Veel organisaties worstelen met het behalen van een ISAE 3402 met een beperkt aantal bevindingen. Hier zijn vaak meerdere redenen voor: de controls worden niet goed (aantoonbaar) uitgevoerd of het raamwerk met risico’s en controls is niet up to date. Dit kan grote gevolgen hebben. Sowieso is het natuurlijk een signaal dat de organisatie niet in control is, maar tevens is het commercieel gezien een uitdaging om richting bestaande klanten of nieuwe klanten te moeten aangeven dat de ISAE veel bevindingen of zelfs kritische beperkingen heeft.
Voor degenen die nog niet bekend zijn met ISAE-verklaringen: De “International Standard on Assurance Engagements 3402 (ISAE 3402)” is een internationale standaard die zekerheid geeft aan klanten (en accountants) van organisaties die processen voor die klanten uitvoeren. Voorbeelden zijn salarisverwerkers, pensioenuitvoerders en clearing organisaties. Met deze verklaring geeft de organisatie zekerheid aan haar klanten dat het raamwerk van internal controls adequaat en werkend is.
Lees deze blog met 10 tips die je kunnen helpen bij het behalen van een zo schoon mogelijke ISAE 3402.
10 tips voor een schone ISAE 3402
De volgende tips zijn geschreven vanuit het oogpunt van een ISAE framework, maar gelden natuurlijk voor alle control frameworks.
-
Zorg voor een goede scope
De ISAE 3402 verklaring is in beginsel gericht op de processen die ten grondslag liggen aan de jaarrekening, aangezien deze voornamelijk wordt gebruikt door accountants. Zorg daarom voor een scope die voldoende uitgebreid is voor de gebruikers. Maar probeer de scope ook zo veel mogelijk te beperken. Hoe groter de scope, hoe meer de auditor moet testen, hoe meer kosten en hoe groter de kans op falende controls.
Er zijn organisaties die de ISAE loskoppelen van hun reguliere framwork. Doe dit niet. Het is inefficient om twee frameworks te onderhouden en het wekt verwarring in de business.
-
Zorg dat de controls actueel zijn
Dit lijkt logisch, maar het komt vaak voor dat de organisatie verandert, maar dat zij de bijbehorende controls niet in deze verandering meeneemt. Dit is een garantie voor bevindingen tijdens de ISAE 3402 audit. Zorg dus dat het hele control framework altijd up-to-date is.
-
Betrek de auditor
In relatie tot het bovenstaande punt: betrek de auditor altijd bij (grote) wijzigingen in het framework. Hij is degene die het gaat testen, dus moeten de wijzigingen wel in lijn zijn met zijn verwachtingen.
-
Zorg voor commitment van medewerkers en management
Helaas zijn control frameworks vaak een papieren exercitie die alleen gedragen worden door de risk afdeling. Zorg daarom dat medewerkers en management betrokken en doordrongen zijn van het goed uitvoeren van controls. Zoals als altijd is “tone at the top” key!
-
Referenties naar evidence
Het is natuurlijk van groot belang dat de controls aantoonbaar worden uitgevoerd. Zorg daarom dat duidelijk is met welke evidence de uitvoering van de controls kan worden aangetoond en waar deze evidence is opgeslagen. Als dit goed op orde is ben je al halverwege.
-
Test controls vooraf
Introduceer het testen van controls door management en de review daarvan door risk. Dit zorgt voor commitment van management en een tijdige identificatie van controls die niet goed werken of niet goed worden uitgevoerd.
-
Gebruik incidenten als wake-upcalls
In iedere organisatie komen incidenten voor. Gebruik deze als een wake-upcall. Incidenten zijn een belangrijk signaal dat procedures of controls niet goed werken. Dus trek lering uit incidenten in het kader van “never waste a good crisis”.
-
Betrek klanten in de ISAE 3402
Je klanten en hun accountants zijn gebruikers van het ISAE rapport. Zorg dus dat ze zijn aangehaakt om teleurstellingen achteraf te voorkomen. Sowieso is goede communicatie met je klanten zeer belangrijk, maar in dit kader is het cruciaal. Dit punt heeft ook een sterke relatie met het eerste punt, het bepalen van de scope.
-
Zorg dat alle bevindingen uit eerdere ISAE 3402 audits tijdig zijn opgelost
Waarschijnlijk zijn er meerdere bevindingen uit eerdere ISAE 3402 audits. Zorg ervoor dat je deze tijdig worden oplost om te voorkomen dat ze tot nieuwe bevindingen leiden. Het helpt als alle bevindingen een eigenaar hebben (liefst op managementniveau), een deadline en maandelijkse monitoring op de voortgang.
-
Wijs ambassadeurs toe
Zorg voor enkele ‘control minded’ personen als schakel tussen de auditors en de business. Hierdoor verbetert de communicatie, worden misverstanden voorkomen en is er minder druk op de business. Wat ook raadzaam is, is om kick-off meetings te houden met zowel de business als met de auditors. Aan de business kun je do’s en dont’s in de communicatie met auditors laten weten, en aan de auditors kun je wijzigingen in de organisatie uitleggen en vervolgens duidelijke werkafspraken maken met hen.
Met deze handvatten zou een organisatie relatief makkelijk door een ISAE 3402 audit heen moeten komen. INTERMEDIATE kan je hierbij helpen door in kort tijdsbestek een aantal gekwalificeerde en beschikbare interim specialisten aan te bieden die veel ervaring op deze gebieden hebben.
Een schone ISAE behalen?
INTERMEDIATE kan helpen. Met onze uitgebreide kennis kunnen we de juiste interim professional vinden om jouw organisatie te adviseren en ondersteunen.