Om meer aandacht te kunnen besteden aan hun kernactiviteiten zijn steeds meer organisaties geneigd om hun administratieve bedrijfsprocessen uit te besteden aan derden, zogenaamde serviceorganisaties. Omdat het management eindverantwoordelijk blijft voor een juiste uitvoering van deze bedrijfsprocessen, is inzicht in risico’s en beheersmaatregelen ten aanzien van de uitbestede activiteiten bij deze serviceorganisaties van essentieel belang. Voorheen werd gebruik gemaakt van een SAS 70-rapportage om het benodigde inzicht te verschaffen. Met ingang van juni 2011 zal de inmiddels verouderde SAS 70 worden vervangen door een nieuwe standaard: ISAE 3402.
Hoewel het rapportageconcept niet wezenlijk verandert, is er wel een aantal wijzigingen, dat de aandacht verdient. De ISAE 3402-standaard heeft tot doel zekerheid te geven omtrent de kwaliteit van de interne beheersing met betrekking tot de betrouwbaarheid van financiële rapportages. Door de uitsluiting van expliciete andere controlemaatregelen, die niet langer van toepassing is, heeft het rapport een grotere reikwijdte gekregen. Doelstellingen van interne beheersing als naleving van wet- en regelgeving kunnen nu ook in de rapportage worden opgenomen.
Het uitgangspunt bij de ontwikkeling van ISAE 3402 is een normenkader op te stellen dat een vijftal algemene richtlijnen kent. Deze hebben betrekking op relevantie, volledigheid, betrouwbaarheid, neutraliteit en begrijpelijkheid. Daarbij onderscheidt ISAE 3402 zich van SAS 70 door een nadrukkelijke aandacht voor risicoanalyse. Hierdoor kan een serviceorganisatie een selectie maken van de meest relevante processen, risico’s en beheersmaatregelen. Het risicoanalyseproces maakte al onderdeel uit van de SAS 70-rapportage, maar verschilde qua diepgang per serviceorganisatie.
Deze ISAE 3402 standaard beoogt dus de sets van interne beheersmaatregelen betreffende uitbestede processen te documenteren en de werking en toereikendheid van maatregelen te auditen. Het biedt serviceorganisaties de mogelijkheid om de kwaliteit van hun dienstverlening duidelijk te maken en zich daarmee in de markt te onderscheiden.
Het ligt voor de hand dat organisaties profijt hebben bij het uitbesteden van hun administratieve bedrijfsprocessen. Zo beschikt een serviceorganisatie over de juiste kennis en deskundigheid om dergelijke processen effectief en efficiënt uit te voeren. Dit bevordert de kwaliteit van de uitbestede processen, waardoor kosten vaak kunnen worden verminderd. Uiteraard dient de organisatie die haar administratieve bedrijfsprocessen uitbesteedt, erop te kunnen vertrouwen dat de betreffende serviceorganisatie deze activiteiten en vooral ook de bijkomende risico’s goed en zorgvuldig beheerst. Het inzichtelijk maken van deze nogal abstracte kwaliteiten geschiedt door middel van een ISAE 3402-rapportage.
Hoe kan Mavim Rules helpen?
Mavim Rules is procesmanagement software voor het beschrijven, modelleren, relateren en publiceren van bedrijfsprocessen. Rules verschaft zowel de noodzakelijke inzichten, als overzicht over de gehele bedrijfsvoering. Het maakt processen gemakkelijk te doorgronden en geeft aan waar verantwoordelijkheden liggen. Daarnaast biedt het de mogelijkheid om risico’s te analyseren en de benodigde beheersmaatregelen eenduidig vast te leggen. Door risico’s en beheersmaatregelen te koppelen aan de bedrijfsprocessen kan eenvoudig duidelijk worden gemaakt waar niet of niet volledig aan de gestelde eisen wordt voldaan en waar risico’s niet of onvoldoende zijn afgedekt.
Meer informatie?
Download de Whitepaper over ISAE 3402 Compliance Download de Factsheet Compliance Management met Rules
Vraag - geheel vrijblijvend - een online demonstratie aan
Meer informatie?
Downloads 
Factsheet:
Compliance Management
Whitepaper:
Governance, Risk & Compliance
Klantcase:
TMF Group - BPM Magazine