ISAE 3402 verklaring

Wat is het?

Als gesproken wordt over een ISAE 3402 verklaring, dan is dat een onafhankelijk oordeel over de kwaliteit van meestal financiële processen die zijn uitbesteed aan een derde partij. Dit assurance oordeel is met strikte waarborgen omkleed en kan alleen worden afgegeven door een gecertificeerde financial (RA) of IT-auditor (RE). Waar vroeger ISAE verklaringen alleen voor grote bedrijven werden afgegeven is dit, door de striktere regelgeving en vooral door de enorme populariteit van outsourcing, steeds meer een regulier onderdeel van de bedrijfsvoering aan het worden.

Ontstaansgeschiedenis

De afgelopen twee decennia heeft outsourcing een grote vlucht genomen. Naast de bestaande gebruikersorganisatie kwam daarmee een tweede partij in beeld -de service organisatie- die verantwoordelijk was voor de kwaliteit en de beheersing van de uitbestede processen. Met name voor de accountant van de gebruikersorganisatie was het lastig om zich een oordeel te vormen over deze externe activiteiten. Om daaraan tegemoet te komen, liet de service organisatie een eigen onderzoek uitvoeren. Omdat het vaak onderzoeken zijn met een hoog IT gehalte, is daarbij vrijwel altijd een IT-auditor betrokken.

Om er voor te zorgen dat de IT-auditor van de service organisatie het juiste object onderzoekt en de gebruikersorganisatie de zekerheid te geven dat het onderzoek op de juiste wijze en diepgang is uitgevoerd, zijn er door de Internationale Federation of Accountants (IFAC) een aantal spelregels opgesteld. Gaat het primair om het onderzoeken van processen die zijn uitbesteed en dient daarover assurance geboden te worden aan de accountant van de gebruikersorganisatie, dan is er sprake van een ISAE-3402 rapportage.

Het kan echter ook voorkomen dat er assurance moet worden verleend over een breder object van onderzoek of dat de geadresseerde voor wie het rapport is bestemd niet (alleen) de accountant is van de gebruikersorganisatie. In dat geval zal worden gekozen voor een ISAE3000 rapportage. Deze biedt de auditor van de service organisatie een minder strikt  en geformaliseerd onderzoekkader en de adressering staat ook open voor derden.

Tenslotte wordt nog weleens gesproken over een SAS70-verklaring. Dit is in feite de voorganger van de ISAE3402 verklaring die wat betreft aard en toepassing daarvan niet veel verschilt, maar inmiddels niet meer wordt gebruikt.

Hoe zien wij het?

De ISAE rapportage is naar zijn aard en herkomst een typisch Amerikaans product. Waar in Europa en ook in ons land nog sterk normgericht wordt gewerkt (‘direct reporting’), richt ISAE zich vooral op het betrokken management en de mate waarin deze ‘in control’ is m.b.t. de beheersing van de eigen bedrijfsvoering. Vandaar ook dat een ISAE rapport begint met een Management Verklaring (management assertion), waarin het management zich nadrukkelijk verantwoordelijk verklaart voor de inrichting en het functioneren van een sluitend stelsel van beheersmaatregelen. Het is vervolgens de taak van de auditor om –mede op basis van een risico analyse- vast te stellen dat deze beheersmaatregelen ook zijn getroffen en adequaat functioneren.

Het inrichten van een adequaat stelsel van beheersmaatregelen is vaak geen sinecure. Daarom is het gebruikelijk om een dergelijk ingrijpend veranderproces stapsgewijs te laten verlopen. De ISAE reglementering voorziet hierin door onderscheid te maken tussen een type I en II verklaring. Bij een type I verklaring is de diepgang van het onderzoek beperkt tot ‘opzet’ en ‘bestaan’ van de getroffen beheersmaatregelen. Bij een type II onderzoek wordt ook gekeken naar het aspect ‘werking’, oftewel hebben de interne beheersmaatregelen ook over een langere periode gefunctioneerd.

Omdat de dienstverlening van de service organisatie vaak een belangrijke IT-component bevat, wordt het ISAE3402 onderzoek vaak uitgevoerd door de specialist bij uitstek; de IT-auditor. Binnen het NOREA, de beroepsorganisatie van IT-auditors, zijn daarvoor de Richtlijnen 3402 en 3000 ontwikkeld. Onnodig te zeggen dat de NOREA -evenals de NBA- internationaal zijn erkend, evenals de bevoegdheid van de bij het NOREA ingeschreven register IT-auditors om assurance verklaringen af te geven.

Geen ISO audit

Zoals uit het bovenstaande mag blijken, bestaat er nogal wat verschil in de aard en de aanpak van een ISAE in vergelijking met een ISO certificering. De focus van ISO is vooral gericht op het voorhanden hebben van een iteratief systeem van kwaliteitsverbetering. Bij een ISAE onderzoek is een systeem van kwaliteitsverbetering niet voldoende. De scope is veel breder, de controles veel diepgaander en wordt er gekeken naar de effectiviteit van de interne beheersmaatregelen en de kwaliteit van beheersing in het algemeen.

Een ander belangrijk verschil is de aanpak van de audit. Waar ISO werkt vanuit een vooraf vaststaand normstelsel dat is vastgelegd in de ISO normenset, legt ISAE deze verantwoordelijkheid op de juiste plek; namelijk het verantwoordelijke management. Daardoor zal het stelsel van beheersmaatregelen steeds sterk situationeel zijn ingericht en omdat geen twee bedrijfssituaties hetzelfde zijn, zal elk ISAE onderzoek dus steeds weer maatwerk zijn.

Voor het ISAE onderzoek, de rapportage en de dossiervorming gelden specifieke voorschriften. Doordat elk onderzoek verschillend is en omdat het rapport ook een nadrukkelijke verantwoording is van het uitgevoerde assurance onderzoek, zal dit niet tot een standaard maar juist een uitgebreide en gedetailleerde maatrapportage leiden.

Hoe doen wij het?

Elk ISAE onderzoek is in feite maatwerk, wat het lastig maakt om daarvoor een standaard aanpak te ontwikkelen. Wel is gebleken dat voor de organisaties die een ISAE traject doorlopen, dit uiteindelijk resulteert in een aanzienlijke verhoging van het niveau van professionaliteit. Keerzijde is, dat een dergelijk ingrijpend verandertraject de nodige tijd en kosten met zich meebrengt. Om die reden wordt ook een drietraps aanpak geadviseerd.

1e fase/ Preaudit - Afhankelijk van de uitgangssituatie zal binnen de organisatie eerst een samenhangend stelsel van beheersmaatregelen moeten worden ontwikkeld en vervolgens worden geïmplementeerd. Hiervoor zal nadrukkelijk de organisatie zelf aan de lat staan, zowel in de uitvoering als op managementniveau. Als dit eerste fundament is gelegd, kan een preaudit worden uitgevoerd.

2e fase/ ISAE audit type I -  Als er een sluitend en duidelijk beschreven stelsel van beheersmaatregelen is ingericht en het management bereid is om een (in control) verklaring af te leggen, kan een eerste ISAE onderzoek worden uitgevoerd dat zich beperkt tot opzet en bestaan, een meting dus op één moment.

3e fase/ ISAE audit type II – De laatste stap is een assurance onderzoek, dat niet alleen op opzet en bestaan, maar ook gericht op werking. Een dergelijk onderzoek resulteert in een volwaardige ISAE verklaring, waarbij de opzet, bestaan en werking van de interne beheersmaatregelen objectief wordt vastgesteld. De verslag periode om "de werking" vast te kunnen stellen, is minimaal een half jaar, maar zal doorgaans een jaar zijn.

Het is denkbaar dat de geschetste aanpak, zowel in tijd als in fasering kan worden ingekort, afhankelijk van de feitelijk situatie bij de opdrachtgever. Uiteraard adviseren wij u daar graag over.

Organisaties die al over een ISAE verklaring beschikken doen we graag een financieel aantrekkelijke aanbieding voor het uitvoeren van de jaarlijkse vervolgaudit.

Tenslotte

De grote bekendheid van de ISAE 3402, leidt ertoe dat dit een veel gevraagd product aan het worden is. Een ISAE traject is echt “serious business”. Het verkrijgen van een verklaring vraagt een ingrijpend verandertraject en leidt tot een hoger professionaliteitsniveau. Voor service organisaties vormt de ISAE verklaring dan ook een waterscheiding en biedt de verklaring toegang tot het hogere marktsegment van de grote en professionele gebruikersorganisaties.

Offerte aanvraag

Offerte op aanvraag bij info@bkbo.nl

Wilt u meer weten?

Graag beantwoorden wij al uw vragen. Meer info:

BKBO, 073 - 211 03 37

Offerte aanvragen