Met ISAE3402 aantoonbaar in control

Vanuit prospecten en klanten komt meer en meer de vraag naar extra borging rond bestaande (financiële) dienstverlening. Naar aanleiding van een groeiende vraag dienen dienstverlenende (financiële) organisaties zich zodanig te organiseren dat ze aan haar klanten kunnen bewijzen dat ze aantoonbaar ‘in control’ zijn over de dienstverlening die ze aanbieden.

Dit kan bijvoorbeeld door een ISAE3402 verklaring. Een ISAE3402 verklaring moet dienstverleners in staat stellen om zich te bewijzen dat ze aantoonbaar in control zijn. De ISAE 3402 is een ‘internationale’ standaard, die in ontwikkeling is en in de komende jaren de SAS70 standaard zal vervangen. Deze standaard ziet toe op zogenaamde third party assurance-rapportages. Met zo’n derdenverklaring wordt bijvoorbeeld aangegeven dat een serviceorganisatie, waar een gebruikersorganisatie activiteiten aan heeft uitbesteed, ‘in control’ is.

Steeds meer bedrijven besteden delen van hun activiteiten uit aan serviceorganisaties. Voorbeelden van deze uitbestede activiteiten zijn het beheer van rekencentra, de afhandeling van vragen via externe call centra of het uitbesteden van gegevensverwerkende geautomatiseerde processen.
Uitbesteding van deze activiteiten betekent niet dat de verantwoordelijkheid wordt ‘uitbesteed’. Het management van de gebruikersorganisatie blijft verantwoordelijk voor de beheersing van deze processen, ook al zijn de afspraken vastgelegd in een duidelijk service level agreement (sla).

De ISAE 3402 standaard kent een uitgebreidere scope dan de aloude SAS70 standaard waardoor deze voor een bredere scope aan beheersingsmaatregelen is toe te passen. De scope beperkt zich niet tot de beheerdoelen voor de richtlijnen van de financiële rapportage.

In deze verschilt de ISAE 3402 standaard van de SAS 70 standaard. De belangrijkste overeenkomst is dat de standaard leidt tot een derden verklaring (tpm – third party mededeling); beide standaarden kennen twee verschillende type rapportages, elk met een vergelijkbare opzet. Een wezenlijk verschil met de SAS 70 verklaring is dat bij ISAE 3402 het management van de serviceorganisatie een formele verklaring (een zogenaamde ‘management assertion’) moet afgeven voor zijn verantwoordelijkheid voor de beheersmaatregelen uit deze verklaring. De ISAE3402 standaard kent ook twee type rapportages:

Type I: voor de opzet en het bestaan van beheersmaatregelen
Type II: naast de opzet en het bestaan ook de effectieve werking van de beheersmaatregelen voor een bepaalde periode.

Voordelen ISAE 3402

Om aan te tonen dat de management van de gebruikersorganisatie ‘in control’ is over de uitbestede activiteiten, worden vaak audits uitgevoerd bij de dienstverlenende (financiële) organisaties. Richtlijn voor de uitvoering is de Amerikaanse SAS70 standaard.

In de loop van de jaren is gebleken dat deze SAS70 standaard zijn beperkingen heeft. Het vertrekpunt van SAS70 is altijd geweest de controls die uiteindelijk relevant zijn dan wel impact hebben op de financiële rapportage van de gebruikersorganisatie. Doordat ISAE3402 dit vertrekpunt loslaat, kan de scope van de rapportages breder zijn, en zal ook gerapporteerd kunnen worden over beheersingsmaatregelen die toezien op bedrijfscontinuïteit.

Eisen die ISAE 3402 stelt

De ISAE3402 legt (financiële) dienstverlenende organisaties een aantal eisen op. Het zijn eisen waaraan de nodige tijd en moeite moet worden besteed, maar vormen dan ook een uitdaging om de dienstverlenende organisatie op een hoger volwassenheidsniveau te brengen en te laten voldoen aan deze wereldwijd geaccepteerde standaard.

Belangrijk is dat de relevante onderdelen goed begrepen worden, zoals in deze ISAE 3402 norm zijn uiteengezet. Het begin met een praktische, maar toch ook diepgaande beschrijving van het gebruikte beheersysteem. De beschrijving van het beheersysteem kent een aantal eisen waaraan minimaal moet worden voldaan:

Een op schrift gestelde beschrijving met toelichting van alle relevante diensten die de dienstverlenende organisatie biedt, bijvoorbeeld toegespitst op type processen of type transacties
Een op schrift gestelde beschrijving met toelichting van alle relevante procedures voor de geleverde diensten, middels it-systemen of handmatige processen voor het initiëren, vastleggen, rapporteren en corrigeren.
Een op schrift gestelde beschrijving met toelichting van alle gegevensbestanden met gebruikersstructuren en andere ondersteunende informatiebronnen die worden gebruikt ter ondersteuning van de (primaire) processen
Een op schrift gestelde beschrijving met toelichting hoe de gebruikersorganisatie wordt geïnformeerd middels rapportages en andere informatiebronnen
Een op schrift gestelde, gespecificeerde lijst van alle beheerdoelen (control objectives) binnen de context van de ISAE 3402 verklaring zo nodig met een toelichting van eventuele afwijkingen binnen het geheel van alle beheerdoelen.
Een op schrift gestelde beschrijving met toelichting van de onderdelen van het eigen beheersysteem (internal control) van de service organisatie, bijvoorbeeld gebaseerd op het COSO-model (1. Control Environment, 2. Control Activities, 3. Information and Communication, 4 Risk Assessment, 5. Monitoring).

Aanvullende eisen van de ISAE 3402 norm zijn verder nog:

Een op schrift gestelde beschrijving met toelichting van alle wijzigingen in het (beheer)systeem van de dienstverlenende organisatie gedurende de gespecificeerde testperiode (in geval van een ISAE 3402 rapport type II).
Een op schrift gestelde beschrijving en verklaring met betrekking tot alle informatie gerelateerd aan de service organisatie die ontbreekt of incorrect is.
Een op schrift gestelde verklaring (statement of assertion) van de service organisatie in samenhang met de systeembeschrijving en in geval van een ISAE 3042 type II rapport, dat het systeem op effectieve wijze heeft gefunctioneerd tijdens de testperiode.
Het identificeren van risico’s die de verwezenlijking van de beheerdoelen (control objectives) bemoeilijken, wat vooral een discussie is tussen de service organisatie en de service auditor.

Bedenk dat het samenstellen van een goede systeembeschrijving de nodige tijd en moeite vraagt. Bekijk de geleverde diensten maar ook alle ondersteunende processen, beleidsissues, procedure en alle andere operationele activiteiten die het dagelijks functioneren van de dienstverlenende organisatie ondersteunen en faciliteren.

Waar ISAE 3402 voor bedoeld is

Vele soorten organisatie komen vandaag de dag in aanmerking voor een onderzoek naar de werking van hun eigen beheermaatregelen, wat resulteert in een afgifte van een derdenverklaring. Een derdenverklaring die moet voldoen aan de auditnorm ISAE3402 of SSAE16. Dienstverlenende organisaties, die veel gebruik maken van derdenverklaringen zijn onder meer: