Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Klik hier voor een inleiding op de reeks artikelen en een overzicht van de artikelen.
Inleiding
De afgelopen jaren hebben de Amerikaanse en Canadese accountantsinstituten (AICPA en CICA) drie e-assurancediensten ontwikkeld voor het attesteren van IT-systemen: twee onder het label van WebTrust en één onder het SysTrust-label. Deze diensten kunnen leiden tot de uitgifte van een webzegel. SysTrust is ontwikkeld voor het attesteren van IT-systemen in het algemeen en WebTrust is bedoeld voor het attesteren van een IT-systeem in een e-commerceomgeving. De derde dienst, WebTrust voor Certification Authorities, is bedoeld voor het attesteren van dienstverleners op het gebied van digitale certificaten en digitale handtekeningen. WebTrust en SysTrust zijn inmiddels uitgegroeid tot internationale standaarden, maar het aantal uitgegeven zegels van deze diensten heeft de verwachting niet gehaald.
Ondanks de verschillen in aanpak en doelen adresseren WebTrust en SysTrust betrouwbaarheidsaspecten van IT-systemen. Mede om verwarring in de markt tegen te gaan hebben AICPA en CICA besloten de onderliggende programma’s en normenkaders van WebTrust en SysTrust te harmoniseren tot ‘Trust Services Principles and Criteria’. De twee verschillende producten met bijbehorende zegels en logo’s blijven echter wel bestaan. Hoewel WebTrust langer bestaat dan SysTrust, is WebTrust in feite een specifieke toepassing van het SysTrust-raamwerk.
Door de specifieke vereisten van WebTrust voor Certification Authorities (CA’s) zijn de normen betreffende CA’s niet in de harmonisatie meegenomen en blijven zij dus als een apart normenkader met bijbehorend programma bestaan. De normen en kwaliteitsaspecten voor CA’s zijn zo specifiek omdat zij zich richten op de betrouwbaarheid van digitale certificaten en digitale handtekeningen.
Betrokken partijen
De betrokken partijen bij een webzegelonderzoek zijn de verantwoordelijke partij, de gebruiker, de auditor en de opdrachtgever.
De verantwoordelijke partij (auditee) is de eigenaar van de online-dienst of het IT-systeem. Deze eigenaar is tevens de opdrachtgever. Het doel van de eigenaar is het vertrouwen van de markt te vergroten in de diensten die hij levert.
Het typerende van een webzegel is dat het zegel (met bijbehorend rapport) publiekelijk toegankelijk is op internet en dus openbaar. De gebruikers (relying parties) zijn de deelnemers in het maatschappelijk verkeer die vertrouwen op het zegel dat wordt geassocieerd met de bijbehorende online-dienst. Voor de auditor is in deze situatie de gebruiker anoniem.
De auditor moet voldoen aan bepaalde kwalificaties. De auditor dient werkzaam te zijn bij een door WebTrust of SysTrust geaccrediteerde organisatie. In beginsel moet de auditor in het bezit zijn van een beroepskwalificatie, zoals een CPA-licentie van de Verenigde Staten of Canada. NIVRA heeft met het AICPA/CICA een licentieregeling getroffen voor Nederlandse accountantskantoren. Andere gebieden waarvan de accountants soortgelijke regelingen hebben getroffen voor WebTrust, zijn Australië, Argentinië, Denemarken, Engeland, Frankrijk, Hongkong, Italië, Schotland, Spanje en Wales.
Onderzoek
Het zegel wordt door de gekwalificeerde auditor verstrekt op basis van een assuranceopdracht, waarop internationale standaarden, zoals de International Standard on Assurance Engagements (ISAE 100), van toepassing zijn. De mate van zekerheid die het zegel (met bijbehorend rapport) biedt is dezelfde als die van een accountantsverklaring.
Het onderzoek kan betrekking hebben op één of meer kwaliteitsaspecten van de getroffen maatregelen van een website (subject matter) of op een bewering van het management van de organisatie over de betreffende website (management assertion). De keuze van de rapportagevorm heeft geen grote gevolgen voor de uitvoering van het onderzoek. Het management is altijd verplicht een formele verantwoording te verstrekken aan de auditor. Aanbevolen wordt om deze verantwoording of managementbewering openbaar te maken (bijvoorbeeld via de betreffende website).
Het AICPA en het CICA hebben gezamenlijk normen (of criteria) ontwikkeld waaraan het onderzoeksobject dient te voldoen ([AICP03]). Deze normen zijn volledig en dwingend. Het normenkader onderscheidt de volgende kwaliteitsaspecten (of principles): security, availability, processing integrity, online privacy en confidentiality. Per kwaliteitsaspect zijn de normen onderverdeeld in vier gebieden: policies, communications, procedures en monitoring. Hoewel de normen volledig en dwingend zijn, zijn deze vaak niet concreet genoeg om als basis te dienen voor een onderzoek. Daarom worden voor elke norm een aantal gedetailleerde voorbeeldmaatregelen opgesomd. Voor elke norm dient de auditor een overweging te maken of het object gezien de risico’s in de betreffende situatie voldoet aan de norm.
De reikwijdte van het onderzoek betreft altijd minimaal opzet en bestaan (van bijvoorbeeld de beveiligingsmaatregelen). Indien de auditor het onderzoek in een periode herhaaldelijk heeft uitgevoerd, is het behalve over opzet en bestaan ook mogelijk een oordeel te geven over de werking.
Een zegel mag een beperkte tijd worden gevoerd. Onder normale omstandigheden is de maximale herhalingsfrequentie van het onderzoek elke twaalf maanden. Om het zegel op de website te behouden moet het onderzoek zijn afgerond met uiteraard een goedkeurend oordeel.
Uitkomsten
Bij een zegel hoort altijd een rapport, dat de gebruiker kan zien door op het zegel te klikken. Dit gebruikersrapport bestaat doorgaans uit één pagina en bevat minimaal de volgende onderwerpen:
- object van onderzoek;
- verwijzing naar managementbewering (indien van toepassing);
- datum of periode van onderzoek;
- verwijzing naar gehanteerde normen;
- verantwoordelijkheden van de auditee en van de auditor;
- door de auditor gehanteerde (onderzoeks)standaarden;
- inherente risico’s;
- oordeel;
- ondertekening.
Naast het gebruikersrapport dat op internet wordt gepubliceerd, is het gebruikelijk voor de verantwoordelijke partij of opdrachtgever een uitgebreider rapport op te stellen met gedetailleerde bevindingen en aanbevelingen.
De afweging van de opdrachtgever of de kosten opwegen tegen het gewonnen vertrouwen is vooraf moeilijk te kwantificeren. Dit vertrouwen zal enerzijds bestaan uit het vertrouwen van de gebruikers in het zegel (de markt) en anderzijds het verhoogde vertrouwen van de eigenaar in zijn eigen systeem of dienstverlening. Hoe onbekender de merknaam van de organisatie in de markt is, hoe groter de toegevoegde waarde van een webzegel zal zijn.
Literatuur
[AICP03] AICPA/CICA, Suitable Trust Services Criteria and Illustrations for Security, Availability, Processing Integrity, Online Privacy, and Confidentiality (Including WebTrust and SysTrust), 2003, www.aicpa.org
[Keij02] Suzanne Keijl, SAS 70 en SysTrust, Internationale standaarden voor third party assurance bij IT-serviceorganisaties, de EDP-Auditor, nummer 3, 2002.