ISAE 3402 rapportage

ISAE 3402 is een standaard voor de rapportage over de interne beheersing van een service organisatie ten behoeve van een user organisatie. Door de explosieve groei van uitbesteding door organisaties is ook de vraag naar de beheersing van deze uitbesteding toegenomen. In een ISAE 3402-rapport is een algemene beschrijving opgenomen van de beheersorganisatie en veelal een control matrix. De algemene beschrijving van de beheersorganisatie wordt bij voorkeur volgende COSO standaarden beschreven.

Wat betekent dit nu praktisch?

Voorbeeld

Stel een pensioenfonds besteedt haar vermogensbeheer uit.

Het pensioenfonds valt onder toezicht van DNB en zal moeten aantonen dat deze uitbesteding goed beheerst wordt. Doordat de vermogensbeheerder een rapport opstelt waarin zij beschrijft hoe de uitbestede processen zijn beheerst kan het pensioenfonds dit aantonen.

Een dergelijk rapport heeft een Service Organization Control Report. Hiervoor bestaan verschillende standaarden; ISAE3402, SSAE16 (VS) en AAF 01/06 (UK). In Nederland kennen wij Standaard 3402. Dit is een vertaling van de ISAE 3402-standaard van de International Federation of Accountants (IFAC).

Een dergelijk Service Organization Control Report wordt door een accountant (de serviceauditor) gecontroleerd. Indien een accountant (user auditor) de jaarrekening van het pensioenfonds controleert dat maakt hij gebruik van deze ISAE 3402-accountantsrapportage om vast te stellen of de uitbestede processen leiden tot een juiste en volledige verwerking in de jaarrekening van het pensioenfonds.

Een accountant kan een type I en een type II verklaring verstrekken bij een ISAE 3402-rapport. In ISAE 3402 type I rapport wordt uitsluitend gerapporteerd over het bestaan van het control framework (de beheersmaatregelen) op één moment. In een ISAE 3402 type II rapport wordt over zowel het bestaan als de werking gerapporteerd over een periode van minimaal zes maanden.

De stichting maakt gebruik van knowledge partner voor ISAE 3402 kennis.