A gazdasági válság kikényszerítette takarékosság a felhőszolgáltatások felé terelt sok szervezet. Ám a cégvezetés a cloud előnyei mellett hamarosan az árnyoldalakkal is szembesülhetett. Horváth Csaba cikksorozatának második része a TPA szabványokat és riportokat tekinti át.
Csak összefoglalásként: mint azt
előző cikkünkben bemutattuk, az új iránymutatásra azért volt szükség, mert historikusan az ún. „klasszikus” riportok a működési, megfelelőségi vagy teljesítménykritérium biztosítékának hiányából fakadóan nem voltak képesek kielégíteni teljes mértékben a vevői igényeket
[2] [4] [11]. Mielőtt azonban részleteiben megismernénk a legújabb iránymutatást, célszerű tisztában lennünk a leginkább elterjedt TPA szabványok és riportok típusaival.
A Statement on Auditing Standard No. 70 (SAS 70) 1992-es megjelenése óta elfogadott módszer volt arra, hogy a technológiai és kiszervezési egyezmények részeként a szolgáltatást nyújtó belső kontrollkörnyezetével kapcsolatos kockázatokat értékelni lehessen. Csakhogy emiatt éveken át tévesen az eredeti célját (a pénzügyi jelentéseket befolyásoló kontrollok értékelése) meghaladó módon használták: például a szolgáltató működésével és szabályozási megfelelőségével kapcsolatos információszolgáltatásra és biztosíték nyújtására
[9].
Valójában a SAS 70 csak azon felhőszolgáltatók esetében lett volna – részlegesen – elegendő, melyek a vásárlók pénzügyi jelentéséhez kapcsolódó tranzakcióit dolgozták fel
[4]. 2011-ben végül le is váltotta a Statement on Standards for Attestation Engagements 16 (SSAE 16)
[7]. A fő különbség a két módszertan között az, hogy míg a SAS 70 célja a pénzügyi beszámolót vizsgáló auditok támogatása volt, addig a SSAE 16 már egyéb témakörökhöz is támogatást nyújt. A SAS 70 és SSAE 16 alapvetően megegyeznek azzal a kitétellel, hogy az előbbi auditszabvány, míg az utóbbi tanúsító szabvány.
A SSAE 16 esetén szükség van egy írott megerősítésre a riport által lefedett folyamatokról és tranzakciókról. A menedzsment ugyanis azzal egyértelműsíti a vásárlók számára, hogy a cég kontrollrendszere megfelelően reprezentált, és annak tervezése, működtetése hatékony. A menedzsment köteles egy leírást is készíteni a szolgáltatást végző vállalat rendszereiről (beleértve a politikáit, folyamatait, valamint a szolgáltatási folyamatokat körülölelő kontrollokat). Ennek a leírásnak az előbb felsoroltakon kívül tartalmaznia kell a felhasználók szempontjából releváns kockázatértékelő folyamatokat és a COSO (Committee of Sponsoring Organizations) által készített keretrendszerben meghatározott monitorozó kontrollokat, tehát azonosítania kell a kockázatokat és az azokat csökkentő/megszüntető (mitigáló) kontrollokat [8].
Mivel azonban sem a SAS 70, sem pedig utódja, a SSAE 16 nem volt képes teljes mértékben amerikai szabványként az Egyesült Államokon kívüli országok szabványozási igényeit kielégíteni, létrejött az International Standard on Assurance Engagements 3402 (ISAE 3402). Ez egy nemzetközileg elismert és a jelenlegi könyvvizsgálati szabványok keretrendszerébe illeszkedő szabvány
[7] [8]. Felépítését és célját tekintve rendkívül hasonló a SAS 70-hez, tehát a pénzügyi audithoz szükséges belső kontrollkörnyezetet értékeli Type 1 és Type 2 riportok segítségével.
Az auditok történeti áttekintése (forrás: PwC, az ábra nagyítható)
Ennek során a SAS 70 kontroll leírásai alkalmazhatók az ISAE 3402 rendszerleírásának kialakításához, és ennek eredményeként felhasználásuk a szolgáltató szervezetek menedzsmentjére, a vásárlókra és revizoraikra korlátozódik. Ugyanakkor vannak – igaz, csak minimális – különbségek is. Az ISAE 3402 szerint ugyanis a menedzsmentnek kötelező írásbeli megerősítést nyújtania a szolgáltató szervezet rendszerekkel és kontrollokkal kapcsolatos felelősségéről. Ugyanez a szolgáltatás nyújtásában segédkező másodlagos szervezetek számára is kötelező. További különbség, hogy a Type 2-es riportban az auditot végzőnek az egész időszakra vonatkozólag kell véleményeznie a kontrollcélokhoz kapcsolódó kontrollok megfelelőségét, és külön ki kell emelnie a jelentésen belül bármely a belső auditra támaszkodó munkát
[7].
Ezen kívül léteznek még az American Institute of Certified Public Accountants (AICPA) és Canadian Institute of Chartered Accountants (CICA) által 2001. januárban és 2000. augusztusban megalkotott TPA megoldások, a SysTrust és WebTrust tanúsítványok. Ezeket nem csak kizárólag a pénzügyi könyvvizsgálat szempontjából releváns rendszerek tanúsítására, hanem SysTrust esetén bármely IT-rendszer, míg WebTrust esetén kizárólag elektronikus kereskedelmi rendszerek tanúsítására hozták létre
[12]. Céljuk a vizsgált rendszerrel kapcsolatos érintettek (vezetés, ügyfelek és üzleti partnerek) számára történő információszolgáltatás és bizalomnövelés
[13].
Fókuszuk a Trust Services Priciples (TSP) alatt megvalósult csoportosításból kifolyólag SysTrust esetén a biztonság, feldolgozás integritása, elérhetőség, bizalmasság, WebTrust esetén az imént felsoroltak a privacy-val kiegészülve. A korábbi különbségeken felül megfigyelhetőek a két szabvány során alkalmazott speciális tanúsítási típusok közötti eltérések is. A SysTrust a biztonság, feldolgozás integritása és elérhetőség kombinálásával képes tanúsítani kizárólag a rendszer megbízhatóságát (SysTrust System Reliability), ezzel szemben a WebTrust rendelkezik speciálisan a tanúsítási hatóságoknak (WebTrust for Certification) és a feldolgozás integritása és privacy kombinálásával a fogyasztóvédelemnek (WebTrust Consumer Protection) szóló tanúsítvánnyal
[14]. Elterjedésüket tekintve elsősorban Amerikában és Kanadában találhatóak meg, de számos multinacionális vállalat is rendelkezik ilyen a honlapjukon marketing eszközként kihelyezett tanúsítvánnyal és a hozzá kapcsolódó részletektől mentes leírással
[13]. Az adott időpillanatban lezajlott auditról való tanúsítás egy évig (plusz az újra tanúsításhoz szükséges 90 napnyi türelmi idő) érvényes
[14].
Az ISO/IEC 27001:2005 (ISO/IEC 27001) a 2000-ben első verzióként megjelent szabvány 2005-ös frissítése, mely az információ biztonság menedzsment rendszerek specifikációját magába foglaló tanúsítvány. Az ISO/IEC 27002:2005 (ISO/IEC 27002) pedig a legjobb gyakorlat alapján összeválogatott biztonsági kontrollok gyűjteménye. Ezekre a tanúsítványokra sokszor csak ISO/IEC 27002 néven hivatkoznak, mely célja a szervezeten belüli információbiztonság megvalósításáért felelős szakemberek számára történő információszolgáltatás.
Alkalmazása révén a cégek közötti kapcsolatok során felmerülő információbiztonság növelését célozzák meg, a biztonsági szabványok és menedzsment gyakorlatok fejlesztéséhez és fenntartásához szükséges legjobb gyakorlatként (11 csoport alá besorolt 133 biztonsági kontrol stratégia). Megvalósítás során azonban csak és kizárólag az adott cég számára releváns útmutatásokat kell figyelembe venni
[15]. Elterjedését tekintve 2011-ben 17 509 tanúsítványt adtak ki a világ 100 országában
[16]. Az audit egy felkészítési időszak után kerül elvégzésre (célszerűen az ehhez szükséges tanúsítással rendelkező szervezet által), mely sikeres lezajlását követően kibocsátásra kerül a tanúsítvány. A folyamatos érvényességhez további auditok szükségesek féléves vagy éves rendszerességgel
[17]. Fő hátrányként az IT kormányzás teljes hiánya említhető meg
[18] továbbá, hogy csak az informatikai rendszerek biztonságára fókuszál.
Az egyéb kimondottan Cloud szolgáltatók igényeire kifejlesztett TPA megoldások között említhető az Európában (elsősorban Németországban) 2011. január óta honos EuroCloud (felhőszolgáltatások szakmai hálózata) által kibocsátott SaaS Star Audit tanúsítvány. Célja a szolgáltatások biztonságának és átláthatóságának felhasználók felé történő közvetítése, melyet egy 1-től 5-ig terjedő minősítési skálával valósít meg
[19]. A 3-6 hetet igénybe vevő megfelelőségi audit az adat- és általános biztonság, infrastruktúra és működési folyamatok, alkalmazások és azok implementációs folyamataira terjed ki és 24 hónapig érvényes
[20]. Azonban ez a tanúsítvány sem volt képes minden igényt kielégíteni a kizárólagos szoftverszolgáltatások fókusza és korlátozott elterjedtsége miatt.
A fentebb ismertetett hiányosságokból fakadóan (a kiszervezési megállapodásokkal kapcsolatos egyedi kockázatok és a növekvő tendenciát mutató megállapodásokban rögzített szolgáltatások következtében) egy sokkal inkább átfogó TPA megoldásra volt szükség
[4]. A nagy könyvvizsgáló cégek kezdetben különböző kiegészítő megoldásokat ajánlottak. Ilyen volt például a PwC, Attest Engagements Section 101 (AT101) szabványon alapuló, CloudTrust szolgáltatása is, amely lehetővé tette a szolgáltatásokkal kapcsolatos összes kockázat és kontroll lefedését
[2]. Csakhogy ezek a megoldások, szigetmegoldások lévén, nem voltak képesek általánosan elfogadott szabványként nagyobb mértékben elterjedni.
Összességében tehát sem a SAS 70, SSAE 16, ISAE 3402, sem a SysTrust, WebTrust, sem az ISO 27002, sem a SaaS Star Audit, sem pedig a CloudTrust nem volt képes a felhőszolgáltatók által megkövetelt kiterjedést és rugalmasságot biztosítani. Ráadásul a felhőszolgáltatások elterjedésével egyre inkább az előtérbe került a vállalati felhasználók azon igénye, hogy megbízható információt és bizonyosságot szerezzenek szolgáltatóik működéséről.
Mindezen problémák orvosolására az AICPA megalkotta a Service Organization Control (SOC) riportokat
[2] [3] [9], melyeket sorozatunk következő részében mutatunk be részletesen.
Szakirodalom ■ A téma iránt mélyebben érdeklődőknek megadjuk a cikkben hivatkozott szakcikkek pontos adatait.
[1] PwC.(2009), Third Party Assurance – Technology Sector, April 2009, PricewaterhouseCoopers.
[2] PwC.(2009), Third Party Assurance – SaaS Cloud Computing and TPA Services, PricewaterhouseCoopers.
[
3] Brizhik, A., Choe V., Taylor, D. (2012), SOC 2 Breakdown, INTERNAL AUDITOR, February 2012.
[4] PwC. (2009), Third Party Assurance – SaaS Cloud Computing, 22nd March 2013.
[5] PwC. (2013), Confidence in the Cloud, www.pwc.co.uk, 22nd March 2013.
[6] AICPA. (2010), Statement on Standards for Attestation Engagements No. 16, Reporting on Controls at a service Organization.
[7] PwC. (2009), The end of SAS70 – what next for Performance Assurance?, PricewaterhouseCoopers.
[8] Rashty, J. (2011), New Guidance for Cloud-Based Service Control Reports, THE CPA JOURNAL, October 2011.
[9] Petersen L. M. (2011), Service organization control reports demisyified, www.cioinsight.com, September/October 2011.
[10] Halterman, C. (2011), Expanding service control reports, www.journalofaccountancy.com, July 2011.
[11]
Bell, D., Curran, C., Seale, K. (2012), Building trust and customer
confidence with SOC 2 and 3 reports, www.grantthorton.com, 22nd March
2013
[12] SSAE16. (2013), SOC 3 SysTrust/WebTrust | Trust Services Principles and Criteria | What you Need to know,
www.ssae16.org[13] SAS70. (2012), FAQ,
www.sas70.com[14] WebTrust. (2013), Find a Seal: Information on Trust Service Seals,
www.webtrust.org[15] IT Governance Institute. (2008), Aligning Cobit 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefeit, ITGI 2008.
[16] Frost, R. (2012), ISO Survey now available for free download,
www.iso.org[17] ISO27001Security. (2013), FAQ ISMS audit & certification,
www.iso27001security.com[18]
Mataracioglu, T., Ozkan, S. (2011), Governing Information Security in
Conjunction with COBIT and ISO 27001, International Journal of Network
Security & Its Applications, Vol. 3 Issue 4, p111, July 2011.
[19] EuroCloud. (2013), EuroCloud Star Audit Requirements,
www.saas-audit.de[20] EuroCloud. (2013), EuroCloud Star Audit FAQ,
www.saas-audit.de