Zijn die er dan? Ja, die komen veel voor in ISAE 3402 rapporten. En dat is (vooralsnog) niet beter geworden met de overgang van SAS70 naar ISAE 3402. Maar wat bedoelen we met onzinnige beheersmaatregelen? We hebben hiervoor twee categorieën;

• Beheersmaatregelen die niets bijdragen aan het behalen van (een onderdeel van) de beheersdoelstelling;
• Beheersmaatregelen die onduidelijk zijn voor lezers van een ISAE 3402 rapport;

In het eerste geval zouden deze in het geheel uit het rapport kunnen worden gelaten. Maar ze staan er toch. En dit levert eigenlijk alleen kosten op voor de klant, ze worden immers wel getoetst. Daarnaast zijn medewerkers bezig met activiteiten die weinig bijdragen aan het doel van de organisatie: weinig efficiënt dus.

De tweede categorie is minstens zo relevant als de eerste. Immers, het doel bij een Assurance rapport is om de lezer zekerheid te geven over de inhoud van het rapport. En als de inhoud dan niet duidelijk is, voldoet het rapport niet. De belangrijkste tekortkoming bij maatregelen is, dat ze onvoldoende concreet zijn. Wat te denken van de maatregel; ‘er zijn functiescheidingen’ . Dit soort maatregelen treffen we regelmatig aan in ISAE 3402 rapporten, maar onduidelijk is dan:

• Functiescheiding tussen welke personen;
• Het doel van de functiescheiding;

Twee andere voorbeelden:

“De reconciliatie bestanden die via e-mail worden verzonden worden afgetekend op de checklist voor de einde maand verwerking.“

“Tijdens het gebruik van de sheet wordt een 4-ogen controle toegepast; aan de hand van een checklist wordt de verwerking en de berekeningen van aan- en verkooporders gecontroleerd.“

Hierbij is het onduidelijk:

• Wie voert iets uit;
• Wie controleert dat dan;
• Wat wordt er mee gedaan;
• Wanneer moet de beschreven actie worden uitgevoerd.

Het is, laten we het zo maar stellen, daarnaast interessant om te zien, dat in de ISAE 3402 standaard zelf, geen specifieke eisen worden gesteld aan de beschrijving van de beheersmaatregelen. Maar alle zichzelf respecterende accountants & audit organisaties hebben intern wel richtlijnen opgesteld waaraan deze maatregelen moeten voldoen. Voorbeelden van deze richtlijnen zijn dat in de maatregel duidelijk is beschreven:

• Wie (voert de maatregelen uit); oftewel de verantwoordelijke partij voor het uitvoeren van de risico mitigerende activiteit;
• Wanneer (hoe vaak, frequentie) wordt de maatregel uitgevoerd (meer dan dagelijks,dagelijks, wekelijks, maandelijks, per kwartaal, jaarlijks);
• Wat: een omschrijving van de inhoudelijke activiteit van de beheersmaatregel;
• Waar(uit): wat is de bron van de maatregel (indien van toepassing);
• Resultaat en vervolgactie: omschrijving van het resultaat van de actie en eventuele daaruit voortvloeiende acties.

Allemaal geen ‘rocket science’, maar lang niet altijd en consequent toegepast.

Het is daarom altijd weer verbazingwekkend om te zien, dat rapporten soms veel maatregelen bevatten, die niet voldoen aan de hierboven opgestelde eisen, ook als die rapporten een mededeling bevatten, die is afgegeven door een grote auditorganisatie.

Is dat dan erg? Er zijn vrijwel geen perfecte rapporten aanwezig, maar het gaat wel om de tendens die erachter zit.

In de praktijk blijkt, dat een ISAE 3402 rapport nauwelijks leidt tot vragen, terwijl daar in veel gevallen wel aanleiding toe bestaat. Onder de standaard 402 (niet 3402!) moeten de ontvangende accountants zich de vraag stellen of zij op basis van een ISAE 3402 rapport voldoende inzicht hebben verkregen in de voor hen relevante werkzaamheden die door de serviceorganisatie worden uitgevoerd.

Kortom, we zien regelmatig beheersmaatregelen, die weinig tot niets zeggen, onzinnig dus, en maatregelen die geen bijdrage leveren aan het behalen van een doelstelling. Een meer kritische instelling bij zowel uitgevende auditor als ontvangende auditor lijkt nodig te zijn om de kwaliteit van ISAE 3402 rapportages (op termijn) omhoog te krijgen.