Opvallend is dat een meerderheid van de respondenten positief staat tegenover een meer ’Rijnlandse uitwerking’ van deze standaard, die in de plaats komt van de SAS-70 standaard. Daarmee wordt gedoeld op een betere aansluiting van de inhoudelijke normering van ISAE 3402 bij specifieke kenmerken van de organisatie. Te denken valt aan de stijl van leidinggeven, de mate waarin medewerkers zelf hun procedures ontwerpen, benodigde flexibiliteit in het procesontwerp etc. De meer Angelsaksische (op COSO gebaseerde) uitwerkingen die als ’best practice’ bekend staan, blijken niet altijd ’passend’.

Door NOREA, de beroepsorganisatie van IT-auditors is de afgelopen jaren veel aandacht besteed het in overeenstemming brengen van haar regelgeving met de International Standards on Auditing (ISA). Register IT-auditors zijn daardoor optimaal voorbereid op de groeiende vraag naar aanvullende zekerheid over uitbesteding (outsourcing) van diensten of processen die van vitaal belang zijn voor bedrijven of organisaties. Voorbeelden daarvan zijn het uitbesteden van de personeels- en salarisprocessen, de financiële processen of het uitbesteden van de IT organisatie. Bij uitbesteding blijft het management dat deze processen uitbesteedt toch eindverantwoordelijk voor de beheersing van deze processen. Immers, organisaties moeten aantoonbaar ’in control’ zijn voor wat betreft hun vitale bedrijfsprocessen.

Om zekerheid te verschaffen over de uitbesteding is een nieuwe standaard 3402 ontwikkeld die is voorzien als opvolger van de SAS-70 standaard. De International Auditing en Assurance Standards Board (IAASB) streeft hiermee naar één wereldwijde standaard voor rapportage over beheersingsprocessen in verband met uitbestede diensten. De nieuwe standaard geldt voor rapportages eindigend op of na 15 juni 2011 over de interne beheersing relevant voor de financiële rapportages. Een early adoption, d.w.z. een vroegtijdige implementatie van deze standaard is mogelijk.

Met name voor sommige ’niet-financiële processen’ kan het van belang zijn om toch aanvullende zekerheid te ontlenen aan uitbestede diensten waartoe een SAS-70 of 3402 oordeel minder geschikt zijn. In dat geval is al langer een goed alternatief voorhanden: ISAE 3000. Deze standaard richt zich op assurance anders dan (historische) financiële informatie. Deze standaard is meer ’vormvrij’ en daarom soms beter geschikt om toch de noodzakelijk ’assurance’ te kunnen ontlenen in een situatie van uitbestede ICT-dienstverlening.

Gezien zijn specifieke deskundigheid is de Register IT-auditor (RE) de aangewezen gesprekspartner om u te adviseren over de meest adequate rapportagevorm in dit verband. IT-auditors, ingeschreven in het NOREA-register, zijn onlangs ook door NIVRA en NOVAA formeel erkend als professionals die bevoegd zijn om - ook namens accountantskantoren - assurance-opdrachten uit te voeren. Gezien de specifieke deskundigheid zal de RE veelal preferred supplier zijn bij proces- en IT-gerelateerde assurance-vraagstukken.

Publicatietijd: 22/09/2010 08:04
Rubriek: Economie Organisatie: NOREA IPTC: Economie, Business & Financien / ICT / Veiligheid. Dit is een origineel persbericht.