close
Share with your friends

De strategische keuze om een deel van de bedrijfsprocessen door een gespecialiseerde dienstverlener te laten uitvoeren is een normaal onderdeel van de bedrijfsvoering. Uitbesteding kan op bijna elk proces betrekking hebben, zoals logistiek, IT, het verzorgen van registraties, vertegenwoordigingen, etc. Het management van de uitbestedende organisatie blijft echter verantwoordelijk voor het geheel, dus ook voor de onderdelen die zijn uitbesteed. Sommige van de uitbestede processen zijn zo belangrijk voor de bedrijfsvoering dat de beheersing ervan in het directe aandachtsgebied van het management valt. Hoe krijgt u zekerheid of 'assurance' over deze beheersing?

Hoewel voor de term 'assurance' duidelijk is beschreven welke elementen assurance dient te bevatten, zijn er op de markt diverse vormen op basis waarvan assurance verstrekt kan worden. KPMG is gespecialiseerd op onderstaande vormen en helpen u graag met de assurance vraagstukken.

ISAE 3000

Een bekende en overkoepelende vorm van assurance is de ISAE 3000. ISAE 3000 is in Nederland geïmplementeerd onder de naam Standaard 3000 (NBA) en Richtlijn 3000 (NOREA). ISAE 3000, deze algemene standaard heeft betrekking op assurance door auditors inzake alle informatie die geen betrekking heeft op historische financiële informatie. Een assurancerapport kan in het algemeen zowel betrekking hebben op een product (bijvoorbeeld de functionaliteiten in een applicatie) als op een proces (beheersingsmaatregelen). Expliciet is bepaald dat toetsing alleen mogelijk is als er toereikende normen zijn. Daarnaast is bepaald dat de normen ook bekend moeten zijn bij de gebruiker van het oordeel, meestal doordat de normen deel uitmaken van de rapportage. Standaard 3000 bepaalt wat ten minste in een assurancerapport opgenomen moet zijn, maar laat de vorm vrij. In de praktijk zien wij dan ook veel verschijningsvormen van assurancerapporten. Een Service Organisatie Control (SOC)-rapport geeft de uitbestedende organisatie inzicht en zekerheid inzake de uitvoering van controls. Een praktisch alternatief voor het zelf op onderzoek uitgaan bij de serviceorganisatie. Beheersingsmaatregelen zijn er met betrekking tot diverse kwaliteitsaspecten als betrouwbaarheid, beschikbaarheid, sustainability, beveiliging en efficiëntie. Ieder gebied kent zijn eigen normen en vormen voor het afleggen van verantwoording.

ISAE 3402

Specifiek voor uitbestedingen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie is het ISAE 3402-assurance-rapport ontwikkeld, meestal ook aangeduid als Service Organisatie Control-rapport. Het rapport is bestemd voor het management van de uitbestedende organisatie en haar accountant. Het geeft invulling aan de onvolledigheid van het control-raamwerk die is ontstaan doordat de uitbestedende organisatie zelf niet meer in staat is de volledigheid, juistheid en tijdigheid van de uitbestede processen te controleren. Een rapport op basis van Standaard 3402 is algemeen herkend en erkend als middel om inzicht te krijgen in de beheersingsmaatregelen ten aanzien van administratieve processen die zijn uitbesteed aan derden.

SOC 2

Met de introductie van SOC 2 is de mogelijkheid ontstaan de assurancevraag met betrekking tot IT-serviceverlening breder te bedienen en risico's ten aanzien van de beveiliging, vertrouwelijkheid en beschikbaarheid van informatie(verwerking) mee te nemen. Het SOC 2-rapport lijkt qua opzet op het 3402-rapport; het grote verschil tussen beide is dat in een SOC 2-rapport de scope wordt bepaald door voor-gedefinieerde beheersingsdoelstellingen (de criteria) in plaats van door de eis dat de doelstellingen betrekking moeten hebben op de behoefte van de accountant van de organisatie die de service afneemt. Indien naar een SOC 2- rapport met betrekking tot één of meer van de vijf gedefinieerde kwaliteits-aspecten (de principles) wordt gevraagd, dan ligt daarmee direct vast op welke beheersingsdoelstellingen (de criteria) het rapport betrekking moet hebben. De beheersingsdoelstellingen zijn per kwaliteitsaspect (principle) vastgelegd in 'Trust Services Principles and Criteria'. Deze worden regelmatig geactualiseerd. Natuurlijk is er altijd behoefte aan specifiekere assurance, hiervoor is de SOC2+ in het leven geroepen. Hierbij kan gedacht worden aan assurance in het SOC2 format ten aanzien van specifieke control frameworks zoals ISO27002, Cloud Controls Matrix van de Cloud Security Alliance, COBIT, COSO, NIST, etc.

Contact

Wilt u meer weten over onze services? Neem contact op met Rosemarie van Alst, director IT Assurance & Advisory.

Nieuws en Insights