ISAE3402 en SSAE16

Beide standaarden zijn afgeleid van een gemeenschappelijk raamwerk. Dit raamwerk is gebaseerd op het SAS70 raamwerk van de AICPA, welke weer voor een belangrijk deel gebaseerd is op het COSO raamwerk. In de uiteindelijke ISAE3402 standaard zijn de COSO elementen opgenomen, er is echter geen verplichting om in het rapport naar COSO te verwijzen, zoals binnen SAS70 wel verplicht was. Zowel ISAE3402 als SSAE16 eisen een management assertion, waarbij het management verklaart dat de interne controle van de organisatie effectief is ingericht. Dit na het voorbeeld van SOx404.

SSAE16 is officieel erkend door AICPA en daarmee is een SSAE16 rapport (feitelijk een rapport gecontroleerd conform de SSAE16-standaard) impliciet goedgekeurd door de AICPA ten behoeve van SOx404-'filers', organisaties genoteerd aan Amerikaanse beurzen. De ISAE3402 standaard is een internationale standaard die door nationale beroepsorganisaties, zoals de Nederlandse Beroepsorganisatie voor Accountants (NBA) is opgenomen in hun 'body of standards'. De ISAE3402 standaard heeft feitelijk in Nederland Standaard 3402. Deze term wordt in de praktijk eigenlijk feitelijk niet gebruikt en de meeste rapporten worden dan ook ISAE3402-rapporten genoemd. Door dit algemene gebruik is de verwachting van de Stichting dat ISAE3402 nog meer als internationale standaard zal worden erkend dan deze nu al is.

In landen die de ISAE3402-standaard nog niet (volledig) geadopteerd hebben zien wij een verschuiving van de lokale standaarden zoals de AAF 01/06 standaard in de UK naar ISAE3402. Inhoudelijk en procesmatig zijn de verschillen tussen ISAE3402 en SSAE16 marginaal, wel dient hierbij opgemerkt te worden dat SSAE16 een 'attestation'-standaard is en ISAE3402 een assurance standaard. Een SSAE16 leidt tot een certificering (zie ook artikel ISAE3402 certificering), terwijl ISAE3402 leidt tot zekerheid bij een verantwoording, ondanks dat dit een vrij semantische discussie is, zijn er vaktechnisch hierbij nog wel enige verschillen, zoals de bruikbaarheid voor de gebruikersorganisatie van dergelijke rapporten.

Share this post