Besteden jouw klanten een deel van hun processen of dienstverlening uit aan jouw organisatie? Dan krijg je vast wel eens de vraag of je een ISAE 3000 of ISAE 3402 verklaring hebt. Als (service)organisatie wil je aan jouw klanten kunnen tonen dat hun uitbestede processen in goede handen zijn. Je legt afspraken vast, bijvoorbeeld in een Service Level Agreement (SLA) en rapporteert over de prestaties. Deze SLA en rapportages geven alleen niet altijd voldoende zekerheid over de kwaliteit en informatieveiligheid van de dienstverlening. Een ISAE-verklaring kan dan uitkomsten bieden. Met een ISAE-verklaring, ook wel assurance- of derdenverklaring genoemd, bewijs je aan klanten dat (uitbestede) processen aantoonbaar ‘in control’ zijn.
Wil je een helder antwoord op de vraag of ISAE voor jouw organisatie geschikt is? Weten hoe we jouw organisatie kunnen helpen bij het behalen van deze verklaring? We kunnen helpen bij een passend plan van aanpak of het uitvoeren van een pre-audit. Zo weet je direct waar jouw organisatie staat en kan je zelfverzekerd aan de slag met ISAE. Heb je liever begeleiding bij het hele ISAE-traject? Dan staan we uiteraard ook voor je klaar!
ISAE staat voor International Standard for Assurance Engagements. Het is een onafhankelijke assurance-verklaring, afgegeven door een register auditor (RE) of -accountant (RA).
Er zijn in Nederland twee veelgevraagde ISAE-verklaringen:
Zowel de ISAE 3402 als ISAE 3000 zijn onder te verdelen in twee typen:
Om het geheel wat ingewikkelder te maken, zijn er nog twee belangrijke termen. SOC 1 en SOC 2. Misschien heb je deze termen wel eens horen vallen als het om ISAE ging. Dat komt omdat het (op hoofdlijnen) synoniemen zijn van elkaar. We zullen je niet vervelen met de details, maar onthoudt: ISAE 3402 is SOC 1 en ISAE 3000 is SOC 2.
Een ISAE 3402 of ISAE 3000 is interessant voor diverse typen bedrijven, bijvoorbeeld:
ISAE 3000
ISAE 3402
De lijst met voorbeelden is niet limitatief, omdat het niet altijd zwart-wit is als het gaat om welke verklaring het meest geschikt is. Soms passen zowel ISAE 3402 als ISAE 3000. Een belangrijk vertrekpunt om te bepalen welke assurance-verklaring het best bij jouw organisatie past, is de vraag die je krijgt vanuit je klant. Waarover wil jouw klant precies assurance?
Onze consultants starten normaliter met een nulmeting en geven daarbij advies of jouw organisatie klaar is voor ISAE. Indien dit het geval is, gaan zij aan de slag met een risicoanalyse en het vaststellen van het normenkader. Vervolgens passen zij de processen en werkinstructies hierop aan, waarna de implementatie van het normenkader en de beheersmaatregelen kan worden gestart. Daarna kunnen onze consultants een pre-audit verzorgen. Hierdoor wordt inzichtelijk in hoeverre jouw organisatie al voldoet. De uitkomsten van de pre-audit geven inzicht welke acties nog moeten worden ondernomen om aan de ISAE eisen te voldoen. Daar kunnen we uiteraard ook mee helpen. Vervolgens kan voor ISAE type 1 (snapshot specifiek moment) een onafhankelijke register auditor (RE) of -accountant (RA) een ISAE verklaring afgeven. Gaat jouw organisatie voor ISAE type 2, dan is het van belang dat de verzameling van bewijslast conform de regels wordt opgestart. Waarna de onafhankelijke register auditor (RE) of – accountant (RA) de ISAE type 2 verklaring kan afgeven. Omdat wij zelf geen ISAE verklaring mogen afgeven, werken wij samen met de register auditoren en -accountants van 3Angles.
Een assurance-verklaring bestaat uit meerdere onderdelen:
In de praktijk zien we dat de elementen in een ISAE 3000-verklaring vaak overeenkomen met die van een ISAE 3402-verklaring, met als uitzondering dat een managementbewering niet verplicht is voor ISAE 3000 en daarom soms wordt weggelaten. Een ander, inhoudelijk verschil is zichtbaar in het control framework, waarin de beheersmaatregelen zijn opgenomen. Een ISAE 3402 framework is grotendeels ingericht met IT General Controls en Application Controls. Daarentegen is een ISAE 3000 framework inhoudelijk vormvrij. Voor het ISAE 3000 framework wordt vaak gebruik gemaakt van de Trust Service Principles (Security, Availability, Processing, Integrity, Confidentiality en Privacy).
Een ISAE-verklaring geeft geen inhoudelijke norm, het is geen certificaat en geen kwaliteitskeurmerk. ISAE 3402 beschrijft alleen de rapportagevorm en niet het te gebruiken normenkader.
Een ISAE rapportage wordt altijd afgegeven, ook als er afwijkingen zijn geconstateerd. Het rapport bevat minimaal: