Organisaties maken steeds vaker gebruik van uitbestede diensten, waaronder kritische IT-processen of security services. Hoewel organisaties graag grip houden op deze diensten en de processen die eraan ten grondslag liggen, zijn ze lang niet altijd direct te controleren. De ISAE 3402 verklaring ondersteunt hierbij. Met de ISAE 3402 verklaring op uitbestede processen en diensten krijgt een organisatie meer inzicht in de kwaliteit, continuïteit, veiligheid en integriteit van de organisatie die de dienst uitvoert. Zo heeft de organisatie die de dienst afneemt meer zekerheid.
Behoefte aan inzicht bij uitbestede diensten
Organisaties die diensten uitbesteden zijn verantwoordelijk voor de beheersing daarvan. Daarom stellen zij vaak een Service Level Agreement (SLA) of andere contractuele afspraak op. Hierin leggen zij gedetailleerd vast waar de dienst en organisatie die de dienst uitvoert aan moeten voldoen. Echter blijft het vaak onduidelijk of er daadwerkelijk aan deze eisen wordt voldaan.
Met een ISAE 3402 Type I verklaring beoordeelt een onafhankelijke RE accountant de opzet en het bestaan van beheersmaatregelen. Deze beheersmaatregelen zijn activiteiten die erop gericht zijn risico’s ten aanzien van de kritische processen te beheersen. Met deze beoordeling moet duidelijk worden of er een redelijke mate van zekerheid is dat het proces of de dienst volgens de afgesproken eisen geleverd of volbracht kan worden. Zodoende geeft de organisatie die de dienst uitvoert inzicht in het beleid, de processen en beheersmaatregelen aan de afnemer.
Tijdens de ISAE 3402 Type II audit wordt gedurende een minimale periode van zes maanden ook de daadwerkelijke functie van beheersmaatregelen getoetst. Dit houdt in dat de RE accountant de implementatie van de beheersmaatregel beoordeelt. Zo houden afnemers van de uitbestede diensten zekerheid dat er aan de overeengekomen eisen is voldaan of niet.
ISAE 3402 rapportage
Een ISAE 3402 rapportage wordt opgesteld om de organisatie die de dienst afneemt meer inzicht te geven in de organisatie die de dienst uitvoert. Een rapportage bevat onder andere de volgende punten:
Een beschrijving van de organisatie en haar context;
Het raamwerk voor risicomanagement van de organisatie. De centrale vraag hierbij is op welke wijze de organisatie in staat is om risico’s van de dienstverlening te identificeren, analyseren en te beheersen;
Op welke wijze bedrijfscontinuïteit, informatiebeveiliging en integriteit zijn geborgd in de organisatie en hoe dit wordt beheerst;
Het formuleren van beheersdoelstellingen voor kritische processen ten aanzien van de diensten en het opzetten van ‘beheersmaatregelen’;
De auditresultaten van de beheersmaatregelen. Op basis hiervan kan gesteld worden of beheersdoelstellingen zijn behaald.
De beheersmaatregelen worden toegepast op processen die van invloed zijn op de kwaliteit, continuïteit, veiligheid en integriteit van de dienst. Er bestaat hierbij een zekere vrijheid in de formulering van de beheersmaatregelen. Het rapport dat hiervoor gebruikt wordt, het Service Organization Control (SOC) rapport, is in tegenstelling tot internationale standaarden niet gebonden aan een vast certificatieschema.
Zoals gesteld is er een zekere vrijheid in de opbouw van de beheersmaatregelen die gebruikt worden om te toetsen. Het ene bedrijf legt hierbij bijvoorbeeld de focus op beheersmaatregelen met betrekking tot veiligheid, terwijl een ander bedrijf de prioriteit geeft aan bedrijfscontinuïteit en informatiebeveiliging. Door middel van de beheersmaatregelen wordt de beheersing van de (uitbestede) processen toetsbaar. Alle maatregelen samen vormen een ‘controlmatrix’ waarmee de kwaliteit van de uitbestede dienst gecontroleerd wordt.
Met een ISAE 3402 rapport ontstaat er dus meer inzicht in de organisatie die de dienst uitvoert. Dat betekent ook dat er meer zekerheid is voor de organisatie is die de dienst uitbesteed.
Audit en verklaring
Een audit zorgt er vervolgens voor dat er getoetst wordt of beheersmaatregelen functioneren, zoals gesteld in het ISAE 3402 rapport, en of deze op de juiste manier worden toegepast. De audit bestaat uit een controle op het beleid en de implementatie van het beleid die als beheersmaatregelen zijn omgeschreven. Aan de hand van vastgestelde steekproeven worden bewijsstukken verzameld.
Een RE accountant beoordeelt of de dienstverlening wordt beheerst, deze toetsing heeft betrekking tot de opzet en het bestaan van beheersmaatregelen (Type I) en de daadwerkelijke implementatie over een minimale periode van zes maanden (Type II). Op basis van de auditresultaten stelt de accountant een verklaring op, die een oordeel velt over de mate waarin de kwaliteit, continuïteit, veiligheid en integriteit van de dienstverlening beheerst wordt. Een organisatie die een dienst voor een ander bedrijf uitvoert kan met een verklaring dus aantonen dat de uitbestede dienst onder controle is.
Een voorbeeld uit de praktijk: Trigion AlarmServiceCentrale (ASC)
Als consultants komen we vaak in aanraking met complexe processen en uitbestede diensten bij onze klanten. Recent heeft een klant van ons, Trigion ASC, ervoor gekozen om een ISAE 3402 verklaring op te laten stellen. Als alarm- en videotoezichtcentrale krijgt Trigion regelmatig vragen over de beheersmaatregelen die zij treffen om bedrijfscontinuïteit te waarborgen.
Trigion ASC voldoet al aan de Europese standaarden op het gebied van videotoezicht- en alarmcentrales, informatiebeveiliging en bedrijfscontinuïteit. Daarmee laten zij onder andere zien dat de diensten van de ASC voldoen aan hoge kwaliteitsvereisten. Met de ISAE 3402 type II verklaring geeft Trigion ASC meer inzicht aan klanten op welke wijze zij beheersmaatregelen doorvoeren. Deze maatregelen gaan verder dan de Europese normen voorschrijven en zijn daardoor van grote waarde voor de dienstverlening van Trigion ASC.
In 2019 heeft Protify de alarm- en videotoezichtcentrale ondersteund bij het opzetten van het risicobeheersysteem. Aan de hand van procesanalyses en risicobeoordelingen zijn de risico’s van de dienstverlening van Trigion ASC geïdentificeerd en geëvalueerd. Met de resultaten van de risico-evaluatie zijn vervolgens beheersdoelstellingen opgesteld ter bescherming van de dienstverlening, waaruit specifieke beheersmaatregelen zijn opgezet en geïmplementeerd.
Op 10 juli 2019 ontving Trigion ASC al de ISAE 3402 Type I verklaring waarin de externe accountant van Conclude de opzet van de beheersmaatregelen als toereikend heeft beoordeeld. Na een periode van audits heeft Trigion op 21 januari 2020 de ISAE 3402 Type II verklaring ontvangen van Conclude. Tijdens deze audit is de implementatie van de beheersmaatregelen over een periode van zes maanden als positief beoordeeld.
Heeft jouw organisatie belangrijke diensten uitbesteed en is het onduidelijk of de overeengekomen eisen daadwerkelijk nageleefd worden? Of wil je als organisatie aantonen dat je kunt voldoen aan de eisen van de organisatie die de dienst afneemt? Neem gerust eens contact met ons op voor een vrijblijvend gesprek.
コメント