ISO certificering versus ISAE rapportage
“Wij zijn al ISO gecertificeerd, waarom moeten wij ook nog een ISAE rapportage verstrekken?” Een vraag die bij Baker Tilly regelmatig voorbij komt. Veel serviceorganisaties denken nog steeds dat een ISO certificering voldoende is om vertrouwen uit te stralen over de dienstverlening aan klanten. De certificering wordt gezien als een hygiënecertificaat dat je moet bezitten, zoals binnen de horeca. De gedachte hierbij is “Als er een certificaat aanwezig is, dan zal het allemaal wel goed en veilig zijn”. Maar geeft een ISO certificering eigenlijk wel die zekerheid?
Kritische markt
Veel organisaties zijn de afgelopen jaren kritischer geworden als het gaat om het uitbesteden van processen. Dit komt voornamelijk door de toenemende wet- en regelgeving. Toezichthouders en hun accountants verlangen zekerheid over de effectieve risicobeheersing van de uitbesteedde bedrijfsprocessen en de IT-processen.
Omdat de Nederlandse economie steeds meer een netwerkeconomie wordt en organisaties steeds meer kritische processen uitbesteden aan derden, is de markt is ook steeds kritischer geworden in haar uitbestedingsprocessen. Bij aanbestedingstrajecten zie je steeds vaker dat men vraagt om een zogenoemde ’Assurance rapportage’.
Verschil ISO certificering en ISAE rapportage
Wat is nu eigenlijk het verschil tussen beide? Het grootste verschil is dat de ISO certificering geen redelijke mate van zekerheid geeft over de effectieve risicobeheersing en een ISAE rapportage geeft deze redelijke mate van zekerheid wel. Een ISO certificering heeft om die reden voor een accountant of toezichthouder een zeer beperkte toegevoegde waarde.
Het hebben van een ISO-certificering impliceert dat een organisatie systemen en processen heeft geïmplementeerd volgens de normen van de International Standardization Organization (ISO). Die normen dragen bij aan efficiënte beheersing van operationele processen, het leveren van consistentie in producten of diensten en commitment aan continue verbetering.
Een ISAE rapportage geeft een redelijke mate van zekerheid over de effectieve beheersing over verschillende relevante onderwerpen, zoals onder andere de integriteit van de dienstverlening, (informatie)veiligheid, continuïteit, beschikbaarheid, vertrouwelijkheid en privacy. Bij een ISAE type 2 rapportage wordt de werking getoetst van de geïmplementeerde beheersingsmaatregelen over een periode van tenminste 6 maanden. De toetsing gaat derhalve ook dieper dan bij een ISO audit.
Het antwoord op de vraag ‘Geeft een ISO certificering voldoende zekerheid aan kritische toezichthouders en accountants? is dan ook ‘Nee’.
Voordelen verstrekken ISAE rapportage
Wat zijn dan de belangrijkste voordelen om naast een ISO certificering ook een ISAE rapportage (assurance rapportage) te verstrekken aan uw klanten?
Verbeterd vertrouwen en geloofwaardigheid
Assurance rapportages versterken het vertrouwen van belanghebbenden, zoals investeerders, crediteuren en klanten, omdat ze een onafhankelijke beoordeling bieden van de betrouwbaarheid en integriteit van financiële rapportages en interne beheersmaatregelen.
Verhoogde transparantie
Door het verstrekken van gedetailleerde informatie over de evaluatie van interne controles en financiële rapportages, dragen assurance rapportages bij aan een betere transparantie van de bedrijfsvoering. Dit helpt belanghebbenden een duidelijker beeld te krijgen van de prestaties en risico's van de organisatie.
Risicobeheersing en verbeterde governance
Assurance rapportages helpen organisaties bij het identificeren en beoordelen van risico's in hun operationele processen en interne controlesystemen. Hierdoor kunnen ze gerichte maatregelen nemen om deze risico's te beheersen en de effectiviteit van hun governancestructuren te verbeteren.
Concurrentievoordeel
Organisaties die assurance rapportages verkrijgen onderscheiden zich van hun concurrenten door het vertrouwen en de geloofwaardigheid die deze rapporten bieden. Dit kan leiden tot een verbeterde reputatie en een voorkeurspositie bij klanten en investeerders.Naleving van regelgeving
Voor sommige organisaties is het verkrijgen van assurance rapportages een vereiste om te voldoen aan wettelijke regels. Het verkrijgen van deze rapportages helpt bij het aantonen van naleving van relevante wet- en regelgeving.Verbeterde interne controleprocessen
Assurance rapportages kunnen organisaties waardevolle inzichten bieden in de effectiviteit van hun interne controleprocessen. Dit kan leiden tot aanbevelingen voor verbeteringen en optimalisatie van interne controlemechanismen.
Kortom: assurance rapportages dragen bij aan het vergroten van vertrouwen, transparantie en risicobeheersing binnen organisaties.
Meer weten?
De specialisten van Baker Tilly IT Advisory vertellen u graag meer over ISAE rapportages en ondersteunen u bij het aantoonbaar maken van uw kwaliteit richting klanten en andere stakeholders.
Wet- en regelgeving op dit gebied kan onderhevig zijn aan verandering. Wij raden u aan om met uw Baker Tilly adviseur te overleggen over de impact hiervan.