ISAE 3402 -Verantwoordelijkheid blijven dragen in het gamma tussen “eigen beheer” en de cloud

Third Party Mededeling
Met de komst van de automatisering werd het voor bedrijven mogelijk (gedeelten van) hun administratie de deur uit te doen. Dit fenomeen "outsourcing" leidde tot de vraag bij het management, die verantwoordelijk bleef voor de goede werking, of de kwaliteit van de ge-outsource-te administratie gegarandeerd was en blijft. Deze vraag leidde tot een uitbreiding van het dienstenpakket dat auditors aanbieden. Allereerst in de tijd dat mainframes en grote rekencentra dominant waren boden de financial auditors (accountants) de TPM aan. De TPM staat voor de Third Party Mededeling. Een uitspraak van de accountant over de goede werking van de administratieve organisatie, inclusief de interne controle, over een bepaalde periode van (veelal) een rekencentrum. Men spreekt van een mededeling omdat het woord verklaring voorbehouden is aan uitspraken over een financiële verantwoording.

Ondersteuning bij SAS70 certificering
In de Verenigde Staten werd door het Amerikaanse instituut van openbare accountants (AICPA) in 1992 Statement on Auditing Standards nummer 70 uitgebracht. SAS70 gaat met name over Service organizations. Ook in Nederland werd deze standaard omarmd. Niet alleen rekencentra, maar ook andere dienstverleners, zoals administratiekantoren en back offices van pensioenfondsen, konden nu aan een norm voldoen waardoor zij hun afnemers meer zekerheid konden bieden door het geven van een verantwoording over hun interne processen gecontroleerd door een onafhankelijke auditor. Bij 2-Control ondersteunen wij al vele jaren accountantskantoren bij het afgeven van SAS70 certificaten.

Overgang naar ISAE 3402
De IAASB (International Auditing and Assurance Standards Board) heeft de ISAE 3402 ontworpen -de standaard “Assurance Reports on Controls at a Third Party Service Organisation”. Deze standaard is in 2011 van kracht geworden. Twee Nederlandse auditorganisaties (NBA – de organisatie van registeraccountants en accountants-administratieconsulenten en NOREA- de organisatie van IT-auditors) hebben deze standaard aangenomen. Nu kunnen organisaties zich laten certificeren volgens een wereldwijde standaard. Het verschil tussen SAS70 en ISAE 3402 is grofweg, dat ten eerste ISAE 3402 een bedrijfsbrede risicoanalyse als basis heeft en SAS70 de formulering van controledoelstellingen en ten tweede ISAE 3402 eist van het management van een serviceorganisatie, dat zij een uitspraak doet over de kwaliteit van de werking van hun interne processen.
2-Control heeft inmiddels ook ruime ervaring in het adviseren over en het ondersteunen van accountants- en serviceorganisaties bij het ISAE3402-certificeringproces.

Cloud
Met de komst van Software as a Service, Platform as a Service, Infrastructure as a Service, kortom de Cloud lijkt het erop, dat de uitspraak dat generaals zich altijd voorbereiden op de laatste oorlog ook geldt voor de IAASB. Waar de klant de indruk zal hebben dat de Service Provider alles zelf onder controle heeft, zorgt de snelle verspreiding van het cloud concept ervoor dat achter iedere service provider een keten van service providers ontstaat. Ons inziens moet voor iedere klant van een service provider transparant zijn wat de waarde van een ISAE 3402 certificaat van zijn service provider is, zonder dat de klant zelf een complete ketenanalyse dient uit te voeren. Hier ligt een mooie opdracht voor zowel auditors als opstellers van standaarden.

Tot slot
Aarzel niet met ons een vrijblijvende discussie aan te gaan over nut en noodzaak van ISAE 3402 certificering.

© 2011 2-Control, Etten-Leur Overname met bronvermelding is toegestaan.