ºÝºÝߣ

ºÝºÝߣShare a Scribd company logo

Tpa

•
•
nieuwe bomen | bureau voor content marketing
nieuwe bomen | bureau voor content marketing
1 of 14
Download to read offline
Studiemiddag Third Party Assurance   Mazars Tower, Amsterdam 8 juni 2010
Agenda Logo client   16.00 Welkom – Louis van Garderen   16.15 Third Party Assurance – Marcel Fikke   17.00 Pauze   17.20 Juridische aspecten – Cordemeyer & Slager   18.30 Afsluiting en borrel 2
Profiel Marcel Fikke Logo client   http://nl.linkedin.com/in/marcelfikke   http://twitter.com/marcelfikke   Senior Manager IT Audit   Bijna 16 jaar werkzaam bij Mazars ►  Registeraccountant (RA) ►  Certified Information Systems Auditor (CISA)   Mazars Management Consultants ►  Ondersteuning jaarrekeningcontrole ►  Third Party Assurance 3
Third Party Assurance Logo client   Wat is het?   Doel: ►  Afleggen van verantwoording over de kwaliteit van de geleverde diensten 4
Waarom Third Party Assurance? Logo client   Voordelen service provider ►  Laten zien dat kwaliteit wordt geleverd (imago, marketinginstrument) ►  Kunnen afleggen van verantwoording aan klanten over geleverde diensten ►  Betere beheersing van de eigen organisatie ►  Minder fouten en snellere ontdekking en herstel leiden tot lagere beheerkosten ►  Meer vertrouwen van de klant leidt tot een betere klantrelatie ►  Slechts één audit in plaats van meerdere audits door verschillende auditors, dus minder belasting voor de eigen organisatie ►  Minder klanten en externe auditors die kennis krijgen van de eigen bedrijfsvoering   Voordelen klant (‘user organization’) ►  Inzicht in de kwaliteit van het stelsel van beheersmaatregelen bij de service provider ►  Inzicht in de eventueel aanvullend noodzakelijke beheersmaatregelen in de eigen organisatie ►  Inzicht in de mate waarin de service provider haar afspraken nakomt ►  Meer vertrouwen in de service provider leidt tot een betere relatie ►  De service provider wordt scherp gehouden 5
Soorten Third Party Assurance Logo client   Third Party Mededeling (TPM) ►  Rapport van feitelijke bevindingen op basis van COS 4400 / ISRS 4400 ►  Assurance rapport op basis van COS 3000 / Standaard 3000 / ISAE 3000   SAS70 … as amended ►  Rapport waarin de serviceorganisatie beschrijft hoe zij de processen beheerst ►  Externe auditor voegt een rapportage toe aan dit rapport ►  Twee typen rapporten ►  SAS70 is geen certificaat ►  SAS70 is geen norm ►  SAS70 zegt niks over de mate van interne beheersing   SSAE 16 ►  Voor rapportageperioden die eindigen na 15 juni 2011 6
Soorten Third Party Assurance Logo client   ISAE 3402 ►  Wereldwijde standaard ►  Lijkt sterk op SAS70 ►  Geen bredere scope dan SAS70: ook ISAE 3402 is alleen gericht op financiële processen   ISO 27001 ►  Informatiebeveiliging ►  Kwaliteitscertificaat   TÜV IT ►  Kwaliteitsnorm voor de softwareproducerende industrie ►  Onderzoek uitgevoerd op basis van geautomatiseerde analyse van de broncode 7
Keuzecriteria Logo client   Imago in de markt   Doelgroep   Assurance rapport versus certificaat   Processen   Rapportage   Kosten 8
Werkwijze Logo client   Te beantwoorden vragen (Strategiefase): ►  Welke afspraken zijn overeengekomen met de klant ►  Wat is de scope ►  Welke kwaliteitsaspecten ►  Wat is de diepgang / gewenste mate van zekerheid ►  Wat is de reikwijdte: opzet, bestaan, werking ►  Welke standaard   Na de vaststelling van de doelstellingen: ►  Impactanalyse / vooronderzoek ►  Vastleggen bestaande situatie ►  Doorvoeren verbeteringen ►  Proefaudit ►  Tekortkomingen opheffen ►  Uitvoering audit werkzaamheden door de service auditor 9
Stellingen Logo client   Het belangrijkste van een TPA rapport is dat deze: ►  Een goedkeurend oordeel geeft zonder voorbehouden ►  Een degelijk oordeel geeft over de werkelijke situatie ►  Tijdig is ►  Geen verrassingen oplevert ►  Zorgt dat mijn processen worden geoptimaliseerd ►  Een minimale scope kent ►  Goedkoop is ►  … 10
Stellingen Logo client   TPA is (vanuit het perspectief van de serviceorganisatie): ►  Een noodzakelijk kwaad, want de klant vraagt erom. Maar het is niet prettig dat een derde een oordeel gaat vellen over onze diensten ►  Voor mij een kwaliteitsstempel dat mij onderscheidend maakt in de markt ►  Een beheersinstrument, want het geeft mijn klanten zekerheid dat hun processen betrouwbaar worden uitgevoerd (zegt iets over business risk) ►  Een audit ‘cost saver’ want het geeft mijn accountant zekerheid bij de jaarrekening (audit risk) ►  Leuk voor de accountant van mijn klant, want die krijgt meer zekerheid over zijn eigen audit risk ►  … 11
Stellingen Logo client   TPA: ►  Is een kostenverhogend verschijnsel ►  Geeft additionele service met een leuke marge ►  Wordt toch (uiteindelijk) door de klant betaald, dus mij maakt het niet uit ►  Impliceert per definitie dat de auditkosten bij de klantorganisatie wegvallen ►  Impliceert dat er bij mij zelf als serviceorganisatie auditkosten wegvallen ►  … 12
Stellingen Logo client   TPA is een ‘organized crime’ door auditors want: ►  Het is rapport van auditor naar auditor ►  Het is niet eerlijk dat ik als serviceorganisatie betaal voor het audit risk van mijn klanten ►  Ik wordt gedwongen tot additionele maatregelen en rapportages die niet in het contract gecalculeerd waren ►  Niet waar, want iedereen krijgt de TPA die het verdient ►  … 13
Mazars Delflandlaan 1 1062 EA Amsterdam Tel. : +31 (0) 20 20 60 300 Fax : +31 (0) 20 20 60 350 www.mazars.nl

More Related Content

Tpa

  • 1. Studiemiddag Third Party Assurance   Mazars Tower, Amsterdam 8 juni 2010
  • 2. Agenda Logo client   16.00 Welkom – Louis van Garderen   16.15 Third Party Assurance – Marcel Fikke   17.00 Pauze   17.20 Juridische aspecten – Cordemeyer & Slager   18.30 Afsluiting en borrel 2
  • 3. Profiel Marcel Fikke Logo client   http://nl.linkedin.com/in/marcelfikke   http://twitter.com/marcelfikke   Senior Manager IT Audit   Bijna 16 jaar werkzaam bij Mazars ►  Registeraccountant (RA) ►  Certified Information Systems Auditor (CISA)   Mazars Management Consultants ►  Ondersteuning jaarrekeningcontrole ►  Third Party Assurance 3
  • 4. Third Party Assurance Logo client   Wat is het?   Doel: ►  Afleggen van verantwoording over de kwaliteit van de geleverde diensten 4
  • 5. Waarom Third Party Assurance? Logo client   Voordelen service provider ►  Laten zien dat kwaliteit wordt geleverd (imago, marketinginstrument) ►  Kunnen afleggen van verantwoording aan klanten over geleverde diensten ►  Betere beheersing van de eigen organisatie ►  Minder fouten en snellere ontdekking en herstel leiden tot lagere beheerkosten ►  Meer vertrouwen van de klant leidt tot een betere klantrelatie ►  Slechts één audit in plaats van meerdere audits door verschillende auditors, dus minder belasting voor de eigen organisatie ►  Minder klanten en externe auditors die kennis krijgen van de eigen bedrijfsvoering   Voordelen klant (‘user organization’) ►  Inzicht in de kwaliteit van het stelsel van beheersmaatregelen bij de service provider ►  Inzicht in de eventueel aanvullend noodzakelijke beheersmaatregelen in de eigen organisatie ►  Inzicht in de mate waarin de service provider haar afspraken nakomt ►  Meer vertrouwen in de service provider leidt tot een betere relatie ►  De service provider wordt scherp gehouden 5
  • 6. Soorten Third Party Assurance Logo client   Third Party Mededeling (TPM) ►  Rapport van feitelijke bevindingen op basis van COS 4400 / ISRS 4400 ►  Assurance rapport op basis van COS 3000 / Standaard 3000 / ISAE 3000   SAS70 … as amended ►  Rapport waarin de serviceorganisatie beschrijft hoe zij de processen beheerst ►  Externe auditor voegt een rapportage toe aan dit rapport ►  Twee typen rapporten ►  SAS70 is geen certificaat ►  SAS70 is geen norm ►  SAS70 zegt niks over de mate van interne beheersing   SSAE 16 ►  Voor rapportageperioden die eindigen na 15 juni 2011 6
  • 7. Soorten Third Party Assurance Logo client   ISAE 3402 ►  Wereldwijde standaard ►  Lijkt sterk op SAS70 ►  Geen bredere scope dan SAS70: ook ISAE 3402 is alleen gericht op financiële processen   ISO 27001 ►  Informatiebeveiliging ►  Kwaliteitscertificaat   TÃœV IT ►  Kwaliteitsnorm voor de softwareproducerende industrie ►  Onderzoek uitgevoerd op basis van geautomatiseerde analyse van de broncode 7
  • 8. Keuzecriteria Logo client   Imago in de markt   Doelgroep   Assurance rapport versus certificaat   Processen   Rapportage   Kosten 8
  • 9. Werkwijze Logo client   Te beantwoorden vragen (Strategiefase): ►  Welke afspraken zijn overeengekomen met de klant ►  Wat is de scope ►  Welke kwaliteitsaspecten ►  Wat is de diepgang / gewenste mate van zekerheid ►  Wat is de reikwijdte: opzet, bestaan, werking ►  Welke standaard   Na de vaststelling van de doelstellingen: ►  Impactanalyse / vooronderzoek ►  Vastleggen bestaande situatie ►  Doorvoeren verbeteringen ►  Proefaudit ►  Tekortkomingen opheffen ►  Uitvoering audit werkzaamheden door de service auditor 9
  • 10. Stellingen Logo client   Het belangrijkste van een TPA rapport is dat deze: ►  Een goedkeurend oordeel geeft zonder voorbehouden ►  Een degelijk oordeel geeft over de werkelijke situatie ►  Tijdig is ►  Geen verrassingen oplevert ►  Zorgt dat mijn processen worden geoptimaliseerd ►  Een minimale scope kent ►  Goedkoop is ►  … 10
  • 11. Stellingen Logo client   TPA is (vanuit het perspectief van de serviceorganisatie): ►  Een noodzakelijk kwaad, want de klant vraagt erom. Maar het is niet prettig dat een derde een oordeel gaat vellen over onze diensten ►  Voor mij een kwaliteitsstempel dat mij onderscheidend maakt in de markt ►  Een beheersinstrument, want het geeft mijn klanten zekerheid dat hun processen betrouwbaar worden uitgevoerd (zegt iets over business risk) ►  Een audit ‘cost saver’ want het geeft mijn accountant zekerheid bij de jaarrekening (audit risk) ►  Leuk voor de accountant van mijn klant, want die krijgt meer zekerheid over zijn eigen audit risk ►  … 11
  • 12. Stellingen Logo client   TPA: ►  Is een kostenverhogend verschijnsel ►  Geeft additionele service met een leuke marge ►  Wordt toch (uiteindelijk) door de klant betaald, dus mij maakt het niet uit ►  Impliceert per definitie dat de auditkosten bij de klantorganisatie wegvallen ►  Impliceert dat er bij mij zelf als serviceorganisatie auditkosten wegvallen ►  … 12
  • 13. Stellingen Logo client   TPA is een ‘organized crime’ door auditors want: ►  Het is rapport van auditor naar auditor ►  Het is niet eerlijk dat ik als serviceorganisatie betaal voor het audit risk van mijn klanten ►  Ik wordt gedwongen tot additionele maatregelen en rapportages die niet in het contract gecalculeerd waren ►  Niet waar, want iedereen krijgt de TPA die het verdient ►  … 13
  • 14. Mazars Delflandlaan 1 1062 EA Amsterdam Tel. : +31 (0) 20 20 60 300 Fax : +31 (0) 20 20 60 350 www.mazars.nl