Standaardaanpak faalt bij assurance rond uitbesteding

Ondernemingen die assurance willen bij de uitbesteding van processen, gaan er te makkelijk van uit dat een door de accountant opgestelde ISAE 3402-rapportage daarvoor de beste oplossing is.

Dat leidt tot ontevredenheid en onbegrip. Kies daarom een andere aanpak en help de outsourcer bij het beter omschrijven wat hij nodig heeft.

Ondernemingen die processen uitbesteden, willen assurance over het kwaliteitsniveau en de risicobeheersing bij de serviceprovider. Vaak grijpt men daarvoor in een automatische reflex terug op het ‘accountantsproduct’ ISAE 3402, zonder dat men zich afvraagt of een rapportage volgens die normen wel aansluit bij wat men werkelijk wenst. Gebeurt dit incidenteel of is dit een structureel probleem? Op grond van onze eigen ervaringen stellen wij dat dit een structureel probleem is. Het heeft er veel van weg dat ISAE 3402 de spreekwoordelijke hamer is en dat alle assurancevragen rondom uitbesteding gemakshalve maar als spijker worden gezien. Geheel ten onrechte uiteraard.

Maatwerk

Deze constatering is aanleiding geweest voor een onderzoek in samenwerking met de Vrije Universiteit Amsterdam, waarin de behoefte aan zekerheid bij opdrachtgevers van uitbestede IT-diensten in kaart werd gebracht en werd gezocht naar oplossingen om beter in die behoefte te voorzien. Daaruit bleek dat outsourcers een brede behoefte hebben aan assurance over hun uitbestede processen, maar dat de onderlinge verschillen groot zijn. Maatwerk is nodig: outsourcers moeten zelf een risicoanalyse maken en op basis daarvan hun assurancebehoefte definiëren.

Een tweede conclusie was dat er sprake is van een behoorlijk verschil tussen de wensen en verwachtingen van outsourcers en die van serviceproviders. De eisen van de outsourcers liggen over het algemeen hoger dan die van de serviceproviders. Vanuit de gangbare praktijk, waarin de serviceprovider samen met de accountant veelal leidend is in het invullen van de assurance-eisen in ISAE 3402, is het dan ook niet verwonderlijk dat de wensen van de outsourcer vaak niet goed uit de verf komen. Het onderzoek was specifiek gericht op uitbesteders van IT-diensten. De praktijk leert echter dat deze problematiek ook speelt bij uitbesteding van andere bedrijfsprocessen.

Haarlemmerolie

Een ISAE 3402-rapport is dus geen haarlemmerolie voor assurance bij uitbestedingen. Waarom niet? Twee belangrijke factoren spelen een rol:

1. ISAE 3402 is ontstaan vanuit de wens te komen tot een enkele wereldwijde standaard voor de beoordeling van de interne beheersing van serviceorganisaties. Het is een rapportage tussen accountants: een ISAE 3402-rapportage voorkomt dat de accountant van de outsourcer zelf werkzaamheden moet verrichten bij de serviceprovider in het kader van zijn jaarrekeningcontrole. Dit is tevens efficiënt voor de serviceprovider, die veelal meerdere klanten heeft en zo niet al hun accountants hoeft te ontvangen. ISAE 3402 raakt processen die impact hebben op de financiële informatievoorziening - en daarmee potentieel op de jaarrekening. Die beperkte reikwijdte staat echter ver af van de huidige praktijk, waarin ISAE 3402 wordt toegepast op een breed scala van uitbestede processen die weinig of niets te maken hebben met de financiële informatievoorziening. Bovendien is de terminologie sterk georiënteerd op accountants. Dat schrikt menig opdrachtgever af.

2. ISAE 3402 wordt gezien als een certificaat. Maar hier is geen sprake van een algemeen aanvaard stelsel van eisen en normen, zoals bijvoorbeeld bij ISO-certificering. ISAE 3402 kent geen generieke normen: de normen en eisen dienen als maatwerk te worden ontwikkeld op basis van de informatiebehoefte van de opdrachtgever. In het rapport beschrijft de serviceorganisatie hoe zij processen beheerst: er worden beheersdoelstellingen gedefinieerd en het geheel van (controle)maatregelen dat de organisatie neemt om die doelstellingen te realiseren. Een assuranceprovider (accountant) stelt vast of deze maatregelen goed werken en rapporteert daarover. De accountant van de uitbestedende organisatie kan door kennisname van dat rapport zelf vaststellen of de beheersing van de uitbestede processen op een niveau ligt dat voldoet aan zijn normen. Dat is iets heel anders dan het kennis nemen van een certificaat en vergt dus ook veel meer eigen (beoordelings)werk.

Driver's seat

Wat zijn de mogelijkheden voor verbetering? De oplossing ligt waarschijnlijk niet in het veranderen van de ISAE 3402 - al was het maar omdat zo’n verandering een jarenlange exercitie zou zijn en internationale samenwerking vergt. De oplossing zit voor een groot deel in de kritische beoordeling of een ISAE 3402 wel het meest geschikte middel is om de gewenste zekerheid te verkrijgen. Er zijn immers ook

alternatieven. Centraal daarbij staat dat de opdrachtgever terug moet in de driver’s seat, door zelf veel actiever na te denken over wat de wensen precies zijn. Denk daarbij aan het definiëren van risicogebieden, de gewenste zekerheden, de mate van detail in en de structuur van rapportage en aan de timing. Die wensen kunnen in samenspraak met de accountant worden vertaald in een aanpak die de opdrachtgever ook daadwerkelijk een antwoord op zijn vraag biedt.

Dat klinkt eenvoudig, maar hoe doen we dat? De eerste stap is het wegnemen van de twee eerder genoemde misverstanden: (1) ISAE 3402 is geen generiek certificaat, maar een aanpak die met maatwerk moet worden ingevuld; en (2) ISAE 3402 is een accountantsproduct gericht op financiële processen en daarmee niet (per definitie) geschikt voor andere processen of een andere context.

Dat is waarschijnlijk nog de eenvoudigste stap. Veel lastiger is het om te zorgen dat de opdrachtgever veel explicieter zijn eisen en verwachtingen in kaart brengt en dat de auditor op basis daarvan komt tot een assurance-aanpak die deze verwachtingen inlost. Dat is dus niet per definitie een ISAE 3402-rapportage, maar kan bijvoorbeeld ook een ISAE 3000-rapportage zijn, die gericht is op het verstrekken van zekerheid over onderwerpen die niet gerelateerd zijn aan de financiële verslaggeving. Dit dekt dan de bredere behoefte aan zekerheid van het management.

Beslismodel

De essentie is dus dat de behoefte aan assurance veel beter in kaart wordt gebracht en op basis daarvan het assuranceproduct wordt gekozen waarmee die behoefte kan worden ingevuld. Het onderzoek in samenwerking met de VU biedt daartoe een beslismodel wat stimuleert tot een maatwerk-aanpak voor assurance bij de uitbesteding van IT-diensten - zowel qua scope van werkzaamheden als qua frequentie van de rapportage. Het model omvat acht hoofdgebieden van risico’s met daaronder in totaal 51 onderwerpen die als handvat kunnen dienen voor opdrachtgevers om beter in kaart te brengen waar de assurancebehoefte zit. Het is zinvol dat deze onderwerpen in samenspraak tussen accountant en opdrachtgever worden uitgewerkt, zodat het ‘stempel’ van de opdrachtgever duidelijk herkenbaar is. De accountant dient zich daarbij te kunnen inleven in de wensen van de opdrachtgever en het accountantsjargon zoveel mogelijk te vermijden. Op basis van deze wensen en de informatiebehoefte, kan vervolgens het juiste assuranceproduct worden gekozen zodat de behoeften van de opdrachtgever ook daadwerkelijk worden ingevuld. Dat is niet alleen van belang voor de opdrachtgever, maar ook voor de accountant. Immers, een dergelijke werkwijze geeft een flinke impuls aan de relevantie van het accountantsproduct.