Audit Alert: Misvatting publiciteit en scope 3402 Assurance-rapporten

21 augustus, 2015
De NOREA constateert dat soms verkeerde publiciteit wordt gegeven aan de betekenis van een 3402-rapport. Sommige IT-auditors en/of organisaties die gebruik maken van dienstverlening door IT-auditors stellen een '3402-verklaring' gemakshalve gelijk aan een kwaliteitskeurmerk of certificaat.

Naar aanleiding van persberichten of advertenties rond 3402-rapporten, betreffende interne beheersingsmaatregelen van een service-organisatie, constateert de NOREA ook dat de Richtlijn 3402 wordt gebruikt voor assurance-rapporten die qua reikwijdte en gebruik niet passen binnen richtlijn 3402. Deze NOREA-alert heeft tot doel u te wijzen op de risico's verbonden aan het verkeerd toepassen van Richtlijn 3402 en geeft u aanwijzingen hoe te handelen indien de grenzen van Richtlijn 3402 dreigen te worden overschreden.

Strekking Richtlijn 3402 (ISAE/Standaard 3402)
Richtlijn 3402 behandelt de assurance-opdrachten die door een beroepsbeoefenaar worden uitgevoerd om aan de gebruikende entiteiten en hun accountants middels een rapportage inzicht te verstrekken en zekerheid geven over de in de rapportage opgenomen beweringen. De rapportage betreft de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikende entiteiten een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot de financiële verslaggeving. Het is de verantwoordelijkheid van de service auditor om vast te stellen dat het assurance-rapport binnen deze context valt. Een 3402-rapport is primair bedoeld als auditrapport ten behoeve van de accountant of auditor van de organisatie die gebruik maakt van de dienstverlening van een serviceorganisatie. Richtlijn 3402 vult standaard 402 van de Nederlandse Beroepsorganisatie van Accountants (NBA) aan zodat de rapportage geschikt is als onderbouwing van de informatie. Het verkeerd toepassen van richtlijn 3402 kan leiden tot klachten vanuit de gebruikende entiteit en/of haar accountant.

Richtlijn 3402 is een specifieke invulling van de algemene richtlijn 3000. Indien er behoefte is om te rapporteren over interne beheersingsmaatregelen van een serviceorganisatie anders dan omschreven in de uitgangspunten van richtlijn 3402 dan kan zo'n opdracht onder richtlijn 3000 worden uitgevoerd. De aanwijzingen voor de opzet en structuur van het rapport als opgenomen in richtlijn 3402 kunnen hierbij als leidraad dienen (artikel 3 en A2).

Publiciteit
Het gebruik van een 3402-rapportage is in de richtlijn geregeld. Artikel 53e en A48 bepalen dat het rapport alleen mag worden gebruikt door "gebruikende entiteiten en hun accountants". De distributie verantwoordelijkheid ligt bij de serviceorganisatie. De auditor moet de serviceorganisatie wijzen op deze verantwoordelijkheid. Meestal is dit vastgelegd in de opdrachtbrief en de toestemming tot publicatie van het auditors report.

Een samenvatting of uittreksel van een 3402-rapport, bijvoorbeeld in de vorm van een persbericht of conclusie, voldoet niet aan de rapportage eisen die daar op grond richtlijn 3402 aan worden gesteld. Deze bepalingen zijn in de standaard opgenomen om te voorkomen dat meer zekerheid aan het onderzoek wordt ontleend dan dat op basis van de werkzaamheden van de auditor mogelijk is. Overigens geldt dit niet specifiek voor 3402-rapportages. De basis is terug te vinden in het Raamwerk Assurance-opdrachten (en nader uitgewerkt in richtlijn 3000), waarin eisen worden gesteld aan uitingen die kennelijk bedoeld zijn om het vertrouwen in de dienstverlening van de betreffende organisatie te versterken.

Een IT-auditor heeft niet alleen verantwoordelijkheid ten aanzien van het afgeven van een assurance-rapport maar ook enige verantwoordelijkheid ten aanzien van hoe zijn cliënt hierover communiceert. NOREA zal betrokken IT-auditors in voorkomende gevallen hierop aanspreken. In het uiterste geval kan dit aangemerkt worden als handelen in strijd met de gedrags- en beroepsregels en kan eventueel leiden tot een tuchtklacht.

De NOREA onderkent wel dat service organisaties kenbaar willen maken dat voor hun cliënten en hun accountants een service organisatie control-rapport beschikbaar is. Om dit kenbaar te maken zou de serviceorganisatie de volgende tekst kunnen hanteren:

Als service organisatie onderkennen we het belang van de interne beheersingsmaatregelen die wij in het kader van onze dienstverlening hebben opgezet, geïmplementeerd en uitvoeren. Daarom stellen we jaarlijks Service Organisatie Control rapport op die door onze onafhankelijke auditor wordt gecontroleerd, gebruikmakend van Richtlijn 3402. De Service Organisatie Control-rapportage betreft de interne beheersingsmaatregelen <eventueel toevoeging scope dienstverlening van rapport> van ons als serviceorganisatie die waarschijnlijk relevant is voor de interne beheersing van de gebruikende entiteiten in relatie tot hun financiële verslaggeving. De rapportage verschaft de accountant van onze cliënten in het kader van de jaarrekeningcontrole van die cliënten passende onderbouwende informatie onder Standaard 402 ‘Overwegingen bij gebruikmaken van serviceorganisatie'. Voor gebruik door onze cliënten en hun accountants is de genoemde Service Organisatie Control -rapportage beschikbaar.

Ondersteuning
Twijfelt u over de juiste toepassing van Richtlijn 3402 of over de toegestane publiciteit dan kunt u contact op nemen met het NOREA- bureau (norea@norea.nl), dat u in contact zal brengen met een vaktechnisch medewerker die u kan helpen om tot een juiste toepassing te komen.
NOREA Richtlijn 3402 komt overeen met: ISAE 3402 (internationaal), Standaard 3402 (NBA), SOC 1 (US)

Geschreven door
Wilfried Olthof
Wilfried Olthof