Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

ISAE 3402 Audit - Duthler Associates

advertisement 
ISAE 3402 Audit
Veel organisaties hebben door de toenemende efficiency
ondersteunende activiteiten uitbesteed aan serviceorganisaties en
zijn zich meer gaan richten op de kernactiviteiten. Hierdoor is de
vraag naar de ISAE 3402 audit toegenomen. Organisaties willen
meer zekerheid over de betrouwbaarheid van de processen en
activiteiten die ze hebben uitbesteed. Met de ISAE 3402 audit en
een ISAE 3402 rapport opgesteld door een onafhankelijke auditor
kan de service-organisatie aantonen in hoeverre de uitbestede
processen voldoen aan algemeen geaccepteerde standaarden en
kwaliteitseisen.
Waarom een ISAE 3402 Audit ?
Veelal worden serviceorganisaties (serviceproviders) benaderd door de opdrachtgever met de vraag om een
ISAE 3402 verklaring of rapport. Een verklaring over de processen en gegevensverwerkingen, die de
opdrachtgever heeft uitbesteed. Hoewel deze processen niet tot de kernactiviteiten van de opdrachtgever
gerekend worden, kan een incident of een verstoring bij de serviceorganisatie grote gevolgen hebben voor
de opdrachtgever. De opdrachtgever en de accountant van de opdrachtgever willen daarom meer zekerheid,
over de betrouwbaarheid van de processen en de gegevensverwerkingen die zijn uitbesteed. Zij verlangen
een uitspraak van de serviceorganisatie, dat de processen en de gegevensverwerkingen daadwerkelijk
adequaat beheerd worden. De opdrachtgever blijft immers verantwoordelijk. Dit is de reden waarom de
opdrachtgever periodiek een rapport wil ontvangen over de kwaliteit van de uitbestede activiteiten door een
onafhankelijke auditor. De rapportage over uitbestede activiteiten wordt een ISAE 3402-rapport of verklaring
genoemd. Met dit ISAE 3402-rapport kan de serviceorganisatie aantonen, of en in hoeverre zij voldoet aan de
kwaliteitseisen van de opdrachtgever. De ISAE 3402 audit kan een Type I of een Type II rapport opleveren.
Een Type I rapport levert inzicht in de situatie op het moment van rapportage. Een Type II rapport heeft
betrekking op een rapportage periode, dit is in de meeste gevallen een tijdvak van zes tot twaalf maanden.
Het ISAE 3402 rapport kan worden geleverd als een SOC1, SOC2 of SOC3 rapport. Dit is afhankelijk van de
wens van de opdrachtgever en de reikwijdte van het onderzoek en de aard en wijze van publicatie.
Veelal wordt een Service Level Agreement (SLA) afgesproken tussen de opdrachtgever en de
serviceorganisatie, hierin kan onder meer worden vastgelegd wat de verdeling van verantwoordelijkheden
en de daaraan verbonden aansprakelijkheid is, welke services er geboden worden en aan welke
kwaliteitseisen en rapportage-eisen de serviceorganisatie moet voldoen. Indien de verwerking van
persoonsgegevens wordt uitbesteed naar een serviceorganisatie, dient er tevens een
bewerkersovereenkomst te worden overeengekomen.
De ISAE 3402 audit kent een uitgebreidere scope dan de SAS70 verklaring waardoor deze voor een bredere
soort activiteiten is toe te passen. De scope beperkt zich niet tot de beheersmaatregelen voor de financiële
processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit en
privacy kunnen worden opgenomen in een ISAE 3402-rapport. De nadruk ligt met name op de
beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen.
Toegenomen vraag ISAE 3402 audit
Doordat steeds meer applicaties aangeboden worden als Cloud Services of via SaaS providers, neemt de
vraag naar ISAE 3402 en de beheersing van processen toe. Hierbij hebben vooral aspecten zoals data
protectie, fraude preventie, bescherming van persoonsgegevens de aandacht. Organisaties hebben vaak
beperkt inzicht in de security maatregelen van een serviceorganisatie. Deze organisaties en hun accountants
willen meer zekerheid bij deze uitbesteding.
Wettelijke verplichting
Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen
aantonen dat processen beheerst worden. Dat betekent dat een financiële instelling zoals een verzekeraar of
bank altijd van haar leveranciers een Service Organisation Control (SOC) rapport zal vereisen voordat deze
leverancier diensten kan leveren aan deze instelling. Internationaal is ISAE3402 de standaard voor SOCrapporten. De financiële instelling toont door middel van het ISAE 3402 rapport aan dat alle uitbestede
processen beheerst zijn. Daarnaast worden ISAE 3402 rapporten in toenemende mate gevraagd door
accountantskantoren. Accountants zullen voor de jaarrekeningcontrole een ISAE 3402 rapportage eisen .
De status van een ISAE 3402 rapport
ISAE 3402 staat voor International Standard for Assurance Engagements. De ISAE 3402 standaard heeft de
SAS70 standaard en SAS70 verklaring vervangen. De ISAE 3402 is een internationale geaccepteerde
standaard die door nationale beroepsorganisaties, zoals de Nederlandse Beroepsorganisatie voor
Accountants (NBA) en Nederlandse Organisatie Register EDP-auditors (NOREA) is geaccepteerd.
Op basis hiervan kunnen Register accountants (RA) en Register EDP-auditors (RE) de ISEA 3402 audit
uitvoeren en een verklaring afgeven.
De voordelen van een ISAE3402 Audit
Wat levert een ISAE 3402 audit uw serviceorganisatie op?
> U krijgt een onafhankelijk oordeel over de kwaliteit van de uitbesteding (proces en verwerking);
> U kunt aantonen naar uw opdrachtgever en de accountant dat uw organisatie ‘in control’ is;
> U kunt de kwaliteit van uw serviceorganisatie aantonen en zichtbaar maken;
> U kunt uw Service Level Management en uw governance op een hoger plan brengen;
> U kunt aantonen dat uw organisatie in control is naar uw toezichthouder, en uw ketenpartners.
Meer informatie?
Duthler Associates biedt auditors en experts die op korte termijn, een professionele en betaalbare ISAE 3402
audit kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors
(NOREA). Wilt u meer informatie over onze IT Audit dienstverlening? http://www.duthler.nl/nl Aarzelt u niet
telefonisch contact op te nemen met drs. André J. Biesheuvel RE RA, of per mail via:
[email protected] .
Related documents
Waarom een ISAE 3402 Veel (gebruikers)organisaties besteden
Waarom een ISAE 3402 Veel (gebruikers)organisaties besteden
Eén managementsysteem met vier certificeringen
Eén managementsysteem met vier certificeringen
service organization control (soc)-rapportages
service organization control (soc)-rapportages
Laat kosten renderen
Laat kosten renderen
Projectmanagement en knelpunten en struikelblokken
Projectmanagement en knelpunten en struikelblokken
Zeker-OnLine is een onafhankelijk en transparant keurmerk voor
Zeker-OnLine is een onafhankelijk en transparant keurmerk voor
succes van projecten vasthouden
succes van projecten vasthouden
Algemene Voorwaarden Carnero Mediadesign.indd
Algemene Voorwaarden Carnero Mediadesign.indd
tekst kerstpakketten 2011_2
tekst kerstpakketten 2011_2
Een Glazen Pafond, Godinnen en Paarden
Een Glazen Pafond, Godinnen en Paarden
Algemene verkoopvoorwaarden
Algemene verkoopvoorwaarden
ALGEMENE VOORWAARDEN NTMEDIATION
ALGEMENE VOORWAARDEN NTMEDIATION
Template No
Template No
Risk based auditen tilt de organisatie naar een hoger
Risk based auditen tilt de organisatie naar een hoger
Richtlijn 3402: Assurance-rapporten interne beheersing
Richtlijn 3402: Assurance-rapporten interne beheersing
Download
advertisement