Sinds enkele jaren is een SAS 70-rapportage gemeengoed om verantwoording af te leggen over de interne beheersing. Inmiddels is SAS 70 verouderd en is deze vervangen. De nieuwe standaard: ISAE 3402. Deze nieuwe standaard is duidelijk gebaseerd op SAS70, maar brengt wel een aantal veranderingen met zich mee, zowel inhoudelijk als voor de IT-processen specifiek.
Wat is er veranderd?
Uitbesteding van IT-diensten is aan de orde van de dag en de behoefte aan een meer objectieve verklaring over de deugdelijkheid van de processen, neemt met de groei van zogenaamde ‘managed services’ alleen maar toe. De markt van vandaag neemt geen genoegen meer met alleen maar financiële informatie. De ISAE 3402 komt met haar interpretatie van internal control conform COSO, tegemoet aan deze behoefte. Aangegeven wordt dat ook controles op het gebied van efficiency, effectiviteit en het aansluiten bij Wet- en Regelgeving relevant kunnen zijn voor de betrouwbaarheid van alle vormen van financiële rapportages. Het is van cruciaal belang om te weten of een serviceorganisatie de uitbestede processen goed in de greep heeft.
Toepassing
Een SAS 70, ISAE 3402 of SSAE 16 worden toegepast om zekerheid te verkrijgen over de kwaliteit van de interne beheersing van de bedrijfsprocessen die vaak, voor een deel, zijn uitbesteed aan een serviceorganisatie. Een SAS 70, ISAE 3402 of SSAE 16 voorziet, na positieve beoordeling van de situatie, in een verklaring dat zekerheid kan worden verschaft over het correct functioneren van de uitbestede bedrijfsprocessen en dat ten behoeve van de inrichting en werking afdoende risicobeheersingsmaatregelen zijn genomen om incorrecte werking te detecteren en de daarmee gepaard gaande risico’s te mitigeren.