ISAE 3402 - samenvattingEnkele belangrijke kenmerken en verschillen in vergelijking met SAS70Drs. T. (Temme) Sikkema RA – t.sikkema@hutco.nl – Netherlands – September 2009

Het belang van ‘Third Party Reporting’ 1

Uitbesteding (‘Outsourcing’) is een strategische keuze geworden.

Kostenreductie, terugkeer naar kernactiviteiten en flexibiliteitstoename zijn de ‘drivers’ voor een ‘gebruikersorganisatie’ om activiteiten uit te besteden naar een ‘serviceorganisatie’.

‘Gebruikersorganisaties’ dienen ervan verzekerd te zijn dat een ‘serviceorganisatie’ zijn beheersmaatregelen correct heeft vastgesteld, geimplementeerd en dat deze effectief werken.

Het belang van ‘Third Party Reporting’ 2

De ‘serviceorganisatie’ kan meerdere verzoeken ontvangen voor een jaarlijkse audit van zijn klanten.

De ‘serviceorganisatie’ kan in plaats daarvan kiezen voor een assurance rapport door derden voor de effectiviteit van zijn beheersmaatregelen relevant voor zijn klanten.

‘Third Party Reporting’: SAS70

SAS70 is de Amerikaanse norm voor een auditverklaring die wereldwijd wordt toegepast (recent geactualiseerd tot SSAE 16)

SAS70 geeft de ‘gebruikersorganisatie’ (en zijn accountants) zekerheid over de vaststelling en het gebruik van die relevante beheersmaatregelen

SAS70 stelt de ‘gebruikersorganisatie’ in staat om te werken volgens geldende wetgeving en interne richtlijnen (‘compliance’).

SAS70 – kenmerken 1

SAS70 richt zich op eisen voor financiele rapportage van ‘gebruikers- en serviceorganisaties’ en is dus beperkt de beheersmaatregelen voor het verwerken van financiele transacties.

De actuele SAS70 verklaring is in zijn algemeenheid verdeeld in 3 of 4 secties, afhankelijk van het type opdracht.

Er zijn 2 type verklaringen: Type I en Type II.

SAS70 – kenmerken 2

Een Type I verklaring beschrijft de beheersmaatregelen op een specifiek moment voor de ‘serviceorganisaties’.

Een Type II verklaring voegt gedetailleerde testen toe van de beheersmaatregelen van een ‘serviceorganisatie’ over een periode van minimaal 6 maanden.

SAS70 – kenmerken 3

SAS70 is een audit norm en niet een voorgedefinieerde set van normen waaraan een ‘serviceorganisatie’ vooraf aan moet voldoen.

In een SAS70 audit is de ‘serviceorganisatie’ verantwoordelijk voor de beschrijving van de beheersmaatregelen waarop het audit rapport van toepassing is.

Het vaststellen van de scope van de audit is daarom een essentieel onderdeel.

Te onderzoeken type processen

Raamwerk van beheersmaatregelen Beheersactiviteiten Processen mbt risico analyses Informatie and communicatie processen Processen mbt monitoring

Te onderzoeken type processen

Beheersmaatregelen, organisatorische invalshoek Beheersmaatregelen voor applicatieontwikkeling en -

onderhoud Toegangscontroles Beheersing van applicaties Beheersing van systeem onderhoud Beheersing van dataverwerking [Beheersing van bedrijfscontinuiteit] - in een afzonderlijk deel

van de verklaring, zonder garanties

Een SAS70 audit verklaart:

Of de beheersmaatregelen van een ‘serviceorganisatie’ correct zijn beschreven.

Of de beheersmaatregelen van een ‘serviceorganisatie’ qua opzet effectief zijn.

Of de beheersmaatregelen van een ‘serviceorganisatie’ in gebruik zijn op een specifiek moment.

Of de beheersmaatregelen van een ‘serviceorganisatie’ effectief werken gedurende een specifieke periode (alleen Type II verklaring).

‘Third Party Reporting’: gebruik ISAE3402 1

ISA402 – Audit overwegingen in relatie tot organisaties die gebruik maken van ‘serviceorganisaties’.

ISA402 geeft richtlijnen aan ‘gebruikersorganisaties’ en hun accountants voor de impact die ‘serviceorganisaties’ hebben op de jaarrekening van de ‘gebruikersorganisatie’.

Echter, ISA402 geeft geen richtlijnen voor de accountants van serviceorganisaties.

Gebruik………ISAE3402

‘Third Party Reporting’: gebruik ISAE3402 2

ISAE3402 – International Standard on Assurance Engagements 3402 – Assurance Reports on controls at a Third Party Service Organisation

Doel: een internationaal alternatief creeren voor de Amerikaanse SAS70 norm, waarbij het gebruik van de verklaring breder toepasbaar is voor meer eindgebruikers

ISAE3402 – kenmerken 1

ISAE3402 beperkt de scope niet tot de beheersdoelen voor de eisen aan de financiele rapportage.

Zoals SAS70, is ISAE3402 gebaseerd op een verklaring Zoals SAS70, heeft de ISAE3402 twee type verklaringen (Type

A and Type B) met in opzet dezelfde scope. In aanvulling op de conclusie van de auditor moet het

management van de ‘serviceorganisatie’ een formele verklaring afgeven voor zijn verantwoordelijkheid voor de beheersmaatregelen uit de verklaring. Dit is een wezenlijk verschil met SAS70.

ISAE3402 – kenmerken 2

ISAE3000 veronderstelt dat de accountent van de ‘serviceorganisatie’ de geschiktheid van de criteria onderzoekt en de aanvaardbaarheid van de scope.

ISAE3402 veronderstelt een minimale set van deze criteria Kan de audit gemeenschap deze criteria S.M.A.R.T. maken?