​Accountant en ISAE 3402

Een ISAE 3402-rapport beschrijft de processen en de beheersmaatregelen van de serviceorganisatie. Dit ISAE 3402-rapport wordt vervolgens door een accountant (service-auditor) getoetst op opzet en bestaan (Type I) en eventueel werking (Type II), zodat de user-organisatie voldoende waarborgen heeft dat de processen inderdaad op de juiste wijze worden uitgevoerd en er geen materiële fraudes plaatsvinden. Een ISAE 3402 Type I rapportage heeft betrekking op één enkel moment, een ISAE 3402 type II rapportage heeft betrekking op een periode van minimaal zes maanden. Een ISAE 3402 type II audit is intensiever dan een type I audit.

Assurance rapportage

Een ISAE 3402-rapport bevat verplicht een assurance rapport van een externe accountant. Het assurance rapport van de externe accountant kan een ISAE 3402 type I of een ISAE 3402 type II rapport zijn. Een type I rapport ziet toe op de opzet (is de opzet toereikend om zorg te dragen dat alle informatie juist en volledig in de jaarrekening wordt verwerkt). Een type II rapport ziet tevens toe op de werking (hebben de beheersmaatregelen in een vooraf gedefinieerde periode effectief gewerkt).

Een externe accountant verricht voor een type I rapport een beoordeling van het rapport (opzet) en doet zogenaamde lijncontrole of 'walk throughs', de accountant loopt op steekproefbasis de beheersmaatregelen door. Voor een type II rapport verricht een accountant naast deze controles tevens systeemcontroles op zowel de geautomatiseerde als handmatige beheersmaatregelen. Hiervoor doet een accountant bijvoorbeeld een waarneming ter plaatse of een reperformance van beheersmaatregelen.

In het uiteindelijk ISAE 3402-assurance-rapport neemt de accountant zijn oordeel (1) op naar aanleiding van zijn onderzoek en hij neemt een beschrijving op van de 'tests of control' die hij heeft verricht (2); welke controlewerkzaamheden hij heeft verricht (ref. standaard 3402 9 sub k III)

Lees meer over SASconsult en ISAE 3402.