verslaggevingsjaar zijn gerapporteerd.
4. Bij nadere inspectie van het type 2 rapport blijkt dat het
rapport niet relevant is voor de rapportages waarop wij
steunen, maar op een gelieerde applicatie die voor de
controle van de omzet niet relevant is.
Op basis van bovenstaande werkzaamheden blijkt dat het type 2 rapport niet gebruikt kan worden als controle-informatie om de risico
inschattingen gerelateerd aan de omzet te ondersteunen. Het rapport beslaat niet de gehele periode en heeft geen betrekking op de
rapportages waar de accountant op steunt bij de controle van de omzet.
38
Als we dan even terugkijken naar de NVCOS 402.16 dan zien we dat er naast het gebruik van een type 2 rapport, twee andere mogelijkheden
zijn om voldoende controle-informatie te verkrijgen over de cloud applicatie. Als eerste is het zelf verrichten van passende toetsingen op
interne beheersingsmaatregelen bij de serviceorganisatie een optie. Of anders het gebruik maken van een andere accountant om namens hem
toetsingen te laten verrichten. Al gauw bleek dat dit geen oplossing zou bieden omdat de serviceorganisatie niet meewerkt aan dergelijke
verzoeken.
Verder zijn er geen opties meer om te kunnen steunen op de beheersingsmaatregelen van de diensten van de externe dienstverleners met
betrekking tot deze applicatie. In dit geval zal de accountant andere manieren moeten vinden om toch voldoende comfort te krijgen over de
rapportages uit de cloud applicatie en/of omzet in de jaarrekening. Een manier om dit te bewerkstelligen is bijvoorbeeld om een andere bron te
raadplegen die de rapportages kunnen valideren. Of als er niets anders op zit zal het financial audit engagement team additionele substantive
testwerkzaamheden moeten uitvoeren op de omzet.
4.4 BevindingenCasus 2
In deze casus hebben we te maken met een serviceprovider die de salarisadministratie van het personeel van de gebruikersorganisatie
verzorgt. Veel organisaties outsourcen deze activiteiten vanwege complexe en steeds veranderende wetgeving rondom de salarisadministratie.
Tijdens de interim-fase heeft de IT auditor de IT omgeving van de klant beschreven en alle applicaties die gerelateerd zijn aan de financiële
verslaggevingsprocessen geïdentificeerd. Ook heeft hij de betreffende applicatie als een cloud based applicatie aangemerkt. Om te kunnen
steunen op de rapportages van de serviceorganisatie heeft de accountant comfort nodig over de interne beheersingsmaatregelen met
betrekking tot de SaaS applicatie en de processen rondom de salarisadministratie. Conform casus 1 is de audit uitgevoerd aan de hand van de
COS 402 richtlijnen en de cloud risico’s uit de literatuurstudie.
Werkprogramma Casus 2
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Het verwerven van inzicht in de
diensten die worden verleend
NVCOS 402.9
39
door een serviceorganisatie met
inbegrip van de interne
beheersing
Verkrijg inzicht in:
1. de aard van de diensten die door de
serviceorganisatie worden verleend en de
significantie van die diensten voor de
gebruikersorganisatie, met inbegrip van het
effect ervan op de interne beheersing van de
gebruikersorganisatie.
2. de aard en de materialiteit van de verwerkte
transacties, rekeningen of financiële
verslaggevingsprocessen waarop de
serviceorganisatie invloed heeft.
3. de mate waarin er interactie bestaat tussen
de activiteiten van de serviceorganisatie en
die van de gebruikersorganisatie.
4. de aard van de relatie tussen de
gebruikersorganisatie en de
serviceorganisatie, met inbegrip van de
relevante contractuele voorwaarden
betreffende de door de serviceorganisatie
uitgevoerde werkzaamheden.
1. De externe serviceprovider verzorgt de salarisadministratie in
een cloud-based applicatie en betaalt maandelijks de salarissen
uit van alle medewerkers. De gebruikersorganisatie heeft de
verantwoordelijkheid om het personeelsbestand adequaat in de
cloud based applicatie te verwerken en heeft toegang tot deze
applicatie door middel van een internetverbinding. De
verantwoordelijkheden van de serviceprovider en van de
gebruikersorganisatie zijn beschreven in een SLA.
2. De serviceorganisatie voert transacties uit voor de
gebruikersorganisatie die van materieel belang zijn, en daarom is
het noodzakelijk om inzicht te verkrijgen in de
beheersingsmaatregelen bij de CSP.
3. Na review van de overeenkomst met de serviceprovider en door
middel van interviews blijkt dat er een hoge mate van interactie
bestaat tussen de serviceprovider en gebruikersorganisatie. De
gebruikersorganisatie is verantwoordelijk voor de maandelijkse
mutaties in het eigen personeelsbestand en heeft hiervoor zijn
eigen beheersingsmaatregelen in plaats. Ook autoriseert de
gebruikersorganisatie alle transacties die de serviceorganisatie
vervolgens verwerkt en de administratieve administratie ervan
verzorgt. En daarbij is er een control die het inlezen van de
maandelijkse loonjournaalpost beheerst. Er ontbreekt echter
een beheersmaatregel bij de gebruikersorganisatie die vaststelt
dat de serviceorganisatie de afdracht van belastingen en
premies adequaat verzorgt. In dit geval is de
gebruikersorganisatie in staat om binnen de eigen organisatie
effectieve interne beheersingsmaatregelen toe te passen voor
deze transacties, maar na evaluatie van de opzet van de interne
40
beheersingsmaatregelen blijkt dat deze onvoldoende zijn om
volledig op te kunnen steunen. Daarom kan het nodig zijn om te
steunen op de beheersingsmaatregelen bij de serviceprovider.
4. De verantwoordelijkheden van de serviceorganisatie alsmede de
gebruikersorganisatie zijn vastgelegd in een service level
agreement. Hierin staat ook genoteerd dat de serviceorganisatie
jaarlijks een type-2 rapport beschikbaar zal stellen.
NVCOS 402.10
Verricht een van de opzet en de implementatie
van de relevante interne beheersingsmaatregelen
bij de gebruikersorganisatie die betrekking
hebben op de door de serviceorganisatie
verleende diensten, met inbegrip van de
maatregelen die worden toegepast op de door de
serviceorganisatie verwerkte transacties.
Wij hebben door middel van interview vastgesteld dat er
beheersmaatregelen in werking zijn in opzet en bestaan die de
juiste invoer van het aantal te verlonen FTE staven. Er is ook een
control die zorg draagt voor de juiste betaling van de salarissen en
verder heb ik vastgesteld door middel van interview dat een
beheersingsmaatregel in werking is die zorg draagt voor een
correcte overdracht van informatie van de cloud applicatie naar de
financiële administratie. Deze beheersmaatregelen worden getest
tijdens de interim periode door het financial audit engagement
team.
NVCOS 402.11
Bepaal of een toereikend inzicht is verworven in
de aard en significantie van de door de
serviceorganisatie verleende diensten en het
effect ervan op de voor de controle relevante
interne beheersing van de gebruikersorganisatie,
om de risico’s op een afwijking van materieel
belang te identificeren en in te schatten
Concluderend kunnen we stellen dat op basis van interview en
inspectie van documentatie er voldoende inzicht is verworven op de
diensten die door de serviceorganisatie zijn verleend en het effect
ervan op de voor de controle relevante interne beheersing van de
gebruikersorganisatie. Zowel beheersmaatregelen bij de
gebruikersorganisatie als bij de service organisatie zijn relevant om
voldoende comfort te verkrijgen over de personeelslasten.
41
Tijdens het verwerven van inzicht in de aard van de diensten en het effect daarvan op de interne beheersingsmaatregelen is vastgesteld dat er
sprake is van een wisselwerking tussen de interne beheersingsmaatregelen van de service organisatie en de gebruikersorganisatie. Omdat
beide organisaties verantwoordelijkheden dragen in het proces rondom de loontransacties, is het niet mogelijk om op enkel op de
beheersingsmaatregelen bij de een of de ander te steunen. In de COS 402 vereiste ‘Manieren om in te spelen op de ingeschatte risico’s op een
afwijking van materieel belang’ moet de auditor bepalen hoe hij de risico’s op een afwijking van materieel belang aan gaat vliegen.
Werkprogramma Casus 2
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Manieren om in te spelen op de
ingeschatte risico’s op een
afwijking van materieel belang
NVCOS 402.15
Bij het inspelen op ingeschatte risico’s in
overeenstemming met Standaard 330 dient de
accountant van de gebruikersorganisatie:
1. te bepalen of er voldoende en geschikte
controle-informatie over de relevante in de
financiële overzichten opgenomen
beweringen beschikbaar is op basis van
vastleggingen bij de gebruikersorganisatie;
en, zo niet,
2. verdere controlewerkzaamheden uit te
voeren om voldoende en geschikte controle-
informatie te verkrijgen dan wel gebruik te
maken van een andere accountant om die
werkzaamheden namens hem bij de
De risico’s rondom de loonbetalingen betreffen de juistheid en
volledigheid van de salariskosten en de volledigheid van de
afdracht van belastingen en sociale heffingen.
1. Uit bovenstaande exercitie is gebleken dat er
onvoldoende geschikte controle-informatie over
de relevante beweringen beschikbaar is bij de
gebruikersorganisatie.
2. Daarom zullen we verdere controle werkzaamheden uitvoeren
om voldoende geschikte control informatie te verkrijgen.
42
serviceorganisatie te laten uitvoeren.
NVCOS 402.16
Wanneer de accountant van de
gebruikersorganisatie in zijn risico-inschatting de
verwachting uitspreekt dat de interne
beheersingsmaatregelen bij de serviceorganisatie
effectief werken, dient hij controle-informatie
over de effectieve werking van die interne
beheersingsmaatregelen te verkrijgen via een of
meer van de volgende werkzaamheden:
1. Het verkrijgen van een type 2-rapport, indien
beschikbaar;
2. het verrichten van passende
toetsingen op interne
beheersingsmaatregelen bij de
serviceorganisatie; of
3. het gebruikmaken van een andere
accountant om namens hem toetsingen op
interne beheersingsmaatregelen bij de
serviceorganisatie te laten verrichten.
Op basis van inquiry en inspectie van de Service Level
Agreements heb ik vastgesteld dat de serviceorganisatie een
type 2 verklaring beschikbaar stelt. Op basis van inspectie van de
type 2 verklaringen van voorgaande rapporteringsperiodes
verwachten we dat de interne beheersingsmaatregelen bij de
serviceorganisatie effectief werken.
1. We hebben via de gebruikersorganisatie het type 2 rapport
opgevraagd en ontvangen van de CSP
Tot dusver hebben is bepaald op basis van de geldende richtlijnen uit COS 402 dat we onder anderen gebruik gaan maken van een ISAE 3402
rapport type 2 om te steunen op de beheersingsmaatregelen van de externe serviceorganisatie. Wanneer een auditor dit rapport gebruikt als
controle-informatie voor de effectieve werking van de interne beheersingsmaatregelen bij de serviceorganisatie dient hij na te gaan of het
rapport voldoende en geschikte control informatie verschaft over de effectiviteit van de interne beheersingsmaatregelen om zijn risico
inschatting te ondersteunen.
43
Werkprogramma Casus 2
Vereiste
Controlestandaard
Audit procedure Uitgevoerde Werkzaamheden
Gebruik van een type 2-rapport als
controle-informatie voor de
effectieve werking van interne
beheersingsmaatregelen bij de
serviceorganisatie
NVCOS 402.17
Ga na of het rapport van de accountant van de
serviceorganisatie voldoende en geschikte
controle-informatie verschaft over de effectiviteit
van de interne beheersingsmaatregelen door:
1. te evalueren of de beschrijving, de opzet en
de effectieve werking van de interne
beheersingsmaatregelen bij de
serviceorganisatie van een datum zijn of voor
een periode gelden die passend is voor zijn
doeleinden;
2. te bepalen of de aanvullende interne
beheersingsmaatregelen van de
gebruikersorganisatie die door de
serviceorganisatie zijn vermeld, relevant zijn
voor de gebruikersorganisatie en, zo ja,
inzicht te verwerven in de vraag of de
gebruikersorganisatie dergelijke interne
beheersingsmaatregelen heeft opgezet en
geïmplementeerd en, zo ja, de effectieve
werking ervan te toetsen;
3. te evalueren of de periode waarop de
1. Wij hebben door middel van inspectie vastgesteld dat het type 2
rapport geldig is over 11 van de 12 maanden van de
verslaggevingsperiode. Dit is wat men vaker ziet in de praktijk.
Veel auditors van de klanten van de serviceorganisatie hebben
dit rapport snel na het afsluiten van het financiële boekjaar
nodig en het is voor de auditor van de serviceorganisatie niet
mogelijk om in januari al een type 2 rapport te verschaffen. Wel
is er een verklaring van het management van de
serviceorganisatie dat er in deze laatste periode geen
wijzigingen in de processen en key functionarissen hebben
plaatsgevonden en dat er volgens het management geen
significante bevindingen waren die van invloed zijn op de
werking van de controls. Volgens de controlestandaarden is dit
voldoende om te steunen op de het rapport over de gehele
verslaggevingsperiode.
2. Bij het verwerven van inzicht in de onder COS 402.10 heb ik al
vastgesteld dat bij de gebruikende entiteit
beheersingsmaatregelen in werking zijn die de risico’s van de
verantwoordelijkheden van de gebruikersorganisatie beheersen.
In het type 2 rapport heeft de serviceorganisatie een sectie
geweid aan de nodige aanvullende beheersingsmaatregelen bij
de gebruikersorganisatie “Overwegingen
44
toetsingen van de interne
beheersingsmaatregelen betrekking hebben
adequaat is en de tijd te evalueren die is
verstreken sinds het verrichten van de
toetsingen; en
4. te evalueren of de door de accountant van de
serviceorganisatie verrichte toetsingen van
de interne beheersingsmaatregelen en de
resultaten daarvan, zoals die in diens rapport
zijn beschreven, relevant zijn voor de
beweringen in de financiële overzichten van
de gebruikersorganisatie en of zij voldoende
en geschikte controle-informatie verschaffen
om zijn risico-inschatting te ondersteunen
Gebruikersorganisatie”. Hierbij stelt de serviceorganisatie dat:
“Daar waar de gebruikersorganisatie zelf de mogelijk heeft om
mutaties vast te leggen is de juiste en volledige vastlegging de
verantwoordelijkheid van de gebruikersorganisatie zelf. De
serviceorganisatie heeft beheersmaatregelen gedefinieerd vanaf
het moment dat de gegevens ontvangen worden tot het moment
dat de resultaten verwerkt en opgeleverd zijn.” In de
derdenverklaring is te lezen: “Daar waar de
gebruikersorganisatie de mogelijkheid heeft om zelf
systeemgebruikers te autoriseren is de uitgifte van de toegang
de verantwoordelijkheid van de gebruikersorganisatie zelf. De
serviceorganisatie heeft maatregelen gedefinieerd om
ongeautoriseerd gebruik van data te voorkomen en gaat er
vanuit dat wanneer de gebruikersorganisatie zelf medewerkers
autoriseert, deze toegang terecht is en zelf beheersmaatregelen
op dat gebied implementeert.” “De autorisatie van
betaalgegevens en loonaangifte valt binnen de directe
invloedssfeer van de klant.” Hiermee bevestigt de
serviceorganisatie in het type 2 rapport nogmaals wat wij eerder
al hadden vastgesteld door middel van een evaluatie van de
opzet en bestaan van de relevante interne
beheersingsmaatregelen bij de gebruikersorganisatie.
3. Door middel van inspectie van de ISAE 3402 rapportage heb ik
vastgesteld dat de accountant van de serviceorganisatie twee
toetsingsmomenten heeft toegepast en een rollforward over de
laatste periode. Dit is conform de geldende audit standaard.
4. Hier beoordelen we de reikwijdte de werkzaamheden van de
auditor van de serviceorganisatie en de diensten en processen
45
waar die werkzaamheden betrekking op hebben. In het kader
van het onderwerp van dit onderzoek zullen we ons met name
focussen op de cloud-specifieke risico’s zoals geïdentificeerd in
hoofdstuk 3. Verder evalueren we de toetsingen die zijn verricht
op de interne beheersingsmaatregelen, de resultaten van die
toetsingen en het oordeel van de accountant van de
serviceorganisatie. Zie voor de nadere uitwerking van dit punt
hieronder.
46
De onderstaande sectie is een uitwerking van het laatste punt (402.17.4)van het werkprogramma
van Casus 2 zoals hierboven beschreven. Hierin wordt geëvalueerd of de door de accountant van
de serviceorganisatie verrichte toetsingen van de interne beheersingsmaatregelen en de
resultaten daarvan, zoals die in diens rapport zijn beschreven, relevant zijn voor de beweringen in
de financiële overzichten van de gebruikersorganisatie en of zij voldoende en geschikte controle-
informatie verschaffen om zijn risico-inschatting te ondersteunen.
Nadere uitwerking van NVCOS 402.17.4
Scope rapport en reikwijdte werkzaamheden auditor
Tijdens het lezen van het type 2 rapport is vastgesteld dat het isae 3402 rapport betrekking heeft
op alle SaaS producten van de serviceorganisatie, en dus relevant is voor onze
controlewerkzaamheden in het kader van de jaarrekening.
Verder noteren we dat de gangbare beheersingsmaatregelen van de ITGC controles zijn
opgenomen in het beheersingsraamwerk, dit zijn Change Management, Identity & Access
Management, Computer Operations, IT security en Programme Development.
Ook heb ik vastgesteld dat de type 2 rapportages is opgesteld conform de NVCOS 3402 richtlijnen
die de ‘assurance-rapporten betreffende interne beheersingsmaatregelen bij een
serviceorganisatie’ behandeld.
Oordeel van de auditor van de serviceorganisatie
Als we de type 2 rapportage lezen zien we dat de auditor van de serviceorganisatie een
zogenaamd oordeel met beperking heeft afgegeven omdat er één beheersingsmaatregel niet
effectief is bevonden. Het is zaak voor de IT auditor om samen met de accountant de impact van
deze bevinding te bepalen en indien nodig geacht additionele controle maatregelen uit te voeren.
Cloud Specifieke risico’s
In hoofdstuk drie zijn vijf cloud-specifieke risico’s geïdentificeerd die relevant kunnen zijn
wanneer een cloud applicatie in scope van de jaarrekeningcontrole valt. Deze risico’s zijn relevant
voor de beweringen in de financiële overzichten en zouden volgens COS 402.17.4 beoordeeld
moeten worden in deze sectie.
Risico 1. Flexibele locatie van de data en software
De data die de CSP verwerkt betreft persoonsgegevens en deze dienen volgens de privacy
wetgeving van Nederland vertrouwelijk te worden behandeld en er moeten afdoende
beveiligingsmaatregelen genomen worden om de data te beschermen. Bij het doorlezen van de
ISAE verklaring heb ik vastgesteld dat alle personeelsgegevens in NL worden bewaard, dit
betekent dat enkel de Nederlandse privacy wetgeving van toepassing is, namelijk de Wet
Bescherming Persoonsgegevens (Wbp). Ook heb ik vastgesteld in de rapportage dat de Cloud
Service Provider voldoende beveiligingsmaatregelen heeft getroffen die op grond van de wbp zijn
bepaald. Hiermee is het risico om niet compliant te zijn aan wetgeving voldoende gemitigeerd.
47
Risico 2. Multitenancy, het delen van middelen met andere gebruikers
Omdat het cloud-applicatie is kan men er vanuit gaan dat hardware- en software gedeeld worden
met andere gebruikers. Door middel van inspectie van het type 2 rapport is vastgesteld dat het
onderwerp multitenancy niet ter sprake komt in. Wellicht zijn er interne beheersmaatregelen die
dit risico afdekken, maar deze zijn niet ter sprake gekomen in de rapportage. Ook de afdeling
interne control van de gebruikersentiteit is niet op de hoogte op welke manier de cloud service
provider de scheiding van data van de verschillende gebruikersorganisatie waarborgt. Dit is een
onderwerp dat verdere documentatie van de CSP vergt.
Risico 3. Snelheid en gemak van aanpassen infrastructuur
Dit cloud-specifieke risico is niet behandeld omdat het niet van toepassing is bij deze casus. Dit
punt is besproken tijdens de expert interviews en de analyse is terug te vinden in hoofdstuk 5.
Risico 4. Complexe structuur cloud service providers
Wat opvalt is dat er vijf subserviceorganisaties gedefinieerd zijn die buiten de scope vallen van de
werkzaamheden van de auditor van het type 2 rapport. Deze onderaannemers voeren een deel
van de diensten uit die de serviceorganisatie voor haar klanten uitvoert. Met deze subcontractors
zijn SLA’s afgesloten die de basis vormen voor het uitvoeren van de gewenste dienstverlening en
de beheersingsdoelstellingen die de serviceorganisatie aan de dienstverlening stelt. Het bewaken
van de SLA’s behoort tot de scope van dit ISAE rapport.
Bijvoorbeeld de opslag van data en het beheer van de infrastructuur wordt verzorgd door een
derde partij. Omdat de activiteiten van deze subcontractors ook in scope vallen van de
jaarrekeningcontrole wil de auditor ook assurance over de beheersmaatregelen van deze
uitbestede processen.
Volgens de ISAE rapportage valt de dienstverlening van deze sub service organisaties buiten de
scope van de testwerkzaamheden van de account van deze rapportage. Wel blijkt uit de
rapportage dat subleveranciers aan door eigen ISAE type 2 rapportages aantonen dat deze
activiteiten in voldoende mate worden beheerst. De serviceverlener heeft een control in zijn
beheersingsframework waarmee men jaarlijks beoordeeld aan de hand van de assurance
rapportages van de accountant van de subcontractor, dat de beheersdoelstellingen die zijn
uitbesteed aan subcontractors volgens de eigen beheersdoelstellingen. Inderdaad staat er in de
rapportage een control die luidt:
Leveranciers leveren periodiek assurance rapportages op met betrekking op de overeengekomen
dienstverlening. De rapportages worden in relatie tot de dienstverlening en het
beheersingsraamwerk beoordeeld. Bevindingen worden met de leveranciers besproken. De
voortgang van eventuele bevindingen wordt gevolgd.
In de uitgevoerde testwerkzaamheden wordt de control effectief bevonden en blijkt dat er
bevindingen bij de subcontractors zijn geconstateerd en dat deze effectief worden gevolgd.
48
Omdat de betreffende IT infrastructuur in scope is van de jaarrekeningcontrole zouden we graag
willen weten welke beheersmaatregelen de subcontractors in plaats hebben en welke
bevindingen de auditor van de subcontractors heeft opgemerkt. Daarom achten we het
noodzakelijk om de derdenverklaringen van de relevante subcontractors op te vragen bij de
service provider en deze separaat te beoordelen en te bepalen of er voldoende controle
informatie is beschikbaar is om op de interne beheersingsmaatregelen te kunnen steunen en wat
de impact van mogelijke bevindingen zou kunnen zijn.
Risico 5. Afwijking beheersmaatregelen cloud omgeving met het IT governance framework
De gebruikersorganisatie heeft een IT governance framework in gebruik. Als auditor zouden we
verwachten dat de gecontroleerde organisatie zelf actief de beheersing van de uitbestede
processen bij de externe dienstverleners monitoort. Echter de organisatie heeft de CSP niet in het
eigen IT governanceraamwerk geïntegreerd. De ISAE rapportage wordt op verzoek van de
accountant opgevraagd en slechts informeel beoordeeld door de gebruikersorganisatie zelf.
Hieruit blijkt dat ook bij de klant de kennis om met een assurancebril naar CSP te kijken lijkt te
ontbreken. Een opmerking in de management letter lijkt hier op zijn plaats te zijn.
Slotopmerkingen Casus 2
In tegenstelling tot Casus 1 kunnen wij in deze casus wel gebruik maken van het type 2 rapport
dat beschikbaar is gesteld door de service provider. Echter we kunnen niet zonder meer steunen
op de rapportages van de dienstverlener door enkel het ISAE rapport op te nemen om de ITGC
controls in ons dossier mee af te dekken. De volgende zaken dienen nog uitgevoerd te worden:
De testwerkzaamheden op de werking van de beheersingsmaatregelen die onder de
verantwoording van de gebruikersorganisatie vallen (het opvoeren van
personeelsgegevens, autorisaties van betalingen, toegangsrechten van de medewerkers)
moeten nog uitgevoerd worden. Alsmede het testen van de interface tussen de
salarisadministratie en de financiële administratie moeten uit
Verdere werkzaamheden zijn nodig op de beheersingsmaatregelen bij de subcontractors.
Van de relevante subcontractors moeten de type 2 rapportages beoordeeld worden en de
impact van eventuele bevindingen op de jaarrekeningcontrole bepaald worden.
Er moet inzicht komen in de beheersingsmaatregelen betreffende het multi-tenancy risico
dat cloud computing bij zich draagt. Dit zal bij de CSP additioneel opgevraagd worden.
4.5 Samenvatting Casussen1 & 2
In bovenstaande casussen hebben aan de hand van een werkprogramma gebaseerd op de
controlestandaard NVCOS 402 ‘Controleoverwegingen wanneer een entiteit gebruik maakt van
een serviceorganisatie’ een tweetal audits uitgevoerd op CSPs die diensten verleenden aan de
gebruikersorgansiatie. Hierbij heb ik ook de cloud specifieke risico’s in acht genomen. We hebben
in de praktijk gezien hoe een welke issues een it auditor kan tegenkomen bij de audit van een
cloud applicatie volgens de voorschriften. De twee casussen bleken totaal verschillend van elkaar
te zijn en vergde een goed inzicht in de materie om tot een afgewogen oordeel te komen. De
bevindingen van deze audit vormen een goede basis om de tweede subvraag te beantwoorden:
‘op welke wijze/in hoeverre kan een accountant in de praktijk omgaan met de geldende
49
richtlijnen en cloud risico’s? In het volgende hoofdstuk zullen wij dieper ingaan op deze vraag en
hiervoor heb ik een drietal interviews uitgevoerd met experts. In dit hoofdstuk zullen we een
analyse uitvoeren op de praktijk versus de theorie.
50
Hoofdstuk 5. Analyse en Conclusies
Dit hoofdstuk is de opvolging van het casestudy onderzoek in hoofdstuk 4, waar twee cloud
applicaties uit de praktijk geaudit zijn op basis van de geldende audit standaarden. In dit
hoofdstuk worden de bevindingen geanalyseerd uit het casestudy onderzoek aan de hand van de
theoretische concepten uit de literatuurstudie. Daarnaast zijn een drietal interviews uitgevoerd
met experts in jaarrekeningcontrole, cloud technologie en het auditen van cloud service
organisaties. Tevens wordt een antwoord gegeven op deelvraag twee van deze scriptie. ‘Op welke
wijze kan de accountant in de praktijk omgaan met de geldende richtlijnen en cloud risico’s
wanneer hij te maken krijgt een cloud applicatie tijdens de jaarrekeningcontrole?’
5.1 Analyse bevindingen
5.2 Conclusies
5.3 Beantwoording deelvraag 2
5.1 Analyse bevindingen
In dit onderdeel worden de belangrijkste bevindingen van het casestudy onderzoek beschreven
en geanalyseerd aan de hand van de uitkomsten van het literatuuronderzoek. Daarbij worden ook
de uitkomsten uit de gesprekken met de experts meegenomen in een confrontatie tussen de
theorie en de praktijk.
5.1.1 Verwerven van inzicht
Een belangrijke observatie die naar voren komt in het casestudie onderzoek is de noodzaak voor
de auditor om een goed inzicht te verwerven in de audit situatie. Dit omvat een goed begrip van
de diensten en beheersingsprocessen van de CSP, de verantwoordelijkheden van de
gebruikersorganisatie, de bestaande relevante processen van de gebruikersorganisatie en de
impact op de ingeschatte risico’s van de jaarrekening. Zonder dit inzicht loopt de auditor mogelijk
het risico om verkeerde beslissingen te nemen en dit kan ertoe leiden dat er onvoldoende
controle-informatie beschikbaar is om de beweringen uit de financiële rapportages te
ondersteunen. Het verwerven van voldoende inzicht is een investering die zowel tijd kost voor de
IT auditor alswel voor de controlecliënt. Deze investering kan het beste plaatsvinden tijdens de
planningsfase van de controleopdracht. Op deze manier kan er tijdig ingespeeld worden op
eventuele bevindingen die de algehele aanpak van de controle mogelijk beïnvloeden.
Volgens de experts gebeurt dit in de praktijk te weinig. Men ziet dat wanneer een
serviceorganisatie is geïdentificeerd en een derdenverklaring beschikbaar is, deze verklaring bijna
achteloos wordt gedocumenteerd als zijnde voldoende controle-informatie voor de
dienstverlening van de serviceorganisatie. Er wordt dan nagelaten om een goed begrip te
verkrijgen van de aard en impact van de dienstverlening op de interne beheersing van
gebruikende entiteit en de flow van de transacties van en naar de gebruikersorganisatie. Ook
51
wordt er niet voldoende geëvalueerd op welke manieren in te spelen op risico’s op een afwijking
van materieel belang.
Dit is voor auditors geen nieuws, want ook het AFM is tot eenzelfde conclusie gekomen in het
‘Rapport naar aanleiding van AFM onderzoek naar kwaliteit accountantscontrole en stelsel van
kwaliteitsbeheersing en -bewaking bij negen OOB-vergunninghouders’. Hieruit blijkt dat bij 60%
van de geselecteerde dossiers die het AFM heeft beoordeeld waar de accountant gebruik heeft
gemaakt van de interne beheersing bij serviceorganisaties, dat ernstige bevindingen zijn
geconstateerd, en bij 40% sprake was van minder ernstige bevindingen. Met andere woorden, de
accountant heeft zich onvoldoende kritisch opgesteld ten opzichte van een door de cliënt
ingeschakelde serviceorganisatie en zodoende onvoldoende zekerheid verkregen dat hij kan
steunen op de interne beheersingsmaatregelen bij de serviceorganisatie. Daarnaast heeft volgens
het AFM de externe accountant niet beoordeeld of de accountant van de serviceorganisatie
voldoende deskundig en onafhankelijk is en of de accountant van de serviceorganisatie de voor
hem relevante interne beheersingsmaatregelen in zijn controle heeft betrokken.
Waar tijdens het theoretisch onderzoek bleek dat het verwerven van inzicht belangrijk is voor het
goed uitvoeren van een audit op externe dienstverleners, blijkt uit de interviews en het rapport
van het AFM dat dit in de praktijk vaak niet goed wordt uitgevoerd. Dit punt wordt meegenomen
in het volgende hoofdstuk met de aanbevelingen.
5.1.2 Beoordelen van een derdenverklaring (type 2 rapport)
In beide casestudies zoals uitgevoerd in hoofdstuk 4 was er sprake van een derdenverklaring in de
vorm van een ISAE 3402 type 2 rapport. Dit rapport kan door de accountant gebruikt worden om
te steunen op de interne beheersingsmaatregelen bij de externe serviceorganisatie. Men
verwacht een kritische houding bij de evaluatie van zulks een rapportage.
In de eerste casus bleek dat het type 2 rapport niet geschikt was als controle-informatie en
daarom moest er een andere manier gevonden worden om voldoende comfort te verkrijgen over
de beweringen in de financiële rapportage. Het is van belang dat dit tijdig opgemerkt wordt
omdat dit een grote impact kan hebben op de werkzaamheden die het accountantsteam moet
uitvoeren. In casus twee is de rapportage van de auditor van de serviceorganisatie kritisch
beoordeeld. Hierbij zijn meerdere punten naar voren gekomen die opvolging nodig hadden en
actie vergden van zowel de cloud service provider, de gebruikersorganisatie en het
accountantsteam zelf.
Van de experts is vernomen dat er in de praktijk soms onvoldoende aandacht wordt besteed aan
het beoordelen van derdenverklaringen. Er zijn voorbeelden waar klakkeloos het type 2 rapport in
het dossier wordt gedocumenteerd en geconcludeerd dat de accountant kan steunen op de
dienstverlening van de serviceorganisatie, terwijl bij nader inzien de verklaring niet op de
betreffende diensten betrekking had. Of dat de derdenverklaring niet op de gehele
controleperiode betrekking had en dat er geen follow-up is gepleegd over de periode die niet
gecoverd werd door de rapportage.
Ook het AFM komt in zijn review van audit dossiers met een voorbeeld waar ernstige
tekortkomingen in de interne beheersing bij de service organisatie bleken te zijn volgens de ISAE
52
3402 rapportage van de accountant van de serviceorganisatie. Maar waar de accountant
vervolgens geen adequate evaluatie heeft uitgevoerd of de impact op de jaarrekeningcontrole
bepaald. Deze kwesties worden meegenomen bij de aanbevelingen in het volgende hoofdstuk.
5.1.3 Flexibele locatie van de data en software
Een belangrijke eigenschap van cloud is dat data zich ‘vrij’ beweegt binnen de cloud. Bij
verwerking van gevoelige informatie, waaronder persoonsgegevens is in Nederland de Wet
Bescherming Persoonsgegevens (Wbp) van toepassing. De Wbp stelt vorm en eisen aan de
afspraken die tussen de CSP en de gebruikersorganisatie worden gemaakt. Een van die eisen is dat
persoonsgegevens vertrouwd worden behandeld en dat beveiligingsverplichtingen worden
nagekomen door de serviceprovider. Voor de jaarrekening betreft dit een compliance risico,
namelijk het niet voldoen aan wet- en regelgeving.
Voor het management van de gebruikersorganisatie is dit ook een risico, want die blijft
eindverantwoordelijk voor de verwerking van de data. Als de gebruiker zijn personeelsgegevens
door een serviceorganisatie laat verwerken en vervolgens blijkt dat dit niet volgens de
privacywetgeving gebeurt, kunnen daar gevolgen tegenover staan in de vorm van boetes voor de
cliënt.
In het geval dat privacy gevoelige informatie in het buitenland wordt opgeslagen, iets dat in het
geval van public cloud technologie van toepassing is, moet de CSP zelfs aan alle regels in alle
verschillende landen voldoen. Sterker nog, privacy gevoelige landen mag niet in landen buiten de
EU worden opgeslagen tenzij sprake is van een passend beschermingsniveau in dat land. Men kan
zich voorstellen wanneer klantgegevens in een public cloud omgeving staan en over de hele
wereld kunnen verblijven, het een moeilijke opgave is om aan te tonen voor de gebruiker dat hij
compliant is.
Uit de expert interviews blijkt dat het management van de gebruikersorganisatie vaak niet op de
hoogte is van zijn verantwoordelijkheid om aan de Wbp te voldoen. Een belangrijke reden om
diensten uit te besteden voor het management is juist dat de serviceorganisatie juist beter in
staat is om aan de geldende regelgeving te voldoen. Hier ligt een mogelijkheid voor de accountant
om het management bewust te maken van het feit dat zij te allen tijde verantwoordelijk is over
eigen data ook al is deze in beheer bij een CSP. Als auditor zie je graag dat de
gebruikersorganisatie ‘in control’ is van zijn data en ook weet in welke landen zijn data verblijft.
De auditor zou bij elke engagement waar cloud technologie is betrokken even stil moeten staan
bij dit risico en in het dossier zijn werkzaamheden en evaluatie van zijn bevindingen op dit punt
willen vastleggen. In de praktijk blijkt dit niet altijd voldoende uit de documentatie in het
controledossier.
5.1.4 Delen van middelen met andere gebruikers
Multi-tenancy is het delen van middelen, diensten en software door verschillende gebruikers. Dit
houdt in het delen van fysieke middelen alswel het delen van administratieve diensten. In een
multi-tenancy omgeving komt de nadruk veel meer te liggen op de logische scheiding tussen de
verschillende tenants, dan op fysieke scheiding. Wanneer een auditor een cloud applicatie
53
tegenkomt zal hij inzicht willen verwerven in de technische aspecten van het multi-tenancy en de
bijgaande risico’s en de beheersmaatregelen die de serviceorganisatie hiervoor in plaats heeft.
Tijdens de beoordeling van het type 2 rapport in casus twee hebben we onvoldoende inzicht
verkregen uit de rapportage om te kunnen bepalen of dit risico voldoende wordt beheerd door de
CSP. Er zijn wel generieke IT beheersingsdoelstellingen en controls beschreven in de rapportage
die de bovenstaande risico’s zouden kunnen afdekken, maar de omschrijving hiervan is
onvoldoende specifiek om hier voldoende comfort over te krijgen.
Uit de interviews blijkt dat in de praktijk blijkt dat de (IT-)auditor weinig aandacht besteed aan de
risico’s rondom multi-tenancy. Vaak wordt dit gezien als een security issue en daarom lijkt de
impact op de jaarrekeningcontrole van minder belang. Echter vervuiling van data door
onvoldoende scheiding tussen de virtuele layers van de tenants kan wel degelijk een risico voor de
jaarrekening vormen. Ook zijn er voorbeelden in de praktijk bekend waarbij door menselijke
fouten deze scheiding tijdelijk lek was met als gevolg dat gebruikers data te zien kregen die niet
voor hen bestemd was. Op basis hiervan kunnen we stellen dat wanneer cloud-omgevingen van
toepassing is, de risico’s omtrent multi-tenancy geëvalueerd horen te zijn. Dit wordt
meegenomen in de aanbevelingen in hoofdstuk 6.
5.1.5 Snelheid en gemak van aanpassen infrastructuur
Dit risico heeft betrekking op het identificeren van alle cloud applicaties in scope van de
jaarrekeningcontrole. De identificatie van cloud services die relevant zijn voor de audit kan een
moeilijker zijn omdat cloud diensten veel makkelijker buiten de IT afdeling om ingekocht kunnen
worden. De IT afdeling is niet meer nodig om de applicatie te installeren en onderhouden. Dit
heeft tot gevolg dat IT afdeling niet meer kan meedenken over de IT-risico’s die deze applicaties
met zich meebrengen of betrokken wordt bij de contractuele afspraken die hieromtrent gemaakt
worden met de CSP.
Uit de interviews met de experts alsmede het interview met de medewerker IT bij een van de
casussen blijkt dat dit wel degelijk een issue is dat speelt bij diverse organisatie. De IT afdeling
wordt tot zijn eigen frustratie niet betrokken door de inkopers van SaaS applicaties omdat het IT
aspect van deze diensten is uitbesteed aan de CSP. Het komt in de praktijk voor dat cloud
applicaties pas door de IT afdeling opgemerkt worden door middel van security monitoring
wanneer de SaaS applicatie gebruikt wordt door de gebruikers van de eigen organisatie. Of dat IT
pas op het laatst moment ingeschakeld wordt als toegang tot de firewall nodig is. Hier zien we
een taak weggelegd voor de auditor om het management bewust te maken van de risico’s die
schuilen achter het ongecontroleerd aanschaffen van cloud applicaties zonder de betrokkenheid
van de IT afdeling of een interne IT auditor.
5.1.6 Complexe structuur cloud service providers
Cloud Service Providers hebben vaak onderdelen van hun dienstverlening uitbesteed aan
onderaannemers, de zogenaamde subcontractors. Als deze subcontractors diensten verlenen die
relevant zijn voor de processen rondom de financiële rapportage bij de audit cliënt dient de
accountant hierover voldoende zekerheid te verkrijgen om te kunnen steunen op de rapportages
54
van deze applicaties. In de tweede casus uit het casestudy onderzoek is door middel van inspectie
van het ISAE rapport vastgesteld dat er sprake was van subcontractors in scope voor de
jaarrekeningcontrole. Ook is de conclusie getrokken dat de beschikbare ISAE type 2 verklaring
onvoldoende zekerheid bood om te kunnen steunen op de dienstverlening en het nodig was voor
de IT auditor om follow uit te voeren.
Zowel uit de expert interviews als uit het AFM rapport (2014) blijkt dat hier in de praktijk soms te
kort door de bocht wordt gegaan. Zowel cliënten als accountants zijn niet altijd voldoende scherp
op de interne beheersingsmaatregelen bij de subcontractors. Dit sluit aan bij het beeld dat het
AFM rapport schets waar ISAE rapportages soms klakkeloos in het controledossier worden
gedocumenteerd zonder kritische evaluatie. Meer bewustwording zowel bij de klant als bij de
accountant is nodig om deze risico’s beter te kunnen behandelen.
5.1.7 Afwijking beheersmaatregelen cloud omgeving met het IT governance
framework
Een auditor verwacht dat een applicatie in de cloud is geïntegreerd in het IT governance
framework voor zover dat mogelijk is. Als de CSP niet afdoende beheersmaatregelen in plaats
heeft om de risico’s in het IT governance framework van de gebruiker af te dekken verwacht de
auditor dat het resterende risico door de klant zal worden geëvalueerd en indien nodig eventueel
aanvullende beheersmaatregelen genomen worden.
In beide casestudies zagen we dat de match tussen het bestaande IT governance framework en de
beheersmaatregelen van de CSP niet gemaakt is door de gebruikersorganisatie. Dat wil zeggen dat
de gebruikersorganisatie geen monitoring uitvoert op de beheersingsmaatregelen van de
(sub)serviceorganisatie. In casus 1 is volgens de systeembeheerder simpelweg geen governance
framework voorhanden omdat de gebruikersorganisatie te klein is en er geen middelen voor dit
doel worden vrijgemaakt. In casus 2 is er wel een it governance framework maar de cloud
applicaties maken hier geen onderdeel van uit. Dit heeft tot gevolg dat wanneer er dingen
misgaan bij de CSP, dit niet of te laat onder de aandacht van de gebruikersorganisatie kan komen.
Uit de expert interviews blijkt dat bovenstaande bevinding geen uitzondering is in de praktijk.
Veel cliënten hebben juist de keuze gemaakt voor het gebruik van serviceorganisaties omdat deze
beter zijn in het beheersen van processen en risico’s dan de gebruikersorganisatie zelf. Echter is
management soms niet voldoende bewust dat zij zelf nog steeds aansprakelijk zijn voor als er iets
mis gaat. Bijvoorbeeld compliance aan de Wpg zoals hierboven besproken, als de
serviceorganisatie niet goed om gaat met persoonsgegevens, kan de gebruikersorganisatie
hiervoor aansprakelijk worden gesteld.
Maar ook andere risico’s kunnen een rol spelen, bijvoorbeeld onvoldoende controle over het
doorvoeren van software matige changes kunnen een impact hebben op de integriteit van de
data van de gebruikersorganisatie.
De accountant kan zijn waarde toevoegen door het management bewust te maken van deze
risico’s door bijvoorbeeld een opmerking in de managementletter te plaatsen.
55
5.2 Conclusies analyse casestudy onderzoek
In dit casestudy onderzoek zijn twee casussen uit de controlepraktijk gedocumenteerd. Door
middel van het uitvoeren van een audit op basis van de COS 402 is in de praktijk ervaring
opgedaan welke issues een accountant kan tegenkomen bij een audit van een CSP in scope van de
jaarrekeningcontrole. Daarbij heb ik specifiek aandacht besteed aan de cloud specifieke risico’s.
Deze praktijk ervaring heb ik aangevuld met expert interviews die dagelijks met cloud en
serviceorganisaties werken. In dit hoofdstuk heb ik een analyse gemaakt tussen alle opgedane
kennis in de literatuurstudie en de ervaringen in de praktijk casussen. De belangrijkste conclusies
zijn:
I. Er is veelal sprake van een grote diversiteit aan applicaties, verantwoordelijkheden en
beschikbare controle-informatie. Om tot een goed oordeel te komen is een degelijk
inzicht in de aard van de dienstverlening en de interne beheersingsprocessen bij zowel de
CSP als bij de gebruikersorganisatie noodzakelijk. In de praktijk is er ruimte voor
verbetering op dit punt
II. Wanneer een derdenverklaring (type 2) beschikbaar wordt gesteld door de CSP, is er
behoefte aan een kritische en gestructureerde evaluatie van dit rapport om te bepalen in
hoeverre de accountant kan steunen op de werkzaamheden van de service accountant als
onderdeel van de interne beheersingsmaatregelen bij de controlecliënt. Indien nodig zal
de accountant additionele controle-informatie bij de CSP op willen vragen, bijvoorbeeld
over diensten van de subcontractors of technische specificaties van cloud gerelateerde
risico beheersing.
III. Gevoelige informatie is onderhevig aan complexe wetgeving. De locatie van data in de
cloud is vaak flexibel en dit zorgt voor een verhoogd risico op non-compliance wanneer
gevoelige informatie in de cloud wordt opgeslagen. Uiteindelijk blijft het management
van de cliënt verantwoordelijk voor wat er met de data gebeurt, en niet de CSP. Het
management is hier niet altijd voldoende van bewust, en dit zorgt ervoor dat klanten niet
actief monitoren wat er met hun gevoelige data gebeurt. Dit issue wordt nog belangrijker
met het oog op nieuwe EU privacy wetgeving en de introductie van een zogenaamde
‘meldplicht datalekken’ die binnen afzienbare tijd in werking zal treden.
IV. Multi-tenancy is een risico dat bij de beoordeling van de interne beheersing van CSPs
onderbelicht is.
V. De controle cliënt zelf heeft te weinig aandacht voor de beheersingsmaatregelen bij de
CSP en dit kan resulteren in ‘lekken’ in het eigen interne beheersingsframework.
5.3 Beantwoording deelvraag 2
Hoofdstuk 4 en 5 begon met deelvraag 2: “Op welke wijze kan de accountant in de praktijk
omgaan met de geldende richtlijnen en cloud risico’s wanneer hij te maken krijgt een cloud
applicatie tijdens de jaarrekeningcontrole?”. Het is niet eenvoudig om eenduidig antwoord te
geven op deze vraag. Er is een breed scala aan cloud applicaties die op diverse manieren de
bedrijfsprocessen beïnvloeden. De belangrijkste houvast voor de accountant is de
controlestandaard COS 402 ‘Overwegingen met betrekking tot controles van entiteiten die
gebruik maken van een serviceorganisatie’. Deze controlestandaard beschrijft de minimale eisen
56
aan werkzaamheden van de accountant voor. Echter betreft dit een generieke standaard die
betrekking heeft op alle serviceorganisaties en geen rekening houdt met specifieke risico’s van
een serviceorganisatie en de manier waarop de dienstverlening is geïntegreerd in de
bedrijfsvoering van de gebruikersorganisatie. Het is dus zaak om bij elk individueel geval goed na
te denken over de specifieke risico’s die per serviceorganisatie kunnen verschillen. In geval van dit
casestudy onderzoek blijkt dat een cloud service provider specifieke technische- en compliance
risico’s met zich meebrengt. Om de risico’s goed in te kunnen schatten is het zaak om voldoende
inzicht te verwerven in de dienstverlening en de beheersingsprocessen. Bij voorkeur zal de
accountant een IT-auditor inschakelen die ervaring heeft met het auditen van CSPs en kennis
heeft van de COS 402. Maar ook de IT auditor blijkt in de praktijk nog onvoldoende
werkzaamheden uit te voeren om de gewenste zekerheid te verkrijgen volgens de standaard die
de toezichthouder stelt aan de controle-informatie en de documentatie hiervan. In hoofdstuk zes
zullen we enkele aanbevelingen doen die de accountant kan gebruiken als handvat wanneer hij in
de praktijk geconfronteerd wordt met de dienstverlening van een CSP.
57
Hoofdstuk 6 Aanbevelingen In dit hoofdstuk wordt de derde deelvraag van dit onderzoek behandeld: “In het geval van
uitbesteding van applicaties naar de cloud, welke controlemaatregelen kunnen worden
aanbevolen?” In het vorige hoofdstuk is een analyse uitgevoerd op de bevindingen in de praktijk
en het theoretisch kader uit de literatuur en is er geconcludeerd dat er ruimte is om de controle
van cloud serviceorganisatie in de praktijk te verbeteren. Aan de hand van de vijf belangrijkste
bevindingen uit het casestudy onderzoek zijn vijf aanbevelingen opgesteld met als doel de
controle van een CSP te verbeteren. Deze aanbevelingen bevatten ook aanvullende
controlemaatregelen die de accountant kan uitvoeren in dit kader.
Aanbeveling 1: Vragenlijst ‘Verwerven van Inzicht in de Diensten van de
CSP’
Binnen de controlepraktijk van externe dienstverleners is sprake van een grote diversiteit aan
applicaties, beheersingsprocessen, verantwoordelijkheden en beschikbare controle-informatie.
Om tot een goed oordeel te komen is een degelijk inzicht in de aard van de dienstverlening en de
interne beheersingsprocessen bij zowel de CSP als bij de gebruikersorganisatie noodzakelijk. In de
praktijk blijkt dat de accountant in veel gevallen niet voldoende controle-informatie heeft
verworven mede vanwege onbekendheid met de materie. Er lijkt behoefte aan ‘handvaten’ die de
auditor ondersteuning kan bieden bij het verwerven van inzicht rondom het uitbesteden van
diensten en processen aan een CSP.
Op basis van het literatuuronderzoek, de casestudy en de aanvullende interviews is een
vragenlijst samengesteld die de auditor kan gebruiken als geheugensteun bij het evalueren van de
risico’s wanneer hij een cloud applicatie tegenkomt. Deze lijst is geen vrijbrief voor de accountant
om zelf niet meer na te denken.
Welk proces gebruikt de organisatie om alle cloud applicaties en Cloud Service Providers
in gebruik binnen de organisatie te identificeren? En wie kan overeenkomsten aangaan
met CSPs? Wordt IT governance hierbij betrokken?
Is er een proces dat de performance van de CSP monitoort aan de hand van de SLA?
Zijn de risico’s die met cloud gepaard gaan geïdentificeerd, beschreven en geëvalueerd?
Monitoort de organisatie de beheersmaatregelen bij de CSP aan de hand van de eigen
beheersdoelstellingen?
Heeft de organisatie de impact van deze risico’s bepaald op de bestaande ITGCs en de
ITACs?
Heeft de organisatie inzichtelijk waar de transacties worden uitgevoerd? Inclusief de flow
van de data en informatie die door welke bedrijfsprocessen heen gaan en data die tussen
de eigen organisatie en de CSP over en weer gaan. Een review van de contracten van de
service organisaties en van de rapportages van de CSP kan hierbij helpen.
Is de organisatie in staat om data en informatie bij de CSP op te vragen? Als het audit
team besluit om een substantive steekproef op de data van de CSP uit te voeren. Kan de
organisatie in dat geval de benodigde informatie bij de CSP opvragen? Zijn er restricties
op de transfer van data?
58
Weet de gebruikersorganisatie hoe de serviceorganisatie omgaat met persoonsgegevens
en andere gevoelige informatie? Aangezien deze data tijdens het verwerken rond kan
gaan van datacenter naar datacenter in verschillende landen en jurisdicties.
Heeft de klant een governanceraamwerk geïmplementeerd dat de beslissingen en
controls rondom CSP adresseert?
Wat is de impact van het gebruik van CSP op de IT afdeling? Is er voldoende kennis en
kunde in de organisatie om de implementatie en interactie met de CSP af te handelen?
Heeft de gebruikersorganisatie aanvullende beheersingsmaatregelen geïmplementeerd
aangaande de gebruikerscontrols? Bijvoorbeeld processen en controls die de toegang van
eigen medewerkers beheersen?
Heeft de entiteit de impact van subservice organisatie geëvalueerd en de type 2
rapporten van deze onderaannemers opgevraagd en beoordeeld?
Aanbeveling 2: Kritisch beoordelen van derdenverklaringen
Een ISAE type 2 derdenverklaring wordt steeds vaker door de accountant gebruikt om te
beoordelen of hij kan steunen op de interne beheersingsmaatregelen van de externe
serviceprovider. Het is belangrijk dat de accountant dit rapport op een gestructureerde en
kritische manier beoordeeld. Op basis van de het casestudy onderzoek zijn een aantal kritische
punten naar voren gekomen die de accountant altijd in acht dient te nemen:
Beoordeel of de accountant van de serviceorganisatie vakbekwaam is en onafhankelijk
van de serviceorganisatie.
Beoordeel of de standaarden op basis waarvan het type 2 rapport is uitgebracht,
adequaat zijn.
Beoordeel of de scoping van de dienstverlening relevant is voor de controle van de cliënt
en of welke werkzaamheden betrekking hebben op subcontractors die een deel van de
dienstverlening van de serviceorganisatie op zich nemen.
Beoordeel of de rapportage geldig is voor een periode die passend is voor de doeleinden.
Geef ook specifiek aandacht aan de periode die niet gedekt wordt door de rapportage en
vraag indien nodig additionele informatie op bij de serviceorganisatie.
Beoordeel of aanvullende beheersingsmaatregelen bij de gebruikersorganisatie relevant
zijn.
Beoordeel of de perioden waarin de testwerkzaamheden hebben plaatsgevonden voor de
werking van de controls adequaat zijn.
Maak een aansluiting tussen de controledoelstellingen en bijbehorende controls in het
dossier (SOLL) en de beheersingsdoelstellingen en controls in de type 2 rapportage (IST).
Evalueer eventuele verschillen tussen SOLL en IST en bevindingen van de accountant van
de serviceorganisatie. Beoordeel de impact op de mate waarin de accountant kan steunen
op de interne beheersingsmaatregelen en definieer eventuele mitigerende controls of
aanvullende controlewerkzaamheden om voldoende comfort te krijgen.
Houd bij de controledoelstellingenrekening met cloud specifieke risico’s zoals de flexibele
locatie van data en multi-tenancy.
59
Aanbeveling 3: Locatie van de data en privacy wetgeving
Nieuwe privacy wetgeving vanuit de EU en de introductie van een meldplicht ‘datalekken’ die
binnen afzienbare tijd in werking zal treden, kan serieuze gevolgen hebben, in de vorm van boetes
of reputatieschade, voor organisaties niet compliant zijn. Het uitbesteden van de opslag van
persoonlijke gegevens is geen vrijbrief voor het management van de gebruikersorganisatie, want
het management is te allen tijde zelf verantwoordelijk voor het naleven van de Wpb. Het is aan te
bevelen om in een tijdig stadium hierover de discussie aan te gaan met het management zodat
deze bewust wordt van de risico’s.
Aanbeveling 4: Aandacht voor multitenancy
Multi-tenancy is een risico dat bij de beoordeling van de interne beheersing van CSPs onderbelicht
is. Het is aan te bevelen dat de accountant tijdens de planningsfase dit risico bespreekt met zijn
cliënt en met de CSP. Indien nodig kan de cliënt alvast additionele documentatie opvragen bij de
CSP.
Aanbeveling 5: IT governance en CSP
De algemene teneur is dat controle cliënt zelf te weinig aandacht heeft voor de
beheersingsmaatregelen bij de CSP. In de praktijk ziet men dat de externe dienstverlener niet is
opgenomen in het interne IT beheersingsframework van de gebruikersorganisatie. Wanneer de
gebruikersorganisatie zelf niet proactief de beheersingsdoelstellingen en uitkomsten van audits
van de externe serviceverlener monitoort kan dit voor onaangename verrassingen zorgen
wanneer er tijdens de jaarrekeningcontrole bevindingen boven water komen. Het is zaak voor de
accountant om in een tijdig stadium hierover met het management in gesprek te gaan zodat
indien nodig de cliënt nog mitigerende maatregelen kan treffen en de interne
beheersingsmaatregelen van de CSP kan opnemen in de het eigen IT beheersingsframework.
60
Bijlagen
BIJLAGE A. Cloud Computing Deployment en Service Delivery Modellen
Service Delivery Modellen
Intrastructure as a Service (IaaS)
IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden aangeboden via
het internet. De hardware laag die onder meer servers, netwerkapparatuur en de
storageapparatuur bevat, is eigendom van de service provider.
De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en dataopslag hij wil
beschikken en welk besturingssysteem hierop moet draaien. Vervolgens wordt deze configuratie
gevirtualiseerd aangeboden. Het opschalen van recources is, doordat de recources gevirtualiseerd
zijn, eenvoudig en meestal geheel automatisch (zonder tussenkomst van de service provider) te
realiseren.
61
Platform as a Service (PaaS)
PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting voorzieningen als
platform wordt aangeboden via het internet. Als toevoeging op IaaS worden zaken als databases,
portals en Enterprise Service Bus (ESB) vooraf geconfigureerd door de service provider. Vaak
gebruiken de afnemers de PaaS diensten voor ontwikkel en testwerkzaamheden. Tevens wordt
PaaS toegepast voor Hybrid omgevingen waarbij de afnemer over integratiefaciliteiten beschikt
voor het koppelen van een eigen omgeving aan de Cloud omgeving.
Software as a service (SaaS)
SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet. Deze laag
draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd ondergebracht bij één service
provider. Het kan voorkomen dat de SaaS aanbieder onderliggende lagen afneemt bij andere
providers (bijvoorbeeld Amazon VPC).
Cloud Computing Deployment Modellen
Er worden vier verschillende deployment modellen onderkend bij Cloud Computing:
Private cloud
Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een
bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of door een
derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de middelen kunnen
zijn.
Community Cloud
Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke
gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen als een
Private Cloud.
Public Cloud
De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze infrastructuur is
eigendom van de leverancier en de afnemers van de dienst zijn geen eigenaar van de middelen.
Hybrid Cloud
Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren (private,
community, public) worden gekoppeld.
Essentiele Karakteristieken van Cloud Computing gebaseerd op
diensten
De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier zijn van
elkaar gescheiden via een „service interface'. Die interface verbergt de implementatiedetails en
maakt een geautomatiseerde respons mogelijk.
Schaalbaar en elastisch
62
De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of omlaag
worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en elastisch.
Schaalbaarheid
Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen. Doordat Cloud
Computing als een dienst wordt geleverd kan onderscheid gemaakt worden tussen functionaliteit
en techniek. De klant ziet de functionaliteit en de aanbieder bepaalt de techniek. Door deze
scheiding is de aanbieder in staat om standaardisatie verder door te voeren. De virtualisatie
software zorgt ervoor dat er eenvoudig virtuele hardware componenten aan de infrastructuur
kunnen worden toegevoegd, zodat de klant on-demand meer resources tot zijn beschikking krijgt.
Door het te delen met meerdere afnemers wordt de overcapaciteit of tekorten met de gehele
groep van afnemers gedeeld. De verschillende tijdszones zorgen ervoor dat de kantoortijdpieken
niet gelijk vallen.
Elasticiteit
Dit is een kenmerk van het economische model: het betekent dat het er niet of nauwelijks
economische sancties staan op het veranderen van de hoeveelheid capaciteit die wordt
afgenomen.
Gedeeld met meerdere afnemers
Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT
middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief goedkoop
kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk delivery model
gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en respectievelijk de applicatie
gedeeld.
Betalen per gebruikseenheid
Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende
betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in termen van
bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de apparatuur.
Internettechnologie
De dienst wordt geleverd via breedband gebruik makend van internetformaten en protocollen,
zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of locatie. Bij sommige
Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie een deel van de service of
roulerend) geleverd.
63
BIJLAGE B. Het cloud concept uitgelegd vanuit het business perspectief.
Iedereen die in recente jaren gebruik heeft gemaakt van e-mailaccounts zoals Yahoo of Gmail,
heeft ook indirect gebruik gemaakt van cloud computing. Het is locatie-onafhankelijke, op
webgebaseerde computing en maakt gebruik van virtuele servers op aanvraagbasis. Gebruikers
betalen voor verbruik en zodoende biedt het cloud computing model elasticiteit in zowel diensten
als ook in uitbreidbaarheid van gebruik.Schattingen tonen aan dat een traditioneel stand-alone
GG systeem vrijwel nooit meer dan 20%, en zo laag als 5%, van haar processorkracht verbruikt op
elk gegeven ogenblik (Amburst et all, 2011).
Al sinds de jaren 60 voorspellen vooruitstrevende denkers dat computing uiteindelijk
georganiseerd zal worden als een dienst van openbaar nut, naast stroom, gas, water en telefonie
(Gary Anthes, "Security in the Cloud," Communications of the ACM, November 2010). Wanneer
personen bijvoorbeeld stroom nodig hebben, betalen ze volgens een “pay as they go” principe.
Op deze manier is er ongelimiteerde toegang tot een ogenschijnlijk ongelimiteerde voorraad van
de voorziening, terwijl er enkel betaald wordt voor het daadwerkelijke verbruik. Cloud computing
biedt service providers de mogelijkheid om hun computing middelen te delen met veel abonnees,
die de bezettingsgraad verbetert en ook de kosten vermindert. Sommige experts voorspellen dat
binnen vijf tot tien jaar zo’n 90% van de wereldwijde computing en dataopslag via de cloud plaats
zal vinden, terwijl cloud computing applicaties een voorspelde vijfvoudige groei zullen meemaken
in de komende vijf jaar (Hawser, 2013).
Business voordelen van Cloud
Hoewel de belofte van financiële besparingen als aantrekkelijk lokmiddel geldt voor cloud
computing, liggen de beste kansen voor de cloud waarschijnlijk bij bedrijven die processen willen
stroomlijnen en innovatie willen vergroten. Op deze wijze wordt de productiviteit verhoogd en
worden bedrijfsprocessen getransformeerd met middelen die voorheen, zonder de cloud, te duur
waren. Organisaties kunnen zich richten op hun core business, zonder zich zorgen te hoeven
maken over de schaalbaarheid van infrastructuur. Het oplossen van pieken in bedrijfseisen qua
uitvoering kan makkelijk worden bereikt door middel van cloud computing – wat vertaald wordt
naar betrouwbare back-ups, meer tevreden klanten, een verhoogde schaalbaarheid en nog
hogere marges.
Een paar van de belangrijkste zakelijke voordelen van de cloud zijn:
Kostenbeheersing: De cloud biedt bedrijven de optie van schaalbaarheid, zonder de
serieuze financiële verplichtingen die normaliter verplicht zijn om infrastructuur aan te
schaffen en te onderhouden. Met cloud diensten zijn er vrijwel geen kosten qua
kapitaalvoorschot. Diensten en opslag zijn beschikbaar op aanvraag en hanteren de prijs
van een ‘pay-as-you-go’ dienst. Bovendien kan het cloud model helpen bij
kostenbesparingen, zoals geld/middelverkwisting. Besparen op ongebruikte serverruimte
biedt bedrijven de mogelijkheid om kosten te beheren qua bestaande technologie-eisen
en om te experimenteren met nieuwe technologieën en diensten, zonder dat een grote
investering noodzakelijk is. Bedrijven zullen hun huidige kosten moeten vergelijken met
de mogelijke kosten van de cloud en modellen voor TCO moeten overwegen om te
kunnen begrijpen of cloud diensten inderdaad het bedrijf kosten kan besparen.
64
Urgentie: Early adopters (vroege instappers) van cloud computing noemden het
vermogen om een dienst te verkrijgen en te gebruiken binnen één dag. Dit kan worden
vergeleken met traditionele IT projecten, waarvan de implementatie van de middelen
(bestellen, configureren, operationaliseren) weken, zo niet maanden, kan duren. Dit heeft
een fundamentale weerslag op de behendbaarheid van een bedrijf en kostenbesparingen
gerelateerd aan tijdvertragingen.
Beschikbaarheid: Cloud providers hebben de infrastructuur en bandbreedte om aan
zakelijke eisen zoals high-speed toegang, opslag en applicaties te voldoen. Aangezien deze
providers vaak redundante paden hebben, brengt dat de mogelijkheid van load-balancing
met zich mee om er zorg voor te dragen dat systemen niet overbelast raken en diensten
niet vertraagd zijn. Dus terwijl beschikbaarheid kan worden beloofd, dienen klanten er
wel zorg voor te dragen dat ze voorzieningen hebben tegen dienstonderbrekingen.
Schaalbaarheid: Met ongeremde capaciteit bieden cloud diensten een verhoogde
flexibiliteit en schaalbaarheid voor veranderende IT behoeften. Het leveren van
voorzieningen en de implementatie gebeurt op aanvraag, zodat verkeersdrukte goed kan
worden opgevangen en de tijd voor de implementatie van nieuwe diensten kan worden
verkort.
Efficiëntie: Het herschikken van operationele activiteiten zoals information management
naar de cloud, biedt bedrijven een unieke kans om de focus te verleggen naar innovatie,
research en ontwikkeling. Dit maakt bedrijfs-en productgroei mogelijk en kan
mogelijkerwijs nog gunstiger zijn dan de financiële voordelen van de cloud.
Veerkracht: Cloud providers hebben mirror oplossingen die gebruikt kunnen worden in
rampscenarios en ook om verkeer te load-balancen. Of er nu een natuurramp is waardoor
een site in een andere geografische locatie nodig is, of er veel verkeer ontstaat, cloud
providers verklaren dat ze de veerkracht en capaciteit zullen hebben om beschikbaarheid
te garanderen doorheen een onverwachte gebeurtenis.
Het uitgangspunt van de cloud is dat door delen van information management en IT operations te
outsourcen, bedrijfsmedewerkers vrij zullen zijn om processen te verbeteren, productiviteit te
verhogen en te innoveren terwijl de cloud op een slimmere, snellere en goedkopere manier de
operationele activiteiten waarborgt. Ervan uitgaande dat dit het geval is, zullen aanzienlijke
veranderingen aan bestaande bedrijfsprocessen gepaard moeten gaan met de kansen die cloud
diensten bieden.
65
BIJLAGE C. Cloud uitgelegd vanuit het IT perspectief
De op grote schaal commerciële voorziening van IT diensten via het internet, vanuit gedeelde
pools van IT middelen, is echter enkel economisch gangbaar geworden dankzij een aantal relatief
recente ontwikkelingen. Allereerst zijn de bestaande technologieën, van welke virtualisatie,
webdiensten, gedeelde gegevenscache en grid computing de belangrijkste zijn, gedurende de
laatste vijf jaar verfijnd, gestandaardiseerd en wijd toegepast. Ten tweede zijn publieke
breedbandnetwerken overvloedig geworden en zijn ze direct beschikbaar tegen een redelijke
prijs. Ten derde hebben sommige providers de schaal van hun IT middelen enorm vergroot, dat ze
vandaag de dag tot sleutelspelers op de markt van cloud computing heeft gemaakt. Hieronder
een aantal kernbegrippen in de technologie die in cloud-computing een essentiële rol spelen.
Virtualisatie
Het proces van het toevoegen van een ‘gast-applicatie’ en data op een ’virtuele server’,
erkennende dat de gast-applicatie uiteindelijk afscheid zal nemen van deze fysieke server.
Webdiensten
Een webservice is een communicatiemethode tussen twee elektronische toestellen over het
wereldwijde web. Een webservice is een softwarefunctie die aangeboden wordt vanuit een
netwerkadres op het internet of de cloud; een service die ‘altijd aan’ is volgens het concept van
utility computing.
Gedeelde Gegevenscache
Een cache (uitgesproken als CASH) is een plaats om iets tijdelijk op te slaan. Computers gebruiken
caches doorheen verschillende operationele niveaus, zoals het cache geheugen en de schijfcache.
Gedeelde gegevenscaching kan ook voor internet content worden geïmplementeerd door het
naar meerdere servers te verspreiden die periodiek worden ververst.
Grid computing
Onder Grid Computing wordt de collectie van computermiddelen vanuit verschillende locaties
verstaan om zodoende een gemeenschappelijk doel te bereiken. De Grid kan worden gezien als
een distributiesysteem met niet-interactieve werklasten dat een groot aantal bestanden met zich
meebrengt. Wat Grid Computing van meer conventionele high-performance computing systemen
zoals cluster computing onderscheidt, is dat grids vaak losser aan elkaar gekoppeld zijn,
heterogener zijn en geografisch verspreid zijn. Alhoewel een enkele grid toegewijd kan zijn aan
een specifieke applicatie, wordt een grid normaliter toegepast voor verschillende doeleinden.
Grids worden vaak gebouwd met standaard grid middleware software libraries.
Buiten deze bestaande technologieën combineer cloud computing ook verschillende technische
innovaties van de laatste 10 tot 15 jaar die haar fundamentele technische bouwstenen vormen,
zoals:
SOA – een bibliotheek met bewezen, functionele software applet die samen tot een
nuttige applicatie kunnen worden verbonden.
Application Programming Interfaces (API) – Tags om applets over het internet te sturen.
66
XML – Identifier tags die aan informatie zijn bevestigd (data, pagina’s, foto’s, bestanden,
velden, etc.) zodat de informatie in staat is om naar aangewezen applicaties op het
internet te worden verstuurd.
Simplistisch gesproken zou iemand hetzelfde naar SOA kunnen kijken als naar het ontwerpen van
een ketting. De kraaltjes zijn de SOA applets, terwijl het koord het internet is dat de applets
samenvoegt. Dit is meestal een vrij complexe, matrix-type ketting, verweven met verschillende
applet selecties, afhankelijk van de specifieke output-waarden van de vorige applet. API en XML
worden gebruikt om webgebaseerde SOA applicaties te verbinden. Hoewel de voortvloeiende
SOA applicatie meer werkende code nodig heeft dan een soortgelijke applicatie die perfect van de
grond af is ontworpen, is het gemak van het ontwerp samen met de kostbesparing op
ontwikkelingstijd door het maken van een op “kralen-gebaseerde” SOA applicatie iets dat de extra
lineaire kosten ver overstijgt.
Verder zijn er nog vele componenten en termen die gebruikt worden in cloud computing die
kunnen helpen om de interne werking van cloud technologie te begrijpen. Enkele van deze
termen zijn:
Hypervisor— Een computerhulpmiddel dat verscheidene software applicaties, die op
verschillende besturingssystemen draaien, toestaat om naast elkaar te bestaan op
dezelfde server en op hetzelfde moment. Dit betekent dat Windows, Java, Linux, C++,
Simple Object Access Protocol (SOAP) en op Pearl-gebaseerde applicaties gelijktijdig op
dezelfde machine kunnen draaien. De hypervisor is de activerende technologie voor
server virtualisatie.
Dynamische partitionering— De variabele toewijzing van CPU kracht en geheugen naar
meerdere applicaties en data op een server. Het staat ook bekend als logische
partitionering (LPAR). Dynamische partitionering biedt variabele CPU- en
servergeheugencapaciteit aan de verschillende, tegelijkertijd-opererende applicaties
indien nodig. Dit is belangrijk vanwege de variabele processorvereisten die ondervonden
zijn met batchtaken en real-time processing. Meerdere gelijktijdige applicaties kunnen
ongeveer gelijke CPU cycles en geheugenporties nodig hebben, maar in sommige gevallen
kan één applicatie een veel grotere dosis processorsnelheid en geheugenruimte vereisen
om output vertragingen te voorkomen. Dynamische partitionering herschikt processor en
geheugencapaciteit waar het nodig wordt geacht.
OS, applicatie- en data migratie— Het proces van het migreren van data, de applicatie en
de onderliggende OS naar een andere server. Dynamische partitionering herschikt de
processorkracht en geheugencapaciteit van de server automatisch en onmiddellijk waar
het nodig wordt geacht. Wanneer de hypervisor echter opmerkt dat de eisen van de
verschillende applicaties voor de paardenkracht van de host server te hoog liggen,
bestaan er hulpmiddelen om data, de applicatie en de onderliggende OS op een andere
server, die als beschikbaar is aangemerkt, onder te brengen
Cloud cliënt verbruiksmeting– Het vermogen om het verbruik van de CPU, input/output
en geheugenverbruik per klant, per applicatie te meten. Dit ‘measured service’
hulpmiddel maakt het mogelijk voor CSP’s die de servers beheren om hun klanten
gebruikskosten aan te rekenen, gebaseerd op het daadwerkelijke verbruik van de
processor.
67
BIJLAGE D. Evolutie van de Cloud
Cloud computing allesbehalve nieuw. Het is gebouwd op bestaande infrastructuur en processen.
Zoals aangetoond op figuur 2.1, heeft cloud computing veel overeenkomsten met de computer
processing methodes van de jaren 60 en 70. Veertig jaar geleden was computing bijvoorbeeld
gecentraliseerd binnen bedrijven met grootschalige operaties die interfaces gebruikten met
mainframe computers. User interfaces waren hoofdzakelijk beperkt tot ‘domme’ terminals of
ponskaarten. De jaren 80 bracht ons middelgrote computers en mini-computers, dat het mogelijk
maakte om computer processing te verspreiden en om makkelijker toegang ertoe te verkrijgen.
Met het aannemen van het Windows® OS in de jaren 90 werd computer processing verder
verspreid via client-server- of enkel cliënt- applicaties, naar vrijwel iedere desktop op kantoor,
fabriek of magazijn binnen een bedrijf.
Vandaag de dag brengt cloud computing gebruikers terug naar gecentraliseerde verwerking.
Diensten worden verleend door hosts op het internet. Doorheen het wereldwijde web wordt
cloud computing gezien als het nieuwe mainframe. De evolutie van de cloud kan worden gezien
als de progressieve integratie van het internet met computer processing, dataopslag en het
ophalen van gegevens. Figuur 2.2 illustreert het online perspectief van de evolutie van cloud
computing.
68
Eerste blootstellingen van gebruikers aan de cloud kwamen opzetten toen e-mail werd
aangeboden aan internet-verbonden computergebruikers in het begin van 1990, dit staat nu
bekend als Internet-Service-Provider (ISP) 1.0 (figuur 2.2).
In het ISP 2.0 stadium evolueerde één-op-één berichtenuitwisselingen tot groepsuitwisselingen
via websites. Grafische informatie (content pagina’s opgeslagen op internet-verbonden
computers) leverde allerlei soorten informatie van websitebeheerders aan internetgebruikers. Dit
was eerst ‘vaste’ of statische informatie, maar veranderde al snel naar dynamische of real-time
informatie op het gebied van weer, verkeer of nieuws. Dynamische website informatie toonde
ook huidige marketing informatie, voorraden, productprijzen, en leveringsinformatie voor zowel
consumenten als bedrijven De servers die deze websites beheerden, waren of geplaatst op het
terrein van de ondersteunende organisatie met voldoende internetbandbreedte, dan wel op co-
locatie bij ISP’s, dat, dankzij hun business model, ruim voldoende bandbreedte in hun bezit
hadden om website/browser interactie op adequate wijze toe te laten.
ISP 3.0 is het stadium in de cloud computing evolutie dat outsourced serverlocaties aanbiedt (co-
locatie). Dit vond plaats in de latere jaren 90 waar co-locatie klanten ‘third-party best-practice
expertise’ in het managen van informatieverwerking verschafte. Klantgebruikers navigeerden
vanaf hun desktops door het internet om interne applicaties te openen die extern gehost werden.
Co-locatie gaf klanten die e-commerce websites hadden ontwikkeld ook de mogelijkheid om
online shopping diensten aan te bieden zonder de lange, vervelende wachttijden van
69
paginadownloads, dankzij voldoende bandbreedte. In zowel ISP 2.0 en 3.0 werd aan
hostgebruikers gedeelde internet bandbreedte aangeboden door de co-locatie service providers,
bijvoorbeeld ‘resource pooling’ (bronnenpools).
ISP 4.0 arriveerde aan het begin van de 21e eeuw. Op dat moment werd de directe voorganger
van het huidige SaaS service model aangeboden aan bedrijven door Application Service Providers
(ASP’s). ASP’s leverden klanten traditionele software applicaties voor één klant, meestal op één
server. Door het gebruik van een ASP hoefde een bedrijf geen software-acquisitiekosten meer te
betalen naast de normale jaarlijkse gelden, die konden oplopen tot zo’n 18-20% voor technische
support, softwareonderhoud en upgrades. ASP klanten huurden louter het gebruik van een
applicatie en de servercapaciteit van de ASP, en waren verbonden via het web.
ISP’s waren ook verantwoordelijk voor het onderhouden van hoge niveaus van uptime, ook wel
vaak “drie negens” (99,9%) of “vier negens” (99,99%) genoemd, etc. ASP’s van goede kwaliteit
handhaafden op zijn minst dubbele toegangspunten naar het internet via verschillende Netwerk
Service Providers (NSP’s), dankzij twee fysiek gescheiden kabels, wat zorg droeg voor blijvende
connectiveit mocht een NSP wegvallen. Veel ASP’s handhaafden bijgewerkte applicatieversies en
wat we nu “patch management” noemen – applicatie-upgrades en beveiliging- of bugfixes.
ASP’s profileerden zich op de markt met de boodschap dat ze klanten voorzagen van betere
applicatiebeschikbaarheid- en prestatie, tegen kosten die ver onder een daadwerkelijke aanschaf
plus support van een interne bedrijfsapplicatie lagen. ASP’s waren alweer een andere portie in de
evolutie naar de cloud computing ‘resource pooling’ van vandaag.
ISP 5.0 is de volgende evolutie in cloud computing en vertegenwoordigt de huidige stand van
zaken. Veel ASP’s zijn geëvolueerd naar SaaS als webgebaseerde SOA applicaties voor gebruik
door meerdere huurders die tegelijkertijd dezelfde applicatie draaien op dezelfde server(s).
Dankzij het gebruik van Extensible Markup Language (XML) tags verklaren SaaS providers dat
klantgegevens van elkaar kunnen worden gescheiden, ook al delen alle klantgegevens hetzelfde
geheugen. Er wordt van SaaS providers verwacht dat ze alle vereiste beveiligingsmiddelen leveren
en de applicaties en OS patches beheren wanneer dat nodig mocht zijn. Daarnaast zijn er
kostbesparingen vanwege een verminderd verbruik van zowel de server, stroom als koeling die
kunnen worden doorgegeven aan de klant, omdat SaaS providers de maximale serverbezetting
gebruiken op basis van het cloud computing model.
70
Referenties: AFM, (2014). “Uitkomsten Onderzoek Kwaliteit Wettelijke Controles Big-4
accountantsorganisaties.” Amsterdam: www.afm.nl
Armburst et al., “Above the Clouds: A Berkely View of Cloud Computing,”Technical Report
No.UCB/ EEXS-2009-28, 2009).
Blokdijk, H. (2011). “Rijkwijdte COS 402: Verontrustende Conclusie.” www.deaccountant.nl
Chung, M., (2011). “Assurance in the Cloud, the impact of cloud computing on financial
statements.” Compact.nl
CSA, (2014). “Cloud Computing Service Delivery and Deployment Model. ”Cloud Security
Alliance: https://cloudsecurityalliance.org
CSA, (2014). “Cloud Control Matrix v3.0.1.” Cloud Security alliance:
www.cloudsecurityallince.org/research/ccm
CSA, (2014). “Security Guidance and Critical Areas of Focus in cloud Computing V2.1.”, Cloud
Secruity Allicance: www.cloudsecurityalliance.org/csaguide.pdf
Fijneman R., Roos Lindgren E., Ho K.H., (2006). “IT-auditing en de Praktijk.” Den Haag: SDU
Uitgevers
Hawser, A., (2009). "Cloud Control: Businesses Looking for Cost-effective Data and GG
Infrastructure Solutions Are Increasingly Finding the Answer Is in the Cloud," Global Finance.
IIA, (2012), “ISAE 3402 en de internal auditor, Praktijkhandleiding.” Naarden: www.iia.nl
KAM, (2012). “KAM alert Cloud Services.” Amstelveen: KPMG.
Luftman, J. N., H. S. Zadeh, B. Derksen, M. Santana, E. H. Rigoni and Z. D. Huang (2012). “Key
information technology and management issues 2011–12: an international study.” Journal of
Information Technology 27.
Mather, T., Subra, K., Shahed L., (2011). “Cloud Security and Privacy.” USA: O’Reilly Media,
Inc.
NBA (Nederlandse Beroepsvereniging Accountants), (2015).”Handleiding Regelgeving
Accountancy”, Amsterdam: NBA, www.nba.nl/HRAweb/HRA1/201503/index.html
NV COS 402,(2015). “Overwegingen met betrekking tot controles van entiteiten die gebruik
maken van een serviceorganisatie.” NB A (HRA): Amsterdam
NV COS 3402,(2015). “Assurance-rapporten betreffende interne beheersingsmaatregelen bij
een serviceorganisatie.” NB A (HRA): Amsterdam
Mell, P., Grance, T., (2011). “The NIST definition of Cloud Computing.” US Department of
Commerce; National Institute of Standards and Technology.
Ryan, M.D. (2011). "Cloud Computing Privacy Concerns on Our Doorstep." University of
Birmingham.
Schellevis, W., Van Dijk, V., (2014) Jaarrekeningcontrole in het MKB: IT audit geintegreerd in
de controle-aanpak, Amsterdam: Norea
Vaassen, E.H.J., Bollen, L.H.H., Hartmann, F.G.H., Meeuwissen, R.H.M., Vluggen, M.P.M.
(2005). Informatie en control: basisboek. Groningen, Wolters Noordhoff.
Yin. R.K, (2014). “Case Study Research: Design & Methods (Applied Social Research
Methods).” Sage: Los Angeles.
