Uitbesteding ISAE 3402
Basis-strip-blok.png

Uitbesteding

ISAE 3402

Besteedt jouw organisatie diensten uit of wordt jouw organisatie juist ingehuurd door derden om diensten voor hen uit te voeren? Dan weet je hoe moeilijk het is om grip te houden op uitbestede diensten,Het is immers niet altijd mogelijk om dat te controleren. En daarbij komt ook nog eens dat de wettelijke verantwoordelijkheid meestal bij de organisatie ligt die de dienst uitbesteed. Dus de behoefte aan inzicht en zekerheid is aanwezig!

 

Vaak stellen organisaties een Service Level Agreement (SLA) of andere contractuele afspraak op. Hierin leggen zij gedetailleerd vast waar de dienst en de organisatie die de dienst uitvoert aan moeten voldoen. Echter blijft het meestal onduidelijk of er daadwerkelijk aan deze eisen wordt voldaan en of de interne processen in orde zijn en worden beheerst.

 

De ISAE 3402 verklaring biedt hier uitkomst. Deze verklaring, ook wel assurance-rapport genoemd, kan aangevraagd worden door een organisatie die bedrijfsprocessen(diensten) uitbesteed aan een organisatie, wanneer deze diensten invloed hebben op de financiële jaarrekening van de opdrachtgever. Met een ISAE 3402 verklaring op uitbestede bedrijfsprocessen geeft een organisatie aan dat de interne processen worden beheerd en daardoor dus een kwalitatieve dienst afgeleverd wordt.

 

ISAE staat voor International Standard for Assurance Engagements. Het is belangrijk om te realiseren dat ISAE 3402 geen norm is, je kunt er niet op gecertificeerd worden. Het is daarentegen wél een onafhankelijke verklaring die afgegeven wordt door een gespecialiseerde EDP/RE auditor. Hiermee wordt gesteld dat de service-organisatie die de uitbestede de bedrijfsprocessen verleend daadwerkelijk ook beheerst.
De ISAE 3402 rapportage, wordt ook wel een SOC 1 rapportage genoemd. Dit staat voor Service Organization Control Report. SOC 1 betreft de Amerikaanse variant en gaat ook over de interne beheersing bij service-organisaties in relatie tot de financiële verslaggeving. Anders gezegd is SOC 1 een andere benaming voor een ISAE 3402 assurance rapport.

Wil je meer informatie?

Onze ervaren consultants helpen je graag. 

ISAE 3402 verklaring

Voor een ISAE 3402 verklaring (assurance rapport) is geen scope of toepassingsgebied voorgeschreven. Dit in tegenstelling tot SOC 1 waar de toe te passen beheersdoelstellingen vastliggen in een raamewerk.
In de praktijk wordt bij ISAE3402 vaak gekeken naar maatregelen die voor veiligheid, betrouwbaarheid, integriteit en vertrouwelijkheid zorgen en dan met name voor de IT-infrastructuur van de organisatie.  Er ligt nadruk up de financiële rapportage processen, primaire processen, informatiebeveiliging, risicomanagement en continuïteit. Hiervoor komen IT general Controls terug, omdat de betrouwbaarheid en integriteit van IT-systemen invloed hebben op de jaarrekening van de uitbestedende organisatie.

 

Er zijn twee soorten verklaringen die worden afgegeven, een type I en een type II verklaring. Met een ISAE 3402 type I verklaring beoordeelt de auditor de opzet en het bestaan van de beheersmaatregelen. Dit is een momentopname. Bij een type II audit wordt er naast de opzet en het bestaan ook gekeken naar de werking van de beheersmaatregelen, waardoor vaar naar vaak naar de werking van de beheersmaatregelen gekeken wordt over een periode van minimaal 6 maande. Over deze periode wordt ook de daadwerkelijke functie en werking van beheersmaatregelen getoetst. Hierdoor kan de afnemer van uitbestede diensten zien dat de organisatie daadwerkelijk in control is over zijn dienstverlening. Het verschil tussen ISAE 3402 en SOC 1 is dat voor een type II-rapport geen minimumperiode is voorgeschreven, dit wordt door de auditor vastgesteld. 

Kort gezegd beoordeelt de auditor dus of de dienstverlening wordt beheerst. Deze toetsing heeft betrekking op de opzet en het bestaan van beheersmaatregelen (type I) en de daadwerkelijke implementatie over een minimale periode van zes maanden (type II). Op basis van de auditresultaten stelt de auditor de verklaring op in een assurance rapport

Voordelen ISAE 3402

Als er sprake is van een uitbestede dienst biedt ISAE 3402 een aantal unieke voordelen:

  • Meer inzicht en zekerheid voor de organisatie die de dienst uitbesteedt, die wettelijk gezien meestal ook verantwoordelijk is voor de dienst

  • Organisaties die de dienst uitvoeren laten zien dat zij verwachtingen waarmaken en risico's ten aanzien van IT security en privacy goed beheersen

  • Proactief risicomanagement door het implementeren van beheersmaatregelen

  • Het borgen van bedrijfscontinuïteit en informatiebeveiliging in de bedrijfsvoering

  • aantoonbaar voldoen aan diverse wettelijke verplichtingen

 
Een ISAE 3402 verklaring via Protify

Als consultants komen we vaak in aanraking met complexe processen en uitbestede diensten bij onze klanten. Daarom werken wij samen met onafhankelijke accountants die ISAE 3402 verklaringen afgeven. Na de kick-off om elkaar te leren kennen stellen we samen een plan van aanpak op. Dit doen we op basis van het vastgestelde normen-/toetsingskader vast te stellen. Uiteraard helpen wij ook met het opzetten van het ISAE 3402 raamwerk. Daarna voeren we een risicoanalyse uit, passen de documentatie aan en stellen de benodigde beheersdoelstellingen en -maatregelen op. Jouw organisatie moet deze vervolgens implementeren en naleven. Na implementatie verzamelen we de bewijsstukken om deze te analyseren en waar nodig te verduidelijken en/of verbeteringen. Voor dossiervormingen wordt de bewijslast opgeslagen. Hierna wordt de rapportage opgesteld en besproken, waarna de acties en taken ten aanzien van kwaliteitsbewaking door jullie worden ingericht.

Vervolgens komt bij een type I verklaring de auditor langs om de opzet en het bestaan te controleren. Met een type II audit moet er gedurende minimaal zes maanden bewijslast verzameld worden om aan te tonen dat de implementatie en werking van beheersmaatregelen goed wordt beheerst. Welke verklaring passend is bepalen we samen voor de start van het project. Dat hangt meestal af van wat de klant die de ISAE 3402 verklaring vraagt wil

Ben je benieuwd naar wat we voor je kunnen betekenen? Neem vooral eens contact op. Dan kijken we samen naar de mogelijkheden.