1 / 14

ISAE 3402 - samenvatting

ISAE 3402 - samenvatting. Enkele belangrijke kenmerken en verschillen in vergelijking met SAS70 Drs. T. (Temme) Sikkema RA – t.sikkema@hutco.nl – www.hutaudit.nl - NL – September 2009. Het belang van ‘Third Party Reporting’ 1. Uitbesteding (‘Outsourcing’) is een strategische keuze geworden.

lathrop
Télécharger la présentation

ISAE 3402 - samenvatting

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ISAE 3402 - samenvatting Enkele belangrijke kenmerken en verschillen in vergelijking met SAS70Drs. T. (Temme) Sikkema RA – t.sikkema@hutco.nl – www.hutaudit.nl - NL – September 2009

  2. Het belang van ‘Third Party Reporting’ 1 • Uitbesteding (‘Outsourcing’) is een strategische keuze geworden. • Kostenreductie, terugkeer naar kernactiviteiten en flexibiliteitstoename zijn de ‘drivers’ voor een ‘gebruikersorganisatie’ om activiteiten uit te besteden naar een ‘serviceorganisatie’. • ‘Gebruikersorganisaties’ dienen ervan verzekerd te zijn dat een ‘serviceorganisatie’ zijn beheersmaatregelen correct heeft vastgesteld, geimplementeerd en dat deze effectief werken. www.hutaudit.nl

  3. Het belang van ‘Third Party Reporting’ 2 • De ‘serviceorganisatie’ kan meerdere verzoeken ontvangen voor een jaarlijkse audit van zijn klanten. • De ‘serviceorganisatie’ kan in plaats daarvan kiezen voor een assurance rapport door derden voor de effectiviteit van zijn beheersmaatregelen relevant voor zijn klanten. www.hutaudit.nl

  4. ‘Third Party Reporting’: SAS70 • SAS70 is de Amerikaanse norm voor een auditverklaring die wereldwijd wordt toegepast • SAS70 geeft de ‘gebruikersorganisatie’ (en zijn accountants) zekerheid over de vaststelling en het gebruik van die relevante beheersmaatregelen • SAS70 stelt de ‘gebruikersorganisatie’ in staat om te werken volgens geldende wetgeving en interne richtlijnen (‘compliance’). www.hutaudit.nl

  5. SAS70 – kenmerken 1 • SAS70 richt zich op eisen voor financiele rapportage van ‘gebruikers- en serviceorganisaties’ en is dus beperkt de beheersmaatregelen voor het verwerken van financiele transacties. • De actuele SAS70 verklaring is in zijn algemeenheid verdeeld in 3 of 4 secties, afhankelijk van het type opdracht. • Er zijn 2 type verklaringen: Type I en Type II. www.hutaudit.nl

  6. SAS70 – kenmerken 2 • Een Type I verklaring beschrijft de beheersmaatregelen op een specifiek moment voor de ‘serviceorganisaties’. • Een Type II verklaring voegt gedetailleerde testen toe van de beheersmaatregelen van een ‘serviceorganisatie’ over een periode van minimaal 6 maanden. www.hutaudit.nl

  7. SAS70 – kenmerken 3 • SAS70 is een audit norm en niet een voorgedefinieerde set van normen waaraan een ‘serviceorganisatie’ vooraf aan moet voldoen. • In een SAS70 audit is de ‘serviceorganisatie’ verantwoordelijk voor de beschrijving van de beheersmaatregelen waarop het audit rapport van toepassing is. • Het vaststellen van de scope van de audit is daarom een essentieel onderdeel. www.hutaudit.nl

  8. Te onderzoeken type processen • Raamwerk van beheersmaatregelen • Beheersactiviteiten • Processen mbt risico analyses • Informatie and communicatie processen • Processen mbt monitoring www.hutaudit.nl

  9. Te onderzoeken type processen • Beheersmaatregelen, organisatorische invalshoek • Beheersmaatregelen voor applicatieontwikkeling en -onderhoud • Toegangscontroles • Beheersing van applicaties • Beheersing van systeem onderhoud • Beheersing van dataverwerking • [Beheersing van bedrijfscontinuiteit] - in een afzonderlijk deel van de verklaring, zonder garanties www.hutaudit.nl

  10. Een SAS70 audit verklaart: • Of de beheersmaatregelen van een ‘serviceorganisatie’ correct zijn beschreven. • Of de beheersmaatregelen van een ‘serviceorganisatie’ qua opzet effectief zijn. • Of de beheersmaatregelen van een ‘serviceorganisatie’ in gebruik zijn op een specifiek moment. • Of de beheersmaatregelen van een ‘serviceorganisatie’ effectief werken gedurende een specifieke periode (alleen Type II verklaring). www.hutaudit.nl

  11. ‘Third Party Reporting’: gebruik ISAE3402 1 • ISA402 – Audit overwegingen in relatie tot organisaties die gebruik maken van ‘serviceorganisaties’. • ISA402 geeft richtlijnen aan ‘gebruikersorganisaties’ en hun accountants voor de impact die ‘serviceorganisaties’ hebben op de jaarrekening van de ‘gebruikersorganisatie’. • Echter, ISA402 geeft geen richtlijnen voor de accountants van serviceorganisaties. • Gebruik………ISAE3402 www.hutaudit.nl

  12. ‘Third Party Reporting’: gebruik ISAE3402 2 • ISAE3402 – International Standard on Assurance Engagements 3402 – Assurance Reports on controls at a Third Party Service Organisation • Doel: een internationaal alternatief creeren voor de Amerikaanse SAS70 norm, waarbij het gebruik van de verklaring breder toepasbaar is voor meer eindgebruikers www.hutaudit.nl

  13. ISAE3402 – kenmerken 1 • ISAE3402 beperkt de scope niet tot de beheersdoelen voor de eisen aan de financiele rapportage. • Zoals SAS70, is ISAE3402 gebaseerd op een verklaring • Zoals SAS70, heeft de ISAE3402 twee type verklaringen (Type A and Type B) met in opzet dezelfde scope. • In aanvulling op de conclusie van de auditor moet het management van de ‘serviceorganisatie’ een formele verklaring afgeven voor zijn verantwoordelijkheid voor de beheersmaatregelen uit de verklaring. Dit is een wezenlijk verschil met SAS70. www.hutaudit.nl

  14. ISAE3402 – kenmerken 2 • ISAE3000 veronderstelt dat de accountent van de ‘serviceorganisatie’ de geschiktheid van de criteria onderzoekt en de aanvaardbaarheid van de scope. • ISAE3402 veronderstelt een minimale set van deze criteria • Kan de audit gemeenschap deze criteria S.M.A.R.T. maken? www.hutaudit.nl

More Related