1. Home /
  2. Over ons /
  3. Nieuws /
  4. Verhelderende toelichting op ISAE...

Verhelderende toelichting op ISAE 3402 rapportageproces

Op 7 februari organiseerden wij een speciale informatiebijeenkomst over onze ISAE 3402 rapportage en het Assurance Report van PwC. Uit de hoge opkomst en de vele vragen bleek dat deze toelichting als zeer nuttig is ervaren.

22 feb 2018

Deel op  

Organisaties die werkzaamheden uitbesteden aan een derde partij willen er zeker van zijn dat deze partij ‘in control’ is voor wat betreft de processen die ten grondslag liggen aan deze werkzaamheden. Om deze zekerheid te verstrekken, geven wij ieder jaar in januari een ISAE 3402 Type 2-rapportage uit. Dit is de internationale standaard over opzet, bestaan en werking van de aan een ‘service organization’ uitbestede processen.

Bestuurders van pensioenfondsen en financiële ondernemingen die werkzaamheden uitbesteden aan derden blijven verantwoordelijk voor de uitvoering van deze werkzaamheden. Zij moeten kunnen aantonen aan hun stakeholders op welke wijze zij deze uitbesteding beheersen. Het ISAE 3402 rapport van KAS BANK geeft samen met het Assurance Report van PwC een redelijke mate van zekerheid dat de uitbestede processen door KAS BANK worden beheerst en volgens de beschreven controls worden uitgevoerd. Om volledig ‘in control’ te zijn moet de klant echter ook altijd zelf een aantal controles uitvoeren, de zogenaamde ‘User Entity Controls’.

Pieter van der Wal, Managing Director Internal Audit van KAS BANK, gaf een uitgebreide toelichting op de werkwijze bij het opstellen van onze ISAE-rapportage. Suzanne Keijl, partner bij PwC en betrokken bij de controle op onze ISAE-rapportage, legde vervolgens in hoofdlijnen de Audit Approach van PwC uit. Wij leggen de vier belangrijkste vragen verder uit. 

Hoe wordt de scope van de ISAE 3402-rapportage bepaald?
Het Operational Risk Management Committee van KAS BANK bepaalt jaarlijks welke processen deel uitmaken van de ISAE-rapportage. Eventueel kunnen processen op verzoek van klanten worden toegevoegd, mits zij passen in de scope van de ISAE. Zo bekijken wij momenteel of onze Solvency II en EMIR-diensten moeten worden opgenomen in de ISAE over 2018. 

De ISAE-rapportage is nadrukkelijk bedoeld ten behoeve van de financiële verslaggeving van onze klanten. Om die reden vallen compliance-diensten, zoals de Algemene Verordening Gegevensbescherming (AVG) en Sanctiewetgeving, buiten de scope van de ISAE. In mei brengt KAS BANK nog een ISAE-rapportage uit over onze Eindejaarsdiensten voor pensioenfondsen.

In de rapportage over 2017 zijn in totaal 20 kernprocessen 'in scope' en zeven ondersteunende IT-processen. Voor deze 20 processen bestaan in totaal 105 Controls. Deze 'Control Objectives' worden getest en getoetst door PwC. Het Assurance Report van PwC wordt integraal gepubliceerd in hoofdstuk 2 van de ISAE-rapportage, het verslag van de ‘controls’ staat in hoofdstuk 5.
PwC kijkt nadrukkelijk of KAS BANK niet ten onrechte (delen van) bepaalde processen buiten scope geplaatst heeft, waardoor er een incompleet beeld kan ontstaan. Mocht dit het geval zijn (dit was niet aan de orde), dan vindt er een discussie plaats tussen PwC en KAS BANK. 

Hoe worden de kernprocessen gecontroleerd?
Afhankelijk van het soort proces en het risicoprofiel van de beheersmaatregel worden verschillende controlemethodes gehanteerd. Op hoofdlijnen wordt onderscheid gemaakt in:

Inquiry

Het verkrijgen van informatie om begrip te krijgen van de te controleren processen en de bewijzen van de uit gevoerde controles.

Inspectie

Het beoordelen van de aangeleverde controle-informatie.

Waarneming ter plaatste

Het beoordelen, op basis van waarneming ter plaatse van het bestaan van controlemaatregelen.

Re-performance

Het zelfstandig opnieuw uitvoeren van controlewerkzaamheden die eerder door de organisatie zijn uitgevoerd.

Bij de controle wordt gebruik gemaakt van deelwaarnemingen (samples). PwC bepaalt de omvang van de deelwaarneming op basis van de risicograad van de beheersmaatregel: low, medium of high. PwC controleert of het proces volgens de beschreven procedure is uitgevoerd. Bij een positieve uitkomst is er sprake van een werkende interne control. Er is ook sprake van een werkende interne control als KAS BANK adequaat heeft ingegrepen bij geconstateerde fouten. In dat opzicht helpen fouten om onze interne processen voortdurend te blijven verbeteren.

Wat houdt een Unqualified Opinion in?
Een Unqualified Opinion betekent dat alle Control Objectives zijn gerealiseerd. Dit wordt ook wel een schone verklaring of een verklaring zonder beperking genoemd. PwC heeft geen bevindingen bij de interne controles van KAS BANK die het behalen van de Control Objectives verhinderen. Anders gezegd, een Unqualified Opinion is een goedkeurend oordeel.
In het ISAE rapport over 2016 was er nog sprake van drie bevindingen door PwC, waardoor geen Unqualified Opinion werd afgegeven. Daarop is het interne controleproces direct verder aangescherpt en verbeterd. Ook zijn twee tussentijdse rapportages opgesteld. In 2018 gaan wij verder op deze ingeslagen weg.

In 2016 heeft de outsourcing van de IT van KAS BANK plaatsgevonden, in 2017 is de migratie naar Atos uitgevoerd. Heeft KAS BANK kennisgenomen van de ISAE 3402-rapportage van Atos?
Ja. Allereerst is door KAS BANK positief vastgesteld dat haar control objectives op het gebied van IT general controls worden afgedekt door de control objectives in de ISAE 3402-rapportage van Atos. De door Atos afgegeven rapportages dekken de periode lopende van 1 oktober 2016 tot en met 30 september 2017 af. Dit loopt niet gelijk met de periode die door KAS BANK in haar ISAE-rapportage wordt afgedekt. Atos heeft daarom zogenaamde bridge letters opgeleverd met een uitspraak inzake de periode 1 oktober tot en met 31 december 2017. KAS BANK en PwC hebben de ISAE 3402 rapportages van Atos en de bijbehorende bridge letters beoordeeld. Alle rapportages hebben een goedkeurend oordeel gekregen zonder beperking.

 

Mark van Weezenbeek

Heeft u vragen?

Mark van Weezenbeek

Managing Director
+31 (0)20 557 5483