Nieuws 23 september 2010

Resultaten onderzoek ISAE 3402 gepresenteerd

Tijdens de NOREA/ISACA IT-auditorsdag op 22 september 2010 in Congrescentrum Amstelveen zijn de resultaten gepresenteerd van een onderzoek onder IT-auditors over de nieuwe assurance-standaard 3402.

Opvallend is dat een meerderheid van de respondenten op de vragenlijst positief staat tegenover een meer 'Rijnlandse uitwerking' van deze standaard, die in de plaats komt van de SAS 70-standaard. Daarmee wordt gedoeld op een betere aansluiting van de inhoudelijke normering van ISAE 3402 bij specifieke kenmerken van de organisatie.

Te denken valt aan de stijl van leidinggeven, de mate waarin medewerkers zelf hun procedures ontwerpen, benodigde flexibiliteit in het procesontwerp etcetera. De meer Angelsaksische (op COSO gebaseerde) uitwerkingen die als 'best practice' bekend staan, blijken niet altijd 'passend'.

Om zekerheid te verschaffen over de uitbesteding is een nieuwe standaard 3402 ontwikkeld die is voorzien als opvolger van de SAS 70-standaard. De International Auditing en Assurance Standards Board (IAASB) van de IFAC streeft hiermee naar één wereldwijde standaard voor rapportage over beheersingsprocessen in verband met uitbestede diensten. De nieuwe standaard geldt voor rapportages eindigend op of na 15 juni 2011 over de interne beheersing relevant voor de financiële rapportages. Een 'early adoption', dat wil zeggen een vroegtijdige implementatie van deze standaard, is mogelijk.

Met name voor sommige 'niet-financiële processen' kan het van belang zijn om toch aanvullende zekerheid te ontlenen aan uitbestede diensten waartoe een SAS 70- of 3402-oordeel minder geschikt zijn. In dat geval is al langer een goed alternatief voorhanden: ISAE 3000. Deze standaard richt zich op assurance anders dan (historisch) financiële informatie. Deze standaard is meer 'vormvrij' en daarom soms beter geschikt om toch de noodzakelijk 'assurance' te kunnen ontlenen in een situatie van uitbestede ICT-dienstverlening.