ISAE 3402 kenmerken en verschillen met SAS 70 (SSAE16) door T. Sikkema, www.hutaudit.nl

1. ISAE 3402 - samenvatting Enkele belangrijke kenmerken en verschillen in vergelijking met SAS70Drs. T. (Temme) Sikkema RA – t.sikkema@hutco.nl – Netherlands – September 2009

2. Het belang van ‘Third Party Reporting’ 1 Uitbesteding (‘Outsourcing’) is een strategische keuze geworden. Kostenreductie, terugkeer naar kernactiviteiten en flexibiliteitstoename zijn de ‘drivers’ voor een ‘gebruikersorganisatie’ om activiteiten uit te besteden naar een ‘serviceorganisatie’. ‘Gebruikersorganisaties’ dienen ervan verzekerd te zijn dat een ‘serviceorganisatie’ zijn beheersmaatregelen correct heeft vastgesteld, geimplementeerd en dat deze effectief werken.

3. Het belang van ‘Third Party Reporting’ 2 De ‘serviceorganisatie’ kan meerdere verzoeken ontvangen voor een jaarlijkse audit van zijn klanten. De ‘serviceorganisatie’ kan in plaats daarvan kiezen voor een assurance rapport door derden voor de effectiviteit van zijn beheersmaatregelen relevant voor zijn klanten.

4. ‘Third Party Reporting’: SAS70 SAS70 is de Amerikaanse norm voor een auditverklaring die wereldwijd wordt toegepast (recent geactualiseerd tot SSAE 16) SAS70 geeft de ‘gebruikersorganisatie’ (en zijn accountants) zekerheid over de vaststelling en het gebruik van die relevante beheersmaatregelen SAS70 stelt de ‘gebruikersorganisatie’ in staat om te werken volgens geldende wetgeving en interne richtlijnen (‘compliance’).

5. SAS70 – kenmerken 1 SAS70 richt zich op eisen voor financiele rapportage van ‘gebruikers- en serviceorganisaties’ en is dus beperkt de beheersmaatregelen voor het verwerken van financiele transacties. De actuele SAS70 verklaring is in zijn algemeenheid verdeeld in 3 of 4 secties, afhankelijk van het type opdracht. Er zijn 2 type verklaringen: Type I en Type II.

6. SAS70 – kenmerken 2 Een Type I verklaring beschrijft de beheersmaatregelen op een specifiek moment voor de ‘serviceorganisaties’. Een Type II verklaring voegt gedetailleerde testen toe van de beheersmaatregelen van een ‘serviceorganisatie’ over een periode van minimaal 6 maanden.

7. SAS70 – kenmerken 3 SAS70 is een audit norm en niet een voorgedefinieerde set van normen waaraan een ‘serviceorganisatie’ vooraf aan moet voldoen. In een SAS70 audit is de ‘serviceorganisatie’ verantwoordelijk voor de beschrijving van de beheersmaatregelen waarop het audit rapport van toepassing is. Het vaststellen van de scope van de audit is daarom een essentieel onderdeel.

8. Te onderzoeken type processen Raamwerk van beheersmaatregelen Beheersactiviteiten Processen mbt risico analyses Informatie and communicatie processen Processen mbt monitoring

9. Te onderzoeken type processen Beheersmaatregelen, organisatorische invalshoek Beheersmaatregelen voor applicatieontwikkeling en -onderhoud Toegangscontroles Beheersing van applicaties Beheersing van systeem onderhoud Beheersing van dataverwerking [Beheersing van bedrijfscontinuiteit] - in een afzonderlijk deel van de verklaring, zonder garanties

10. Een SAS70 audit verklaart: Of de beheersmaatregelen van een ‘serviceorganisatie’ correct zijn beschreven. Of de beheersmaatregelen van een ‘serviceorganisatie’ qua opzet effectief zijn. Of de beheersmaatregelen van een ‘serviceorganisatie’ in gebruik zijn op een specifiek moment. Of de beheersmaatregelen van een ‘serviceorganisatie’ effectief werken gedurende een specifieke periode (alleen Type II verklaring).

11. ‘Third Party Reporting’: gebruik ISAE3402 1 ISA402 – Audit overwegingen in relatie tot organisaties die gebruik maken van ‘serviceorganisaties’. ISA402 geeft richtlijnen aan ‘gebruikersorganisaties’ en hun accountants voor de impact die ‘serviceorganisaties’ hebben op de jaarrekening van de ‘gebruikersorganisatie’. Echter, ISA402 geeft geen richtlijnen voor de accountants van serviceorganisaties. Gebruik………ISAE3402

12. ‘Third Party Reporting’: gebruik ISAE3402 2 ISAE3402 – International Standard on Assurance Engagements 3402 – Assurance Reports on controls at a Third Party Service Organisation Doel: een internationaal alternatief creeren voor de Amerikaanse SAS70 norm, waarbij het gebruik van de verklaring breder toepasbaar is voor meer eindgebruikers

13. ISAE3402 – kenmerken 1 ISAE3402 beperkt de scope niet tot de beheersdoelen voor de eisen aan de financiele rapportage. Zoals SAS70, is ISAE3402 gebaseerd op een verklaring Zoals SAS70, heeft de ISAE3402 twee type verklaringen (Type A and Type B) met in opzet dezelfde scope. In aanvulling op de conclusie van de auditor moet het management van de ‘serviceorganisatie’ een formele verklaring afgeven voor zijn verantwoordelijkheid voor de beheersmaatregelen uit de verklaring. Dit is een wezenlijk verschil met SAS70.

14. ISAE3402 – kenmerken 2 ISAE3000 veronderstelt dat de accountent van de ‘serviceorganisatie’ de geschiktheid van de criteria onderzoekt en de aanvaardbaarheid van de scope. ISAE3402 veronderstelt een minimale set van deze criteria Kan de audit gemeenschap deze criteria S.M.A.R.T. maken?