Uitbesteding

ISAE 3402

Besteedt jouw organisatie diensten uit of wordt jouw organisatie juist ingehuurd door derden om diensten voor hen uit te voeren? Dan weet je hoe moeilijk het is om grip te houden op uitbestede diensten, of om aan te tonen dat alles in control is. Het is immers niet altijd mogelijk om dat te controleren of te laten zien. En daar komt ook nog eens bij dat organisaties die diensten uitbesteden wettelijk gezien daar meestal zelf verantwoordelijk voor zijn. Dus natuurlijk hebben zij wel behoefte aan inzicht en zekerheid.

 

Vaak stellen organisaties een Service Level Agreement (SLA) of andere contractuele afspraak op. Hierin leggen zij gedetailleerd vast waar de dienst en de organisatie die de dienst uitvoert aan moeten voldoen. Echter blijft het meestal onduidelijk of er daadwerkelijk aan deze eisen wordt voldaan.

 

De ISAE 3402 verklaring biedt hier uitkomst. Met een ISAE 3402 verklaring op uitbestede processen en diensten onstaat er inzicht in de kwaliteit, continuïteit, veiligheid en integriteit van de organisatie die de dienst uitvoert. Zo heeft de organisatie die de dienst afneemt meer zekerheid.

 

ISAE staat voor International Standard for Assurance Engagements. Het is geen norm en je kunt er niet op gecertificeerd worden. Maar het is daarentegen wél een onafhankelijke verklaring die afgegeven wordt door een gespecialiseerde accountant. Als de accountant de verklaring afgeeft is de organisatie die de dienst uitvoert in control en voldoet deze aan de gestelde kwaliteitseisen.

ISAE 3402 verklaring

Er zijn twee soorten verklaringen die de accountant afgeeft, een type I en een type II verklaring. Met een ISAE 3402 type I verklaring beoordeelt de accountant de opzet en het bestaan van beheersmaatregelen. Deze beheersmaatregelen zijn activiteiten die erop gericht zijn risico’s ten aanzien van de kritische processen te beheersen. Met deze beoordeling moet duidelijk worden of er een redelijke mate van zekerheid is dat het proces of de dienst volgens de afgesproken eisen geleverd of volbracht wordt. Zodoende geeft de organisatie die de dienst uitvoert inzicht in het beleid, de processen en beheersmaatregelen aan de afnemer.

 

Tijdens de ISAE 3402 type II audit wordt gedurende een minimale periode van zes maanden ook de daadwerkelijke functie van beheersmaatregelen getoetst. Dit houdt in dat de accountant de implementatie van de beheersmaatregelen beoordeelt. Zo houden afnemers van de uitbestede diensten zekerheid dat er aan de overeengekomen eisen is voldaan, of niet.

 

Kort gezegd beoordeelt de accountant dus of de dienstverlening wordt beheerst. Deze toetsing heeft betrekking tot de opzet en het bestaan van beheersmaatregelen (type I) en de daadwerkelijke implementatie over een minimale periode van zes maanden (type II). Op basis van de auditresultaten stelt de accountant de verklaring op, die een oordeel velt over de mate waarin de kwaliteit, continuïteit, veiligheid en integriteit van de dienstverlening beheerst wordt.

Voordelen ISAE 3402

Als er sprake is van een uitbestede dienst biedt ISAE 3402 een aantal unieke voordelen:

  • Meer inzicht en zekerheid voor de organisatie die de dienst uitbesteedt, die wettelijk gezien meestal ook verantwoordelijk is voor de dienst

  • Organisaties die de dienst uitvoeren laten zien dat zij verwachtingen waarmaken en risico’s goed beheersen

  • Proactief risicomanagement door het implementeren van beheersmaatregelen

  • Het borgen van bedrijfscontinuïteit en informatiebeveiliging in de bedrijfsvoering

  • Aantoonbaar voldoen aan diverse wettelijke verplichtingen, zoals de Wet Financieel Toezicht en de PensioenWet

Een ISAE 3402 verklaring via Protify

Als consultants komen we vaak in aanraking met complexe processen en uitbestede diensten bij onze klanten. Daarom werken wij samen met onafhankelijke accountants die ISAE 3402 verklaringen afgeven. Wij zorgen ervoor dat jij er klaar voor bent om een ISAE 3402 verklaring te krijgen. We stellen samen een plan van aanpak op of controleren alles voor je. Maar uiteraard helpen wij ook met het opzetten van het ISAE 3402 raamwerk. Dan voeren we een risicoanalyse uit, passen de documentatie aan en stellen de benodigde beheersmaatregelen op. Jouw organisatie moet deze vervolgens implementeren en naleven.

 

Bij een type I verklaring komt de accountant langs om de beheersmaatregelen te controleren. Met een type II audit moet er gedurende minimaal zes maanden bewijslast verzameld worden om aan te tonen dat de beheersmaatregelen goed worden nageleefd. Welke verklaring passend is bepalen we samen voor de start van het project. Dat hangt meestal af van wat de klant die de ISAE 3402 verklaring vraagt wil.

 

Ben je benieuwd naar wat we voor je kunnen betekenen? Neem vooral eens contact op via het contactformulier voor een vrijblijvend gesprek. Dan kijken we samen naar de mogelijkheden. 

Waarom kiezen voor Protify?

  • Jarenlange ervaring met certificeringen

  • Implementatie van ISAE 3402 binnen de bestaande bedrijfsvoering

  • Geen dikke boekwerken, maar overzichtelijke beleidsdocumentatie

  • Persoonlijke betrokkenheid van onze consultants

  • Goede samenwerking met betrouwbare accountants

Follow us:

  • White LinkedIn Icon
  • White Facebook Icon