Voor het verkrijgen van een ISAE 3402-certificering moet u over een beschrijving van uw interne controle beschikken, een dergelijk rapport wordt ook wel een Service Organization Control Report (SOC) genoemd.
Dit rapport laat u door een externe accountant certificeren. Deze accountant certificeert feitelijk niet, maar verstrekt een assurance rapport conform de ISAE 3402-standaard bij uw SOC. Er zijn specifieke vereisten voor de inhoud van een dergelijk SOCR of ISAE 3402-rapport. Vanuit SASconsult beschrijven wij uw rapport conform deze vereisten. Wij kunnen u vervolgens in contact brengen met een externe accountant die u ISAE 3402 certificeert.
Veel organisaties richten zich op hun 'core'-activiteiten. Niet core-activiteiten worden uitbesteed naar andere organisaties. Zowel vanuit toezichthoudende organisatie als door het afnemende vertrouwen tussen marktpartijen is de vraag naar zekerheid (assurance) over de uitbesteding toegenomen. Een ISAE 3402 verschaft zekerheid over alle processen die uiteindelijk effect hebben op de jaarrekening van de gebruikende organisatie.
Veel organisaties die onder toezicht staan van de Nederlandse Bank zijn verplicht om aan te tonen dat uitbestede processen daadwerkelijk beheerst worden. Een ISAE 3402-rapport kan daarin behulpzaam zijn en wordt tegenwoordig door steeds meer organisaties zoals zorgkantoren, de AFM verplicht gesteld. Ook internationale ondernemingen die onder toezicht vallen van de SEC en die dienen te voldoen aan SOx 404 moeten verplicht voldoen aan alle vereisten van ISAE 3402 of SSAE16 voor de processen die zij uitbesteden. In gevallen is de vraag naar ISAE 3402 dus zeker terecht.
Mogelijk kunt u dit. Een ISAE 3402-rapport dient aan een aantal vormvereisten en inhoudelijke vereisten te voldoen. De ISAE 3402-standaard is overigens een openbare standaard, u kunt hem van onze website downloaden en raadplegen. Een ISAE 3402 rapport dient minimaal een beschrijving van het control framework en een management bevestiging ten aanzien van die interne controle te bevatten.
ISAE 3402 is de internationale standaard voor uitbesteding, dat betekent dat u voldoet aan internationale eisen die ook herkenbaar zijn voor zowel uw nationale als internationale opdrachtgevers. Voldoen aan de ISAE 3402 standaard wordt in veel aanbestedingen als vereiste gesteld. Een ander voordeel is dat het niet langer noodzakelijk is dat uw opdrachtgever eigen auditors bij u langs stuurt. Daarnaast wordt ISAE 3402 vaak gebruikt als middel om processen in de organisatie te uniformeren en beter in te richten.
Dat is wel verplicht. U dient namelijk in het ISAE 3402-rapport informatiesystemen die effect hebben op de jaarrekening op te nemen (ref. ISAE3402.16). Veelal is het daarom ook van belang om de controls in uw besturingssysteem (Windows Server of Linux) te beschrijven in het ISAE 3402-rapport.
Dit is een voorbeeld van de uitwerking van de Nederlandse ISAE 3402 prakijk. Vanuit SOx404 en de PCAOB-standaard is het vereist dat bijvoorbeeld een dagelijkse control 25 maal getest wordt. Deze vereisten kent de ISAE 3402 standaard niet. In de ISAE 3402-standaard is opgenomen dat de service auditor een steekproefgrootte moet bepalen zodat het risico wordt gereduceerd tot een aanvaardbaar niveau (Standaard 27 sub b).
De Uitsluitingsmethode of Carve-out methode betreft hoe wordt omgegaan met de diensten die worden verleend door een subservice organisatie. Hierbij omvat de beschrijving van de serviceorganisatie van haar systeem de aard van de diensten die door een subservice organisatie worden verleend. De relevante interne beheersingsdoelstellingen en de daarmee verband houdende interne beheersingsmaatregelen van de subservice organisatie zijn echter uitgesloten van de beschrijving van de serviceorganisatie van haar systeem alsmede van de reikwijdte van de opdracht van de accountant van de serviceorganisatie. De beschrijving van de serviceorganisatie van haar systeem en de reikwijdte van de opdracht van de accountant van de serviceorganisatie bevatten interne beheersingsmaatregelen van de serviceorganisatie die de effectiviteit van de interne beheersingsmaatregelen van een subservice organisatie monitort, wat in kan houden dat de serviceorganisatie een assurance-rapport betreffende de interne beheersingsmaatregelen van de subservice organisatie beoordeelt.
Dit is een vrij 'semantische'-discussie. Bij een ISAE 3402-rapport krijgt u geen certificaat. Normaliter bestaat een ISAE 3402-rapport uit een Service Organization Control Report (SOC-1) en een assurance rapport van een externe accountant. In de praktijk wordt echter wel gesproken over een ISAE 3402-certificering.
De ISAE 3402 standaard vraagt van dienstverlenende organisaties een proactieve houding in het voldoen aan de eisen die worden opgelegd door de service auditors (accountants). Daardoor kunnen dienstverlenende organisaties sterk profiteren van het uitvoeren van een ISAE ‘Readiness Assessment’ die ondersteunend zal zijn bij het begrijpen van de rapportage-eisen. Deze rapportage-eisen omvatten: het voorbereiden van een beschrijving van het systeem van de service-organisatie en het voorbereiden van een schriftelijke management verklaring (statement of assertion) die opgenomen zal worden in het definitieve ISAE 3402-rapport. Daarnaast kan een interne audit binnen de dienstverlenende organisatie mogelijk betrokken worden bij het gehele proces van de assurance-opdracht als de accountant (auditor) van de dienstverlenende organisatie de objectiviteit en professionaliteit aanvaardbaar acht. Zo zal het uitvoeren van een ISAE 3402 ‘Readiness Assessment’ van belang zijn voor dienstverlenende organisaties in het begrijpen van de reikwijdte van de opdracht evenals het begrijpen van de rapportage-eisen voor de ISAE 3402 standaard.
De ISAE 3402 norm stelt dat rapporten die gemaakt zijn volgens ISAE 3402 op zichzelf al passend bewijs leveren onder ISA 402, audit overwegingen met betrekking tot een entiteit die gebruik maakt van een serviceorganisatie. Met andere woorden, de ISA 402 richt zich op de verantwoordelijkheid van de gebruikersorganisatie voor het verkrijgen van voldoende en geschikte controle-informatie wanneer een gebruikersorganisatie gebruik maakt van een of meer service organisaties. Het is belangrijk om op te merken dat veel standaarden voor jaarrekeningen en tevens een aantal ondersteunende standaarden ook een rol spelen in de interpretatie, het begrijpen en het faciliteren van die norm zelf, zoals het geval het met de ISAE 3402 standaard.