ISAE 3402

De norm voor het veilig uitbesteden van processen

Zekerheid bij outsourcing
Besteedt u cruciale bedrijfsprocessen geheel of gedeeltelijk uit aan zogenoemde service-organisaties? Dan is het essentieel om zekerheid te hebben dat er geen verstoring in deze processen optreedt. Immers dat kan belangrijke invloed hebben op de continuïteit van uw organisatie. 

Om zeker te zijn dat de belangrijke aspecten zoals risico management, de interne beheersing of bijvoorbeeld data integriteit goed zijn geregeld, biedt een ISAE 3402 verklaring uitkomst. Het is de internationale assurance standaard voor zekerheid bij outsourcing. 

Aantoonbaar in control
Met een ISAE 3402 verklaring ben je als organisatie:
  • aantoonbaar "in-control" 
  • weerbaar tegen de toenemende risico’s 
  • concurrentievoordeel bij aanbestedingen  

Wilt u weten in welke mate u voldoet aan de voorwaarden van ISAE 3402?

Vraag onze checklist aan

In control 
Binnen ISAE 3402 maken we onderscheid tussen gebruikersorganisaties (klanten) en serviceorganisaties (leveranciers). Met een ISAE 3402 verklaring geeft de serviceorganisatie aan de gebruikersorganisatie inzicht in de getroffen maatregelen van interne beheersing. Zeg maar de kwaliteit van de interne organisatie. 

Dit geeft zekerheid en rust aan het management van de gebruikersorganisatie. Maar vooral ook aan de accountant van de gebruikersorganisatie, die hiermee inzicht krijgt in de kwaliteit van dienstverlening van de serviceorganisatie. Een ISAE 3402 bestaat uit een systeembeschrijving en een verklaring van de auditor. De systeembeschrijving is een document dat onder verantwoordelijkheid van de leiding van de serviceorganisatie volgens een voorgeschreven indeling wordt opgesteld. Zowel de dienstverlening en interne organisatie, als de beheers-doelstellingen en -maatregelen legt u als serviceorganisatie vast in zo’n beschrijving.   De verklaring is het resultaat van het onderzoek door de auditor.       


Risicoanalyse
 
Belangrijk is dat de serviceorganisatie alleen die interne beheersmaatregelen documenteert welke van invloed zijn op de dienstverlening aan de gebruikersorganisatie. Om dit vast te stellen voert de serviceorganisatie een risicoanalyse op de dienstverlening uit. Dit proces en het resultaat van het proces worden voorgelegd aan de auditor. De risicoanalyse is een essentieel en daarom verplicht onderdeel in een ISAE 3402 traject, dat de serviceorganisatie uitvoert vanuit de optiek van de gebruikersorganisatie. 

  • Welke risico’s loopt de gebruikersorganisatie door afname van de dienst waardoor de gebruikersorganisatie directe of indirecte financiële schade zou kunnen leiden? 
  • Wat kan er bij de serviceorganisatie misgaan of gebeuren waardoor de kwaliteit van de dienstverlening wordt verstoord? 

De resultaten van de risicoanalyse bepalen welke beheersdoelstellingen en beheersmaatregelen opgenomen moeten worden in de systeembeschrijving. 


Type 1 en Type 2 verklaring 

ISAE 3402 kent twee typen verklaringen, te weten een “type I” en een “type II”. Het type houdt verband met de reikwijdte van de werkzaamheden van de auditor.  

  • Bij een type I beoordeelt de auditor de opzet en het bestaan van de beheersmaatregelen (‘design effectiveness’).  
  • Bij een type II beoordeelt de auditor de werking van de beheersmaatregelen over een periode van minimaal 6 maanden (‘operational effectiveness’).  

Een type I en type II verhouden zich als de foto (momentopname) en de film (waarnemingen over een langere periode). Indien de rapportage ten behoeve van de jaarrekeningcontroles van gebruikersorganisaties wordt opgesteld, wordt er jaarlijks een nieuw type II-rapport opgesteld.  Het onderzoek van de auditor stelt eisen aan de manier waarop de serviceorganisatie:  

  • de opzet van de maatregelen documenteert,  
  • de maatregelen aantoonbaar uitvoert en  
  • toezicht houdt op de naleving van de uitvoering. 


ISO 27001 of toch ISAE 3402?
 
Regelmatig vragen klanten ons welke norm voor hen het meest geschikt is om aantoonbaar te voldoen aan informatiebeveiliging. Via een ISO 27001-certificering of door het behalen van een ISAE 3000- of ISAE 3402-verklaring. Immers beide normen vereisen een Informatie Security Management Systeem (ISMS). Er zijn een aantal overeenkomsten maar vooral ook verschillen: 

Overeenkomst:
  • Je dient voor beiden een ISMS in te richten en te onderhouden.
Verschillen:
  • Om gecertificeerd te worden voor ISO 27001 moet het ISMS minimaal drie maanden in de praktijk werken. Voor een ISAE verklaring is dat zes maanden. Een ISAE 3402 controle is intensiever dan een ISO 27001 audit en kost in de praktijk tot drie keer zo veel tijd als een ISO 27001 audit. Dat komt omdat een EDP-auditor uitvoerige controles uitvoert in de systemen en applicaties. 
  • Bij een ISAE 3402 controle wordt vastgesteld of je in het verleden aan de eisen hebt voldaan. Terwijl bij een ISO 27001 audit meer aandacht uitgaat naar continue verbetering. 
  • Een ISO 27001 certificaat dien je te behalen voor de gehele organisatie (en dus alle klanten die je bedient) terwijl je een ISAE 3402 verklaring kan halen voor 1 klant. 


Klantcase: Amsterdam Software

image description

Meer weten over ISAE 3402 en wat wij voor u kunnen betekenen? Wij helpen u graag.