ISAE 3402

De waarborg dat processen die uitbesteed zijn, aantoonbaar ‘in control’ zijn!

Waarom ISAE 3402?

Besteden jouw klanten een deel van hun processen of dienstverlening uit aan jouw organisatie? Dan krijg je vast wel eens de vraag of je een ISAE 3000 of ISAE 3402 verklaring hebt. Als (service)organisatie wil je aan jouw klanten kunnen tonen dat hun uitbestede processen in goede handen zijn. Je legt afspraken vast, bijvoorbeeld in een Service Level Agreement (SLA) en rapporteert over de prestaties. Deze SLA en rapportages geven alleen niet altijd voldoende zekerheid over de kwaliteit en informatieveiligheid van de dienstverlening. Een ISAE-verklaring kan dan uitkomsten bieden. Met een ISAE-verklaring, ook wel assurance- of derdenverklaring genoemd, bewijs je aan klanten dat (uitbestede) processen aantoonbaar ‘in control’ zijn.

Wat is ISAE?

ISAE staat voor International Standard for Assurance Engagements. Een ISAE-verklaring geeft geen inhoudelijke norm, het is geen certificaat en geen kwaliteitskeurmerk. Het is een onafhankelijke assurance-verklaring, afgegeven door een register auditor (RE) of -accountant (RA).

Er zijn in Nederland twee veelgevraagde ISAE-verklaringen:

  • ISAE 3402: Assurance over bedrijfsprocessen die met de verwerking van financiële transacties te maken hebben.
  • ISAE 3000: Assurance over bedrijfsprocessen die met de opslag en verwerking van data te maken hebben.

Zowel de ISAE 3402 als ISAE 3000 zijn onder te verdelen in twee typen:

  • Type 1: Deze verklaring betreft een snapshot op een specifiek moment, waarbij assurance over de opzet en het bestaan wordt gegeven.
  • Type 2: Deze verklaring bestrijkt een voorafgaande periode, bijvoorbeeld 6 of 12 maanden, waarbij assurance over de opzet, het bestaan en de werking wordt gegeven.

Om het geheel wat ingewikkelder te maken, zijn er nog twee belangrijke termen. SOC 1 en SOC 2. Misschien heb je deze termen wel eens horen vallen als het om ISAE ging. Dat komt omdat het (op hoofdlijnen) synoniemen zijn van elkaar. We zullen je niet vervelen met de details, maar onthoudt: ISAE 3402 is SOC 1 en ISAE 3000 is SOC 2.

Meer weten over de verschillen tussen ISAE 3402 en ISAE 3000? Bekijk onze infographic!

Meerwaarde van ISAE 3402?

Een ISAE-verklaring heeft een aantal sterke voordelen:

  • Sterk signaal naar klanten: je maakt verwachtingen waar en gaat proactief om met risicobeheersing;
  • Professionalisering van de administratieve organisatie;
  • De organisatie voldoet aan Wettelijke verplichtingen ten aanzien van outsourcing die o.a. zijn vastgelegd in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD);
  • Lagere accountantskosten, omdat geautomatiseerde/gestandaardiseerde controles veel handmatig, duur controlewerk overnemen;
  • Continu grip op risico’s: risico’s snel signaleren en verlagen, geen ‘blinde vlekken’ meer. Kortom: in control.

ISAE interessant voor jouw organisatie?

Naast het type bedrijf en het type klanten, is het belangrijk om te bepalen of jullie als organisatie klaar zijn voor een ISAE-verklaring. Als jouw organisatie nog in een startup-fase zit, en/of primaire bedrijfsprocessen nog volop in ontwikkeling zijn, is het raadzaam nog even te wachten met ISAE. Geef jouw organisatie de kans om goed te aarden en processen te laten stabiliseren, voordat je start met een ISAE-traject. Wil je een helder antwoord op de vraag of ISAE voor jouw organisatie geschikt is? Maak een afspraak voor een vrijblijvend adviesgesprek.

Plan adviesgesprek

Een ISAE 3402 of ISAE 3000 is interessant voor diverse typen bedrijven, bijvoorbeeld:

ISAE 3000

  • Management BI leveranciers;
  • Applicatieontwikkelaars;
  • Callcenters;
  • Vastgoedbeheerders;
  • Leveranciers van hosting- en clouddiensten (tevens ISAE 3402);
  • SaaS leveranciers;
  • Datacenters (tevens ISAE 3402);
  • Managed service leveranciers;
  • Internet providers.

ISAE 3402

  • Payroll organisaties;
  • Uitvoeringsinstanties voor hypotheken en pensioenen;
  • Uitvoeringsinstanties voor medische claims.

De lijst met voorbeelden is niet limitatief, omdat het niet altijd zwart-wit is als het gaat om welke verklaring het meest geschikt is. Soms passen zowel ISAE 3402 als ISAE 3000. Een belangrijk vertrekpunt om te bepalen welke assurance-verklaring het best bij jouw organisatie past, is de vraag die je krijgt vanuit je klant. Waarover wil jouw klant precies assurance?

Hoe verloopt een ISAE traject?

Onze consultants starten normaliter met een nulmeting en geven daarbij advies of jouw organisatie klaar is voor ISAE. Indien dit het geval is, gaan zij aan de slag met een risicoanalyse en het vaststellen van het normenkader. Vervolgens passen zij de processen en werkinstructies hierop aan, waarna de implementatie van het normenkader en de beheersmaatregelen kan worden gestart. Vervolgens kunnen onze consultants een pre-audit verzorgen. Hierdoor wordt inzichtelijk in hoeverre jouw organisatie al voldoet. De uitkomsten van de pre-audit geven inzicht welke acties nog moeten worden ondernomen om aan de ISEA eisen te voldoen. Daar kunnen we uiteraard ook mee helpen. Vervolgens kan voor ISAE type 1 (snapshot specifiek moment) een onafhankelijke register auditor (RE) of -accountant (RA) een ISAE verklaring afgeven. Gaat jouw organisatie voor ISAE type 2, dan is het van belang dat de verzameling van bewijslast conform de regels wordt opgestart. Waarna de onafhankelijke register auditor (RE) of – accountant (RA) de ISAE type 2 verklaring kan afgeven.

Een assurance-verklaring bestaat uit meerdere onderdelen:

  • Auditorsrapport;
  • Managementbewering;
  • Systeembeschrijving;
  • Beheersingsdoelstellingen en -maatregelen, aangevuld met de informatie verstrekt door de auditor of accountant;
  • Overige informatie.

In de praktijk zien we dat de elementen in een ISAE 3000-verklaring vaak overeenkomen met die van een ISAE 3402-verklaring, met als uitzondering dat een managementbewering niet verplicht is voor ISAE 3000 en daarom soms wordt weggelaten. Een ander, inhoudelijk verschil is zichtbaar in het control framework, waarin de beheersmaatregelen zijn opgenomen. Een ISAE 3402 framework is grotendeels ingericht met IT General Controls en Application Controls. Daarentegen is een ISAE 3000 framework inhoudelijk vormvrij. Voor het ISAE 3000 framework wordt vaak gebruik gemaakt van de Trust Service Principles (Security, Availability, Processing, Integrity, Confidentiality en Privacy).

We helpen graag

Gaat jouw organisatie aan de slag met ISAE? Neem contact op en we helpen jouw organisatie graag op weg. We kunnen helpen bij een passend plan van aanpak of het uitvoeren van een pre-audit. Zo weet je direct waar jouw organisatie staat en kan je zelfverzekerd aan de slag met ISAE. Heb je liever begeleiding bij het hele ISAE-traject? Dan staan we uiteraard ook voor je klaar!

Contact