Onze diensten

ISAE 3402

De waarborg dat (uitbestede) processen aantoonbaar ‘in control’ zijn!

Waarom ISAE 3402?

Besteden jouw klanten een deel van hun processen of dienstverlening uit aan jouw organisatie? Dan krijg je vast wel eens de vraag of je een ISAE 3000 of ISAE 3402 verklaring hebt. Als (service)organisatie wil je aan jouw klanten kunnen tonen dat hun uitbestede processen in goede handen zijn. Je legt afspraken vast, bijvoorbeeld in een Service Level Agreement (SLA) en rapporteert over de prestaties. Deze SLA en rapportages geven alleen niet altijd voldoende zekerheid over de kwaliteit en informatieveiligheid van de dienstverlening. Een ISAE-verklaring kan dan uitkomsten bieden. Met een ISAE-verklaring, ook wel assurance- of derdenverklaring genoemd, bewijs je aan klanten dat (uitbestede) processen aantoonbaar ‘in control’ zijn.

 

ISAE interessant voor jouw organisatie?

Wil je een helder antwoord op de vraag of ISAE voor jouw organisatie geschikt is? Weten hoe we jouw organisatie kunnen helpen bij het behalen van deze verklaring? We kunnen helpen bij een passend plan van aanpak of het uitvoeren van een pre-audit. Zo weet je direct waar jouw organisatie staat en kan je zelfverzekerd aan de slag met ISAE. Heb je liever begeleiding bij het hele ISAE-traject? Dan staan we uiteraard ook voor je klaar!

Informatiebeveiliging assurance
Meerwaarde van ISAE
  • Sterk signaal naar klanten: je maakt verwachtingen waar en gaat proactief om met risicobeheersing.
  • Professionalisering van de administratieve organisatie.
  • De organisatie voldoet aan Wettelijke verplichtingen ten aanzien van outsourcing die o.a. zijn vastgelegd in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD).
  • Lagere accountantskosten, omdat geautomatiseerde/gestandaardiseerde controles veel handmatig, duur controlewerk overnemen.
  • Continu grip op risico’s: risico’s snel signaleren en verlagen, geen ‘blinde vlekken’ meer. Kortom: in control.

Veelgestelde vragen

Wat is ISAE?

ISAE staat voor International Standard for Assurance Engagements. Het is een onafhankelijke assurance-verklaring, afgegeven door een register auditor (RE) of -accountant (RA).

Er zijn in Nederland twee veelgevraagde ISAE-verklaringen:

  • ISAE 3402: Assurance over bedrijfsprocessen die met de verwerking van financiële transacties te maken hebben.
  • ISAE 3000: Assurance over bedrijfsprocessen die met de opslag en verwerking van data te maken hebben.

Zowel de ISAE 3402 als ISAE 3000 zijn onder te verdelen in twee typen:

  • Type 1: Deze verklaring betreft een snapshot op een specifiek moment, waarbij assurance over de opzet en het bestaan wordt gegeven.
  • Type 2: Deze verklaring bestrijkt een voorafgaande periode, bijvoorbeeld 6 of 12 maanden, waarbij assurance over de opzet, het bestaan en de werking wordt gegeven.

Om het geheel wat ingewikkelder te maken, zijn er nog twee belangrijke termen. SOC 1 en SOC 2. Misschien heb je deze termen wel eens horen vallen als het om ISAE ging. Dat komt omdat het (op hoofdlijnen) synoniemen zijn van elkaar. We zullen je niet vervelen met de details, maar onthoudt: ISAE 3402 is SOC 1 en ISAE 3000 is SOC 2.

Voor welke bedrijven is ISAE interessant?

Een ISAE 3402 of ISAE 3000 is interessant voor diverse typen bedrijven, bijvoorbeeld:

ISAE 3000

  • Management BI leveranciers;
  • Applicatieontwikkelaars;
  • Callcenters;
  • Vastgoedbeheerders;
  • Leveranciers van hosting- en clouddiensten (tevens ISAE 3402);
  • SaaS leveranciers;
  • Datacenters (tevens ISAE 3402);
  • Managed service leveranciers;
  • Internet providers.

ISAE 3402

  • Payroll organisaties;
  • Uitvoeringsinstanties voor hypotheken en pensioenen;
  • Uitvoeringsinstanties voor medische claims.

De lijst met voorbeelden is niet limitatief, omdat het niet altijd zwart-wit is als het gaat om welke verklaring het meest geschikt is. Soms passen zowel ISAE 3402 als ISAE 3000. Een belangrijk vertrekpunt om te bepalen welke assurance-verklaring het best bij jouw organisatie past, is de vraag die je krijgt vanuit je klant. Waarover wil jouw klant precies assurance?

Hoe verloopt een ISAE traject?

Onze consultants starten normaliter met een nulmeting en geven daarbij advies of jouw organisatie klaar is voor ISAE. Indien dit het geval is, gaan zij aan de slag met een risicoanalyse en het vaststellen van het normenkader. Vervolgens passen zij de processen en werkinstructies hierop aan, waarna de implementatie van het normenkader en de beheersmaatregelen kan worden gestart. Daarna kunnen onze consultants een pre-audit verzorgen. Hierdoor wordt inzichtelijk in hoeverre jouw organisatie al voldoet. De uitkomsten van de pre-audit geven inzicht welke acties nog moeten worden ondernomen om aan de ISAE eisen te voldoen. Daar kunnen we uiteraard ook mee helpen. Vervolgens kan voor ISAE type 1 (snapshot specifiek moment) een onafhankelijke register auditor (RE) of -accountant (RA) een ISAE verklaring afgeven. Gaat jouw organisatie voor ISAE type 2, dan is het van belang dat de verzameling van bewijslast conform de regels wordt opgestart. Waarna de onafhankelijke register auditor (RE) of – accountant (RA) de ISAE type 2 verklaring kan afgeven. Omdat wij zelf geen ISAE verklaring mogen afgeven, werken wij samen met de register auditoren en -accountants van 3Angles.

Een assurance-verklaring bestaat uit meerdere onderdelen:

  • Auditorsrapport;
  • Managementbewering;
  • Systeembeschrijving;
  • Beheersingsdoelstellingen en -maatregelen, aangevuld met de informatie verstrekt door de auditor of accountant;
  • Overige informatie.

In de praktijk zien we dat de elementen in een ISAE 3000-verklaring vaak overeenkomen met die van een ISAE 3402-verklaring, met als uitzondering dat een managementbewering niet verplicht is voor ISAE 3000 en daarom soms wordt weggelaten. Een ander, inhoudelijk verschil is zichtbaar in het control framework, waarin de beheersmaatregelen zijn opgenomen. Een ISAE 3402 framework is grotendeels ingericht met IT General Controls en Application Controls. Daarentegen is een ISAE 3000 framework inhoudelijk vormvrij. Voor het ISAE 3000 framework wordt vaak gebruik gemaakt van de Trust Service Principles (Security, Availability, Processing, Integrity, Confidentiality en Privacy).

Is ISAE een inhoudelijke norm?

Een ISAE-verklaring geeft geen inhoudelijke norm, het is geen certificaat en geen kwaliteitskeurmerk. ISAE 3402 beschrijft alleen de rapportagevorm en niet het te gebruiken normenkader.

Welke onderdelen staan in een ISAE 3402 rapportage?

Een ISAE rapportage wordt altijd afgegeven, ook als er afwijkingen zijn geconstateerd. Het rapport bevat minimaal:

  • Oordeel van register auditor (RE) of -accountant (RA);
  • Bevestiging van de directie;
  • Beschrijving van interne beheersing;
  • Overzicht van de controls, werkzaamheden register auditor (RE) of -accountant (RA).

Infographic

De verschillende ISAE verklaringen

Informatiebeveiliging assurance
  • ISAE 3402 / SOC 1
  • ISAE 3000 / SOC 2
  • Voordelen ISAE