Gebruik ISAE3402

Article

Gebruik ISAE3402

Vergroot het vertrouwen in uitbestede processen

Bij het uitbesteden van belangrijke processen is de controle hiervan belangrijk. Deloitte’s Third Party Assurance kan u helpen bij deze controle, onder andere door het uitvoeren van een ISAE3402.

Sven van Niekerk - 19 februari 2016

Hoe krijg je zekerheid dat de processen die zijn uitbesteed aan een externe partij, op een gecontroleerde manier worden uitgevoerd door die partij? Hier loopt een accountant tegenaan in het kader van de jaarrekeningcontrole. Feitelijk zit hij met een “gap”, want die significante transacties en onderliggende processen liggen namelijk bij de dienstverlener. Denk bijvoorbeeld aan de outsourcing van IT of dienstverlening rondom zoiets als real estate management of salarisberekeningen.

Om te checken of deze zaken beheerst worden uitgevoerd zou hij dus bij de dienstverlener langs kunnen gaan. Als deze dienstverlener echter alle accountants van al zijn klanten over de vloer zou krijgen, heeft hij er een fulltime baan bij. Dit is waar de ISAE3402 rapportage een uitkomst biedt. Samen met de dienstverlener, onze klant, brengen wij een ISAE3402 rapportage uit, die gebruikt kan worden door de accountants van de klanten.

Een ISAE3402 is op zichzelf een behoorlijk traject. In een eerder stadium is een overzicht van af te dekken risico’s gedefinieerd; meestal met een risk workshop. Deze risico’s worden omgevormd tot doelstellingen, waarbij je feitelijk het risico omdraait naar het positieve. (In plaats van “wij lopen dit en dit risico” wordt het zoiets als “wij hebben maatregelen ingeregeld die waarborgen dat dit en dit juist, tijdig en volledig wordt uitgevoerd”. Een hele mond vol.) Als het goed is, heeft onze klant maatregelen ingeregeld in hun processen om deze te beheersen. Die ingeregelde maatregelen worden vervolgens uitgeschreven en samen met de doelstellingen vormt dat dan het door ons te testen normenkader.

Vaak gaat dit heel goed; je hebt immers een normenkader dat naar je proces is toegeschreven. Een beheerst proces betekent dan een beheerst normenkader. Soms zien we echter uitzonderingen en als we merken dat een beheersmaatregel niet heeft gewerkt gedurende de periode in scope, moeten we gaan afwegen of de beheersdoelstelling nog behaald blijft.

Wordt deze doelstelling niet behaald, heb je feitelijk een onafgedekt risico. En deze nemen wij dan op in onze mededeling in de rapportage; de zogenaamde ‘mededeling van de onafhankelijke service auditor’. “Wij zijn van mening dat de beheersdoelstellingen in deze rapportage behaald zijn, behalve deze en deze.” Zonde. En het impliceert nogal wat; de accountant die de rapportage ontvangt, zit met een onafgedekt risico, die relevant is in het kader van zijn jaarrekening werkzaamheden. En daar moet hij wat mee, dus vaak komen ze dan alsnog bij de dienstverlener. Daarom is het van belang voor organisaties om te zorgen voor een goede interne beheersing en te streven naar een ‘schone verklaring.’

Third Party Assurance is een van de Assurance diensten die we binnen het ITA-team leveren. Naast ISAE3402, kunnen wij ook rapporten uitbrengen onder andere standaarden; bijvoorbeeld de SSAE16 (de standaard voor de US) en de ISAE3000 (welke onder andere gebruikt wordt voor DigiD-rapportages). Neem voor meer informatie contact op met Sven van Niekerk.


Meer weten over Third Party Assurance?

Wilt u meer weten over third party assurance? Neem dan contact op met Sven van Niekerk +31882885028

Vond u dit nuttig?