Sinds het Amerikaanse AICPA in 1982 Statement on Auditing Standards No.44, Special-Purpose Reports on Internal Accounting Controls at Service Organizations uitbracht, zijn er door diverse beroepsregelgevende instanties en standaardisatielichamen regels en protocollen gepubliceerd voor de uitvoering van TPM-onderzoeken. Een aantal hiervan wordt in deze reeks artikelen behandeld.
Het meest vergaand gestandaardiseerd zijn de certificeringen op basis van een standaard van de International Organization for Standardization. Het voordeel van een dergelijk certificaat is dat het over de hele wereld dezelfde betekenis heeft, waardoor de gebruiker ervan overal weet hoe hij dit dient te interpreteren. Als bezwaar tegen de grote uniformiteit wordt wel genoemd dat het weinig recht doet aan de specifieke omstandigheden van elke organisatie en elke klant-leverancierrelatie. Ook wordt wel gesteld dat de diepgang van een ISO-onderzoek aan de beperkte kant is.
In dit artikel worden certificeringen op basis van ISO 9001 (quality systems) en ISO 17799 (code of practice for information security management) behandeld.
Wereldwijd ook gezaghebbend zijn de standaarden die door het Amerikaanse en Canadese accountantsberoep zijn uitgebracht voor de attestatie van websites (WebTrust) en informatiesystemen (SysTrust), inmiddels samengevoegd tot Trust Services. Een geslaagde attestatie resulteert in het verstrekken van een webzegel met bijbehorend rapport dat de opdrachtgever op zijn website mag plaatsen. Niet-Amerikaanse of niet-Canadese beroepsorganisaties kunnen in aanmerking komen voor een licentie om deze zegels ook te mogen verstrekken.
Een certificering met vooral een Europese betekenis is de certificering tegen de standaard van het European Telecommunication Standards Institute (ETSI) voor verstrekkers van digitale certificaten die kunnen worden gebruikt voor de elektronische handtekening.
SAS 44 is in 1992 vervangen door SAS 70, die in 1999 nog weer is aangepast op basis van SAS 88. Hoewel uitsluitend Amerikaanse CPA’s aan deze standaard gehouden zijn, vindt toepassing ervan ook navolging buiten de Verenigde Staten. Het lijkt er zelfs op dat de Amerikaanse standaard internationaal meer bekendheid geniet dan de dienovereenkomstige en meer geëigende standaard van IFAC (ISA 402: Audit Considerations Relating to Entities Using Service Organizations). In dit artikel wordt stilgestaan bij SAS 70.
Voor het Nederlandse IT-auditberoep zijn vooral de attestatiehandleidingen van de NOREA van belang. In dit artikel wordt stilgestaan bij ZekeRE Business.
Voor privacy – met name op internet – bestaan wereldwijd talloze keurmerken, waaronder ook de eerdergenoemde Trust Services. In Nederland werkt het College Bescherming Persoonsgegevens samen met een aantal beroepsorganisaties hard aan een privacycertificaat. Verder kan in dit verband nog het privacykeurmerk van NOREA, ZekeRE Privacy, worden genoemd.
Tot slot zijn er talloze ‘proprietary’-certificaten, webzegels en vergelijkbare uitingen van belangenorganisaties en andere not-for-profitorganisaties aan de ene kant en accountantskantoren en andere zakelijke dienstverleners aan de andere kant. Van deze categorie wordt in dit artikel het softwarecertificaat behandeld.
Bij de behandeling van bovengenoemde standaarden en richtlijnen is zoveel mogelijk het volgende stramien aangehouden:
- inleiding: introductie, korte typering, mate van toepassing;
- betrokken partijen: kenmerken serviceprovider, type dienst, afnemer, onderzoeker;
- onderzoek: object, normen aan het object, uitvoeringsnormen, aanpak;
- uitkomsten: verschijningsvorm van rapport, prijsindicatie, toegevoegde waarde voor serviceprovider en afnemer.
Achtereenvolgens komen zo aan bod: