ISAE 3402

ISAE 3402 en NOREA-richtlijn 3402 betreffen assurance-rapporten over interne beheersingsmaatregelen bij een serviceorganisatie, die van belang kunnen zijn voor de betrouwbaarheid van de financiële verslaggeving van diens klanten. ISAE 3402 geeft invulling aan de standaard ISA 402, die de financial auditor kaders geeft indien een belangrijk deel van de administratieve processen wordt uitgevoerd door derden (serviceorganisaties). Een 3402-assurancerapport bevat uitspraken over de kwaliteitsaspecten juistheid, volledigheid en tijdigheid van de onderzochte processen. Het nadeel van een 3402-rapport is dat het alleen bruikbaar is om assurance te geven over de betrouwbaarheid van processen die een relatie hebben met de financiële verantwoording. Auditors moeten daarom op een andere manier tegemoet komen aan de vraag naar assurance over de overige processen en/of kwaliteitsaspecten die essentieel zijn bij IT-dienstverlening. Zie hiervoor de paragraaf ‘Implementatie in Nederland’.

De ISAE 3402 (SOC1) rapportage focust op de interne beheersingsmaatregelen die verband houden met de verwerking van financiële transacties bij een serviceorganisatie. Deze wordt uitgevoerd conform de International Standard on Assurance Engagements nummer 3402 (ISAE 3402) of Nederlandse implementaties hiervan: Standaard 3402 zoals uitgegeven door het Nederlandse Beroepsorganisatie van Accountants (NBA) of Richtlijn 3402 als uitgegeven door de beroepsorganisatie van IT-auditors in Nederland (NOREA). Zowel de standaard als de richtlijn voldoet aan de internationale ISAE 3402 vereisten.

Dit type assurance rapportages heeft betrekking op de interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgesteld door een service-organisatie en die relevant zijn voor financiële verslaggeving.

Gebaseerd op de ISAE 3402 standaard en de door de NBA en NOREA uitgebrachte implementaties hiervan, dient een 3402 rapportage de volgende elementen te bevatten:

  • Bewering van het management: management dient een geschreven bewering te doen betreft de compleetheid en het accuraat zijn van de verschafte informatie en aan te geven welke criteria zij hanteren als basis voor deze bewering.
  • Beschrijving van het systeem: management dient een complete en accurate beschrijving van het systeem van de serviceorganisatie voor te bereiden en te presenteren.
  • Identificatie van interne beheersingsdoelstellingen: management dient interne beheersingsdoelstellingen te specificeren en deze te vermelden in de beschrijving van het systeem van de serviceorganisatie.
  • Interne beheersingsmaatregelen om risico’s te mitigeren: interne beheersingsmaatregelen moeten in werking zijn gesteld om in te spelen op de risico’s die zijn geïdentificeerd in de risico-inschatting en deze te mitigeren. De serviceorganisaties dienen interne beheersingsmaatregelen op te zetten, te implementeren en te onderhouden om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen worden behaald.

Verschillende typen rapportages

ISAE 3402 kent twee soorten rapportages; een type I rapportage en een type II rapportage.

Type I
In de type I rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De accountant toetst bij een ISAE 3402 type I audit of deze maatregelen toereikend zijn voor het gestelde doel; de criteria die opgenomen zijn.

Type II
Bij een type II audit wordt ook de effectieve werking van beheersmaatregelen getoetst. Dat betekent dat niet alleen getoetst wordt of maatregelen aanwezig zijn (in opzet en bestaan), maar ook of maatregelen gedurende een periode de doelstellingen zijn behaald (hebben gewerkt gedurende een bepaalde periode).

Wij helpen u graag bij het komen tot een 3402 rapportage. Onze aanpak is gebaseerd op drie sleutelwoorden: effectief, samenwerken en praktisch. Dit heeft voor u de volgende toegevoegde waarde:

  • kost minder tijd en dus geld;
  • overzichtelijk traject;
  • leidt tot een rapport die de informatie bevat die uw klanten verwachten;

Op de download pagina vindt u o.m. onze ISAE3402 Whitepaper.

Wilt u meer weten over onze dienstverlening betreffende ISAE3402? Bel ons dan op nummer 088 – 160 1700. U kunt ook het contactformulier invullen. Wij nemen dan zo snel mogelijk contact met u op.