Beschrijving van ‘het systeem’ als vereiste voor ISAE 3402

ISAE 3402 creëert nieuwe uitdagingen en vereisten voor service organisaties die deze nieuwe wereldwijd geaccepteerde verzekeringsstandaard aannemen. Een aantal belangrijke kwesties moeten in acht genomen worden door de serviceorganisaties om ervoor te zorgen dat ze voldoen aan de eis zoals deze in de ISAE 3402 standaard uiteengezet worden.

Kenmerken

Serviceorganisaties zullen de volgende stappen moeten ondernemen met betrekking tot ISAE 3402. De ontwikkeling van een algemene en diepgaande beschrijving van het systeem van de serviceorganisatie die op zijn minst moet voldoen aan de volgende kenmerken:

  • Een schriftelijke beschrijving en uitleg van de specifieke diensten die door de serviceorganisatie worden aangeboden, zoals de aard van de verwerkte transacties.
  • Een schriftelijke beschrijving en uitleg van de specifieke procedures voor de geleverde diensten, in de vorm van IT-systemen of handmatige processen voor het initiëren, het opnemen, verwerken en corrigeren van transacties.
  • Een schriftelijke beschrijving en uitleg van alle bestanden, rekeningen en alle andere ondersteunende informatie die worden gebruikt voor het starten, het opnemen, verwerken, rapporteren en corrigeren van transacties.
  • Een schriftelijke beschrijving en uitleg van de manier waarop de serviceorganisatie belangrijke gebeurtenissen identificeert en behandelt.
  • Een schriftelijke beschrijving en verklaring van de voorbereiding door de serviceorganisatie van rapporten en/of andere informatie die wordt verstrekt aan gebruikende entiteiten.
  • Een schriftelijke beschrijving (gespecificeerde lijst) van de controle doelstellingen die moeten worden gebruikt binnen het kader van een ISAE 3402 assurance-opdracht samen met een discussie (indien aanwezig) van enige aanvullende interne beheersingsmaatregelen van de gebruikersorganisatie die zijn opgenomen in de algemene controle doelstellingen.
  • Een schriftelijke beschrijving van de elementen van de interne controle van de serviceorganisatie. Deze interne controle kan worden gebaseerd op het COSO-model en bestaat uit: de controle omgeving, de controle activiteiten, informatie en communicatie, Risk Assessment en monitoring.

Aanvullende vereisten

Aanvullende vereisten voor ISAE 3402 omvatten het volgende:

  • Een schriftelijke beschrijving en uitleg van alle wijzigingen in het systeem van de serviceorganisatie gedurende de gespecificeerde testperiode (in het geval van een ISAE 3402 type II rapport).
  • Een schriftelijke verklaring van de serviceorganisatie met betrekking tot de beschrijving van haar systeem, en, in het geval van een ISAE 3402 type II rapport, als het systeem effectief heeft gewerkt gedurende de gespecificeerde verslagperiode.
  • Het identificeren van de risico's die het bereiken van controle doelstellingen in de weg staan of tegenwerken welke in de eerste plaats besproken moeten worden tussen de serviceorganisatie en de accountant van de serviceorganisatie.

  • Lees meer over Risklane en ISAE 3402.