Sarbanes & Oxley Act
Valt u als onderneming onder de Sarbanes & Oxley Act, dan wordt tijdens de daaraan verbonden verplichte audits ook de salarisadministratie als onderdeel van uw financiële bedrijfsvoering gecontroleerd.
Wanneer u uw salarisverwerking heeft uitbesteed aan ADP, dan kunt u via ADP de zogeheten ISAE 3402-verklaring verkrijgen. Met deze ISAE 3402-verklaring laat een onafhankelijke partij - in dit geval EY - weten dat ADP de interne controleprocessen op orde heeft. Uw auditors kunnen deze verklaring zonder meer overnemen.
Beschikbaarheid
Om de klanten altijd van de juiste informatie te kunnen voorzien, zorgt ADP ervoor dat medio januari de ISAE 3402 -verklaring van de onafhankelijke partij beschikbaar is. De meeste bedrijven werken immers met een boekjaar dat loopt van januari tot en met december. Daarnaast verschijnen eind april, eind juni en eind september zogeheten ‘update letters’ voor klanten met een boekjaar dat bijvoorbeeld in juni of september eindigt. Deze aanpak verzekert de auditors van alle klanten van accurate en actuele informatie. U kunt de verklaringen aanvragen via Mijn ADP.
Hoe komt de verklaring tot stand?
Om het salarisverwerkingsproces op betrouwbaarheid te testen worden de belangrijkste applicaties die hierbij gebruikt worden onderzocht. De interne controleprocedures worden steekproefsgewijs getest. De auditor voert hierbij in de regel 20 tot 25 testen uit. Een toepassing moet minimaal 6 maanden gebruikt worden voordat er een audit kan plaatsvinden.
Het resultaat bij ADP is goed. De webapplicaties/services Multipay, Prisal, ADP iHCM, ADP Workforce, ADP Perman en ADP Betaalservice zijn getoetst en in orde bevonden door EY.
Verantwoordelijkheid
Het salarisverwerkingsproces is de gedeelde verantwoordelijkheid van ADP - de verwerker van de gegevens - en de klant als de partij die de gegevens aanlevert. Dit betekent dat ook aan klantzijde controles zullen moeten plaatsvinden. Deze zijn vastgelegd in de ‘Complementary user entity controls’ van de ISAE 3402-verklaring.
Wie moet beschikken over ISAE 3402 informatie?
Bedrijven die:
- onder de Sarbanes & Oxley-wetgeving vallen en
- die gebruikmaken van diensten van derden die een directe en aanzienlijke impact hebben op de financiële informatie die zij aan de US SEC (Security Exchange Commission) verstrekken, hebben ISAE 3402 informatie nodig.
Een groeiend aantal bedrijven ziet het voldoen aan de eisen van Sarbanes Oxley als een kwaliteitskenmerk.