Verplichte audits

 

Sarbanes & Oxley Act

Valt u als onderneming onder de Sarbanes & Oxley Act, dan wordt tijdens de daaraan verbonden verplichte audits ook de salarisadministratie als onderdeel van uw financiële bedrijfsvoering gecontroleerd.

 

Wanneer u uw salarisverwerking heeft uitbesteed aan ADP, dan kunt u via ADP de zogeheten ISAE 3402-verklaring verkrijgen. Met deze ISAE 3402-verklaring laat een onafhankelijke partij - in dit geval EY - weten dat ADP de interne controleprocessen op orde heeft. Uw auditors kunnen deze verklaring zonder meer overnemen.

 

Beschikbaarheid

Om de klanten altijd van de juiste informatie te kunnen voorzien, zorgt ADP ervoor dat medio januari de ISAE 3402 -verklaring van de onafhankelijke partij beschikbaar is. De meeste bedrijven werken immers met een boekjaar dat loopt van januari tot en met december. Daarnaast verschijnen eind april, eind juni en eind september zogeheten ‘update letters’ voor klanten met een boekjaar dat bijvoorbeeld in juni of september eindigt. Deze aanpak verzekert de auditors van alle klanten van accurate en actuele informatie. U kunt de verklaringen aanvragen via Mijn ADP.

 

Hoe komt de verklaring tot stand?

Om het salarisverwerkingsproces op betrouwbaarheid te testen worden de belangrijkste applicaties die hierbij gebruikt worden onderzocht. De interne controleprocedures worden steekproefsgewijs getest. De auditor voert hierbij in de regel 20 tot 25 testen uit. Een toepassing moet minimaal 6 maanden gebruikt worden voordat er een audit kan plaatsvinden.

Het resultaat bij ADP is goed. De webapplicaties/services Multipay, Prisal, ADP Perman voor Windows, ADP Perman II, ADP Workforce, ADP Pion, ADP Perman en ADP Betaalservice zijn getoetst en in orde bevonden door EY.

 

Verantwoordelijkheid

Het salarisverwerkingsproces is de gedeelde verantwoordelijkheid van ADP - de verwerker van de gegevens - en de klant als de partij die de gegevens aanlevert. Dit betekent dat ook aan klantzijde controles zullen moeten plaatsvinden. Deze zijn vastgelegd in de ‘Client control consideration sections’ van de ISAE 3402-verklaring.

 

Wie moet beschikken over ISAE 3402 informatie?

Bedrijven die:

  • onder de Sarbanes & Oxley-wetgeving vallen en
  • die gebruikmaken van diensten van derden die een directe en aanzienlijke impact hebben op de financiële informatie die zij aan de US SEC (Security Exchange Commission) verstrekken, hebben ISAE 3402 informatie nodig.

Een groeiend aantal bedrijven ziet het voldoen aan de eisen van Sarbanes Oxley als een kwaliteitskenmerk.


Sarbanes-Oxley and ADP

If your business falls under the Sarbanes & Oxley Act, the mandatory audits that it requires will include the payroll administration as part of your financial management.

 

If you have outsourced your payroll processing to ADP, then you can obtain the ISAE 3402 Type II report from ADP. With the ISAE 3402 report, an independent party - in this case EY - declares that ADP has its internal audit processes in order. Your auditors can simply copy this report.

 

Availability

To be able to provide clients with the correct information at all times, ADP ensures that the ISAE 3402 report from the independent party is available by mid-January. This is because most companies operate on a fiscal year that runs from January to December. ‘Update letters’ are also issued at the end of April, end of June and end of September for clients with fiscal years that end in June or September, for example. This approach ensures that the auditors receive accurate and current information from all clients. You can request the reports through the web application Mijn ADP.

 

How is the report created?

To test the payroll processing for reliability, the most important applications used for this are investigated. The internal audit procedures are tested on a spot check basis. Generally the auditor performs 20 to 25 tests. An application must be used for at least 6 months before an audit can take place.

The result for ADP is good. The web applications/services Multipay, Prisal, ADP Perman for Windows, ADP Perman II, ADP Workforce, ADP Pion, ADP Perman and ADP Payroll Disbursement Service passed the tests by EY.

 

Responsibility

The payroll processing is the shared responsibility of ADP, who processes the data, and the client, who provides the data. This means that checks also need to be done on the client side. These are set down in the ‘Client control considerations section’ of the ISAE 3402 report.

 

Who needs to have ISAE 3402 information?

Companies that:

  • fall under the Sarbanes & Oxley legislation, and
  • that make use of third party services that have a direct and significant impact on the financial information that they report to the US SEC (Security Exchange Commission), require ISAE 3402 information.

A growing number of companies sees compliance with Sarbanes-Oxley requirements as a mark of quality.