GRC en Assuring > ISAE3402 en ISAE 3000
ISAE (International Standards for Assurance Engagements) 3402 en ISAE 3000 zijn beide standaarden van “International Federation of Accountants” (IFAC). Beide standaarden zijn gericht op uitbesteding aan service organisaties.
Nadere toelichting:
ISAE 3000 is de standaard voor zekerheid over uitbesteding betreffende niet-financiële informatie. ISAE 3402 vult ISAE 3000 aan en is gericht op financiële verslaggeving die is uitbesteed (aan een service organisatie).
Onderstaande informatie is gericht op ISAE 3402.
ISAE 3402 is een wereldwijde betrouwbaarheidsstandaard voor rapportage over controles bij serviceorganisaties. Het werd van kracht op 15 juni 2011, grotendeels als reactie op de Sarbanes-Oxley-wet (vaak aangeduid met de afkorting SOX) in de nasleep van de financiële schandalen van Enron en WorldCom om aandeelhouders en het grote publiek te beschermen tegen boekhoudfouten en frauduleuze praktijken.
ISAE 3402 heeft betrekking op het uitbesteden van financiële bedrijfsprocessen aan een service organisaties. Zo kunnen de volgende diensten uitbesteed zijn: loon- en salarisadministratie, crediteurenadministratie, incasso debiteuren, vermogensbeheer en natuurlijk de IT, zoals het systeembeheer, outsourcen van applicaties of gebruik maken van applicaties via het cloudmodel.
ISAE 3402 wordt ook wel een “Auditor to auditor” rapportage genoemd. Bijvoorbeeld een accountant die een (financiële) audit uitvoert, voor een organisatie die werkzaamheden heeft uitbesteed aan een service organisatie, kan een gespecialiseerde auditor vragen een audit uit te voeren op basis van ISAE 3402 bij betreffende service organisatie wat betreft uitbestede financiële bedrijfsprocessen.
ISAE 3402 vervangt ook de oudere SAS70. SAS 70 is ontwikkeld door het American Institute of Certified Public Accountants (AICPA) als een vereenvoudiging van een reeks criteria voor controlestandaarden die oorspronkelijk in 1988 werden gedefinieerd. SAS 70 definieerde de normen die een auditor moet gebruiken om de gecontracteerde interne beheersings-maatregelen van een serviceorganisatie te beoordelen. Inmiddels is SAS 70 dus vervangen door ISAE 3402.
ISAE 3402 omvat een migratie naar wereldwijde boekhoudprincipes en -normen. Dit laatste met als doel om transparantie en meer duidelijkheid te creëren m.b.t het rapporteren over audits bij serviceorganisaties.
In ISAE 3402 zijn controlerapporten geclassificeerd als Type I of Type II.
ISAE 3402 is momenteel de geaccepteerde "standaard" voor rapportage over controles bij serviceorganisaties. In Nederland wordt het normenkader van ISAE 3402 toegepast door zowel de Norea (als Richtlijn 3402) en de NBA (als Standaard 3402), waarover hierna meer informatie. Betreffende standaarden zijn beschikbaar via IFAC (PDF). IFAC meldt hierover: “All publications are available to the public; however, you must register/login to view them”.
Einde toelichting begrip
Meer over ISAE3402 en ISAE 3000 op deze website