Netherlands
Talen

Talen

Third Party Assurance

Outsourcing kan uw organisatie veel flexibeler maken en daarnaast belangrijke kostenvoordelen opleveren. Outsourcing ontslaat u echter niet van uw verantwoordelijkheid voor het geoutsourcte proces. U bent daar nog steeds verantwoordelijk voor, ook al zijn de afspraken vastgelegd in een duidelijk Service Level Agreement.

De huidige wet- en regelgeving en reputatierisico’s zijn belangrijke redenen om een goede control- en toezichtomgeving in te richten voor uw geoutsourcte processen.

Steeds meer organisaties eisen daarom van hun serviceproviders dat de omgeving waarin gewerkt wordt betrouwbaar is en aan wet- en regelgeving voldoet. Eén van de mogelijkheden om zekerheid te krijgen over deze 'extended enterprises' is certificering door een daartoe bevoegde IT-auditor of registeraccountant, bijvoorbeeld in de vorm van een ISAE3402 rapport. De auditor verstrekt dan een mededeling bij de rapportage. Dit rapport moet conform de ISAE3402-richtlijn worden beschreven en alle processen moeten 'controleerbaar' zijn, dat betekent veelal dat u meer zult moeten vastleggen dan voorheen. In vergelijk met de traditionele jaarrekening is ISAE3402 feitelijk ‘de jaarrekening’ van uw processen.

De ISAE 3402 standaard kent een uitgebreidere scope dan de vroegere SAS70 standaard en is voor meer beheersingsmaatregelen toe te passen. De scope beperkt zich niet tot de beheersdoelen voor de richtlijnen van de financiële rapportage. Het onderzoek leidt tot een derdenverklaring (TPM - Third Party Mededeling) ten behoeve van uw cliënten.

Het management van de serviceorganisatie geeft een formele verklaring (een zogenaamde 'management assertion') af voor zijn verantwoordelijkheid voor de beheersmaatregelen.

Het ISAE3402 onderzoek kent  2 vormen:

  • Type I
    Voor de toetsing van opzet en bestaan van beheersmaatregelen.
     
  • Type II
    Naast de opzet en het bestaan wordt ook de effectieve werking van de beheersmaatregelen voor een bepaalde periode getoetst.