ISAE 3402 verklaring

Wat is het?

Als gesproken wordt over een ISAE 3402 verklaring, dan is dat een onafhankelijk oordeel over de kwaliteit van financiële processen die zijn uitbesteed aan een derde partij. Dit assurance oordeel is met strikte waarborgen omkleed en kan alleen worden afgegeven door een gecertificeerde financial (RA) of IT-auditor (RE). Waar vroeger ISAE verklaringen alleen voor grote bedrijven werden afgegeven is dit, door de striktere regelgeving en vooral door de enorme toename van outsourcing, voor steeds meer organisaties een reguliere onderdeel van de bedrijfsvoering aan het worden.

Ontstaansgeschiedenis

De afgelopen twee decennia heeft outsourcing een grote vlucht genomen. Naast de bestaande gebruikersorganisatie kwam daarmee een tweede partij in beeld -de service organisatie- die verantwoordelijk was voor de kwaliteit en de beheersing van de uitbestede processen. Met name voor de accountant van de gebruikersorganisatie was het lastig om zich een oordeel te vormen over deze externe activiteiten. Om daaraan tegemoet te komen liet de service organisatie een eigen onderzoek uitvoeren. Omdat het vaak onderzoeken zijn met een hoog IT gehalte, is daarbij vrijwel altijd een IT-auditor betrokken.

Om er voor te zorgen dat de IT-auditor van de service organisatie het juiste object onderzoekt en de accountant van de gebruikersorganisatie de zekerheid te geven dat het onderzoek op de juiste wijze en diepgang is uitgevoerd, zijn er door de Internationale Federation of Accountants (IFAC) een aantal spelregels opgesteld. Gaat het primair om het onderzoeken van financiële processen die zijn uitbesteed en dient daarover assurance geboden te worden aan de accountant van de gebruikersorganisatie, dan is er sprake van een ISAE-3402 rapportage.

Het kan echter ook voorkomen dat er assurance moet worden verleend over een breder object van onderzoek dan alleen de financiële processen of dat de geadresseerde voor wie het rapport is bestemd niet (alleen) de accountant is van de gebruikersorganisatie. In dat geval zal worden gekozen voor een ISAE3000 rapportage. Deze biedt de auditor van de service organisatie een minder strik en geformaliseerd onderzoekkader.

Tenslotte wordt nog weleens gesproken over een SAS70-verklaring. Dit is in feite de voorganger van de ISAE3402 verklaring die wat betreft aard en toepassing daarvan niet veel verschilt, maar inmiddels niet meer wordt gebruikt.

Hoe zien wij het?

De ISAE rapportage is naar zijn aard en herkomst een typisch Amerikaans product. Waar in Europa en ook in ons land nog sterk normgericht wordt gewerkt (‘direct reporting’), richt ISAE zich vooral op het betrokken management en de mate waarin deze ‘In Control’ is ten opzichte van de eigen –financiële- bedrijfsvoering. Vandaar ook dat een ISAE rapport begint met een Management Verklaring (management assertion) Heirin verklaart het management zich nadrukkelijk verantwoordelijkheid voor de inrichting en het functioneren van een sluitende stelsel van beheersmaatregelen. Het is vervolgens de taak van de auditor om –mede op basis van een risico analyse- vast te stellen dat deze beheersmaatregelen ook zijn getroffen en adequaat functioneren.

Het inrichten van een adequaat stelsel van beheersmaatregelen is vaak geen sinecure. Daarom is het gebruikelijk om een dergelijk ingrijpend veranderproces stapsgewijs te laten verlopen. De ISAE reglementering voorziet hier in door onderscheid te maken tussen een type I en II verklaring. Bij een type I verklaring is de diepgang van het onderzoek beperkt tot ‘opzet’ en ‘bestaan’ van de getroffen beheersmaatregelen. Bij een type II onderzoek wordt ook gekeken naar het aspect ‘werking’, oftewel hebben de beheermaatregelen ook over een langere periode gefunctioneerd.

Omdat de dienstverlening van de service organisatie vaak een belangrijke IT-component bevat wordt het ISAE3402 onderzoek vaak uitgevoerd door de specialist bij uitstek; de IT-auditor. Binnen het NOREA, de beroepsorganisatie van IT-auditors zijn daarvoor de Richtlijnen 3402 en 3000 ontwikkeld. Onnodig te zeggen dat de NOREA -evenals de NBA- internationaal zijn erkend, evenals de bevoegdheid van de bij het NOREA ingeschreven register IT-auditors om assurance verklaringen af te geven.

Geen ISO audit

Zoals uit het bovenstaande mag blijken, bestaat er nogal wat verschil in de aard en de aanpak van een ISAE in vergelijking met een ISO audit. De focus van ISO is vooral gericht op het voorhanden hebben van een iteratief systeem van kwaliteitsverbetering. Bij een ISAE onderzoek is de scope veel breder en wordt gekeken naar de beheersmaatregelen en de kwaliteit van beheersing in het algemeen.

Een ander belangrijk verschil is de aanpak van de audit. Waar ISO werkt vanuit een vooraf vaststaande normstelsel vastgelegd in de ISO normbladen, legt ISAE deze verantwoordelijkheid op de juiste plek; namelijk het verantwoordelijke management. Daardoor zal het stelsel van beheersmaatregelen steeds sterk situationeel zijn ingericht en omdat geen twee bedrijfssituaties hetzelfde zijn, zal elk ISAE onderzoek dus steeds weer maatwerk moeten zijn.

Voor het ISAE onderzoek, de rapportage en de dossiervorming gelden specifieke voorschriften. Doordat elk onderzoek verschillend is en omdat het rapport ook een nadrukkelijke verantwoording is van het uitgevoerde assurance onderzoek, zal dit niet tot een standaard maar juist een uitgebreide en gedetailleerde rapportage leiden

Hoe doen wij het?

Elk ISAE onderzoek is in feite maatwerk, wat het lastig maakt om daarvoor een standaard aanpak te ontwikkelen. Wel is gebleken dat voor de meeste organisaties die aan een dergelijk ISAE traject doorlopen, dit uiteindelijk resulteert in een aanzienlijke verhoging van het professionaliteitsniveau. Keerzijde is wel dat een dergelijk ingrijpend verandertraject wel de nodige tijd en kosten met zich meebrengt. Om die reden wordt ook een drietrapas aanpak geadviseerd.

1e fase/ Preaudit - Afhankelijk van de uitgangssituatie zal binnen de organisatie eerste een samenhangend stelsel van beheersmaatregelen moeten worden ontwikkeld en geïmplementeerd. Hiervoor zal ook nadrukkelijk de medewerking van de organisatie zelf benodigd zijn zowel in de uitvoering als op managementniveau. Als dit eerste fundament is gelegd kan een preaudit worden uitgevoerd.

2e fase/ ISAE audit type I -  Als er een sluitend en duidelijk beschreven stelsel van beheersmaatregelen is ingericht en het management bereid is om een (in control) verklaring af te leggen kan een eerste ISAE onderzoek worden uitgevoerd dat zich beperkt tot opzet en bestaan.

3e fase/ ISAE audit type II – De laatste stap is een assurance onderzoek ook gericht op werking en dat resulteert in een volwaardige ISAE verklaring

Het is echter goed denkbaar dat geschetste aanpak, zowel in tijd als in fasering kan worden ingekort afhankelijk van de feitelijk situatie bij de opdrachtgever. Uiteraard adviseren wij u daar graag over.

Organisaties die al over een ISAE verklaring beschikken doen we graag een financieel aantrekkelijke aanbieding voor het uitvoeren van de jaarlijkse vervolgaudit.

Tenslotte

De grote bekendheid van de ISAE 3402 leidt ertoe dat een veel gevraagd product aan het worden is, maar het zou goed kunnen dat in sommige situaties een ISAE 3000 verklaring misschien veel geschikter is. In feite is een de ISAE 3402 een specifieke invulling van de veel ruimere ISAE 3000 standaard. Dit is vooral aan de orde als men op zoek is naar assurance verklaring die niet strikt beperkt is tot financiële processen of die bedoeld is voor een ruimer kring van ontvangers dan alleen de accountant van de gebruikersorganisatie.

De aard en omvang van een ISO audit is fundamenteel anders dan van een ISAE audit. Het is zeker niet zo dat een ISO audit een lichtere of beperktere vorm van een ISAE audit zou zijn. Wel is een ISAE audit veel breder van opzet, meer gericht op de specifieke behoefte van de organisatie en veel uitgebreider in de verantwoording en rapportage. Uiteraard brengt een dergelijke maatwerkaanpak ook hogere kosten met zicht mee, maar aan de andere kant wordt een formele ISAE verklaring door elke accountant geaccepteerd.

Tenslotte is een ISAE traject “serious business”. Het verkrijgen van een verklaring vraagt een ingrijpend verandertraject en leidt tot een hoger professionaliteitsniveau. Voor veel service organisaties vormt de ISAE verklaring dan ook een waterscheiding en biedt het toegang tot het hogere marktsegment van de grote en professionele gebruikersorganisaties.

Offerte aanvraag

Offerte op aanvraag bij info@bkbo.nl

Wilt u meer weten?

Graag beantwoorden wij al uw vragen. Meer info:

BKBO, 073 - 211 03 37

Offerte aanvragen