Einde inhoudsopgave
Uitbesteding in de financiële sector (O&R nr. 88) 2015/5.15.5.2
5.15.5.2 Derdenverklaring
mr. drs. P. Laaper, datum 17-11-2015
- Datum
17-11-2015
- Auteur
mr. drs. P. Laaper
- JCDI
JCDI:ADS594119:1
- Vakgebied(en)
Financieel recht / Bank- en effectenrecht
Financieel recht / Financieel toezicht (juridisch)
Voetnoten
Voetnoten
In goed jargon wordt dit ook wel een “Third Party Statement” genoemd.
Geregeld wordt nog om een SAS 70-verklaring gevraagd. Met de ontwikkeling van de ISAE 3402-verklaring, is de SAS 70-verklaring echter enigszins achterhaald. Een SAS 70-verklaring is beperkt tot de bedrijfsprocessen die direct relevant zijn voor de financiële verslaggeving. De ISAE 3402-verklaring is een doorontwikkeling van de SAS 70-verklaring. Ze geeft niet enkel zekerheid over de bedrijfsprocessen met betrekking tot de financiële verslaggeving, maar desgewenst ook met betrekking tot de naleving van wet en regelgeving en de efficiëntie en effectiviteit van de bedrijfsvoering. Wel moeten de te beoordelen controlemaatregelen altijd ten minste indirect relevant zijn voor de financiële rapportage. Zie verder Verweij 2010.
Zo ook: Van Asselt & Bastian 2014, onder “Transparantie over processen”.
Het is heel gebruikelijk dat van de vermogensbeheerder een derdenverklaring wordt geëist.1 Een derdenverklaring is een door een onafhankelijke derde opgestelde verklaring die dient ter verzekering dat de dienstverlener “in control” is over de eigen bedrijfsvoering. Een dergelijke verklaring is van belang voor het pensioenfonds. Het kan zelf immers niet “in control” zijn over (zijn) uitbestede werkzaamheden, als zijn dienstverlener daarover al niet “in control” is.
De ISAE 3402-verklaring vormt de standaard.2 Een ISAE 3402-verklaring wordt afgegeven door een registeraccountant of register-EDPauditor. Van de ISAE 3402-verklaring bestaan twee typen. Type I geeft een beschrijving van de bedrijfsvoering op een specifiek moment. Het is een momentopname dat zekerheid geeft over de opzet en het bestaan van beheersingsmaatregelen. Voor type II is ook gedurende een periode van minimaal 6 maanden de werking getest. Naast een verzekering van de opzet en het bestaan van beheersingsmaatregelen, geeft dit type verklaring zekerheid over de effectieve werking ervan.
Hoewel de ISAE 3402-verklaring de standaard vormt, doet een opdrachtgever er verstandig aan zich van het bereik van die verklaring rekenschap te geven. Een ISAE 3402-verklaring houdt een oordeel in over enkel de beheersingsmaatregelen met betrekking tot de financiële rapportage. Ze houdt geen oordeel in over beheersingsmaatregelen met betrekking tot bijvoorbeeld de naleving van het “best execution”-beleid, het integriteitsbeleid of het uitbestedingsbeleid (van die dienstverlener). Voor een oordeel met betrekking tot zulke bedrijfsprocessen, kan een opdrachtgever om een ISAE 3000-verklaring vragen. De ISAE 3000-verklaring is algemener. Ze is niet beperkt tot beheersingsmaatregelen inzake de financiële rapportage. Ze ziet ook niet specifiek op uitbesteding, zoals de ISAE 3402-verklaring, maar kan daar wel voor worden gebruikt.
Ook bij gebruik van een ISAE 3000-verklaring, doet de opdrachtgever er goed aan om kritisch naar het bereik van de verklaring te kijken. De verklaring betreft namelijk alleen dié bedrijfsprocessen waarvoor de dienstverlener een verklaring heeft aangevraagd. Een vermogensbeheerder kan bijvoorbeeld over een ISAE 3000-verklaring beschikken die wel de administratieve vastlegging van transacties dekt, maar niet de naleving van wet- en regelgeving of de processen om beleggingen te selecteren.3