Contact

Vrijblijvend
contact opnemen?

Home | Certificeringen | ISAE 3402 – Assurance

ISAE 3402 - Assurance

Organisaties zijn steeds afhankelijker van de diensten van externe partijen voor salarisverwerking, IT-diensten en financiële processen. Dit brengt risico’s met zich mee, waardoor klanten zekerheid willen over de beheersing van uitbestede activiteiten. Een ISAE 3402-verklaring toont aan dat je interne controles die invloed hebben op financiële verslaglegging in orde zijn.
Vertrouwd door 1.500+ klanten in zorg en informatietechnologie

ISAE 3402

Een ISAE 3402 verklaring kan jullie klanten overtuigen dat je organisatie in control is op het gebied van informatiebeveiliging, cybersecurity en privacy. BMGRIP begeleid je organisatie naar de meest geschikte optie en werkt met je samen om de risico’s in de bestaande IT-diensten te beheersen en te controleren. Een ISAE-rapportage kan meer zekerheid en inzicht verschaffen aan jullie klanten of het uitbestedingsrisico voldoende is afgedekt en dat de maatregelen die jullie organisatie heeft getroffen toereikend zijn.

Het is een standaard die wordt uitgegeven door de International Auditing and Assurance Standards Board (IAASB) en biedt richtlijnen voor het uitvoeren van assurance-opdrachten. Deze standaard wordt gebruikt door accountants en andere professionals om assurance te bieden over niet-financiële informatie, zoals de effectiviteit van interne controles binnen je organisatie.

  • ISAE 3402: Dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die van invloed zijn op de financiële verslaglegging van serviceorganisaties.
  • ISAE 3000A: Dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die geen betrekking hebben op historische financiële informatie. Het is dus breder toepasbaar en kan worden gebruikt voor een breed scala aan onderwerpen, zoals risicomanagement, compliance, IT-controles, en meer. De A staat voor ‘’attest opdrachten’’ waarbij een andere partij dan de IT-auditor het onderzoeksobject meet of evalueert ten opzichte van de criteria.
  • ISAE 3000D: Evenals de ISAE 3000A is dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die geen betrekking hebben op historische financiële informatie. Het is dus breder toepasbaar en kan worden gebruikt voor een breed scala aan onderwerpen, zoals risicomanagement, compliance, IT-controles, en meer. De D staat voor ‘’directe opdrachten’’ waarbij de IT-auditor het onderzoeksobject meet of evalueert ten opzichte van de criteria.

Assurance Factsheet

  • Ontdek de meerwaarde van de assurance verklaring
  • Concurrentievoordeel bij aanbestedingen
  • De eerste stap naar een ISAE-verklaring
Download het factsheet

Voor wie?

Met een ISAE-verklaring toon je aan ‘’in control’’ te zijn. Voor welke organisaties is een dergelijke verklaring interessant:

ISAE 3402

  • Salarisverwerkers
  • Financiële diensten
  • Betalingsverwerkers
  • Pensioenbeheerders
  • Levensverzekeraars
  • Zorgverzekeraars
  • Zorgadministraties

ISAE 3000

  • Managed servicediensten
  • Software as a servicediensten
  • Cloud hosting diensten
  • Backup as a servicediensten

ISO 27001 en ISAE 3402

ISAE 3402 biedt inzicht in de interne controles van serviceorganisaties, specifiek gericht op financiële processen. ISO 27001 daarentegen richt zich breder op het opzetten van een informatiebeveiligingsmanagementsysteem (ISMS). Waar ISO 27001 preventieve maatregelen centraal stelt, draait ISAE 3402 om de controle op reeds bestaande financiële processen.

Doelstellingen en beheersmaatregelen

Bij een ISAE-verklaring komt de onafhankelijke Register Auditor (RE) of Register Accountant (RA) onderzoeken of de door jou opgestelde beheersdoelstellingen behaalt zijn doormiddel van de door jou opgestelde en geïmplanteerde beheersdoelstellingen. De beheersdoelstellingen die interessant zijn te beschrijven en onderzoeken zijn dus afhankelijk van de beheersdoelstellingen waar de klant van wilt zien dat je in control bent.

Systeembeschrijving

Een ISAE-rapportage bevat een systeembeschrijving waarin jij beschrijft wat het object van onderzoek is. Hierin kan je jullie dienst beschrijven, welke processen en procedures er zijn ten behoeve van informatiebeveiliging, cybersecurity en privacy en hoe je organisatie is opgebouwd in termen van infrastructuur, software, procedures, mensen en data.

Onze aanpak

Nulmeting

Samen analyseren we welke assurance-verklaring (ISAE of SOC 2) het beste aansluit bij jouw specifieke situatie. Voor een ISAE-verklaring begint onze aanpak met een nulmeting waarin we analyseren welke interne controles en beheersmaatregelen al zijn geïmplementeerd met betrekking tot de beheersdoelstellingen die interessant kunnen zijn voor jouw opdrachtgever. We brengen in kaart welke risico’s er nog bestaan en welke maatregelen nodig zijn om aan de ISAE 3402-vereisten te voldoen. Vervolgens stellen we een concreet projectplan op, inclusief beheersdoelstellingen en een stappenplan voor eventuele aanvullende maatregelen.

Implementatie

Tijdens de implementatie helpen wij jou met het beschrijven van de systeembeschrijving, beheersdoelstellingen en beheersmaatregelen. Tevens helpen wij met het opvullen van de bestaande gaps.Type 1

We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de beheersmaatregelen. De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.

Bewijslast

Bij een ISAE Type 2 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.

Type 2

We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de beheersmaatregelen. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.

Direct hulp

Schakel binnen 24 uur met onze consultants.

    Veelgestelde vragen over ISAE 3402 verklaring

    Een ISAE 3402-verklaring is een onafhankelijk auditrapport dat de effectiviteit van de interne controles van een serviceorganisatie beoordeelt. Deze verklaring wordt opgesteld door een externe auditor en is bedoeld om klanten en andere belanghebbenden te informeren over de controles die zijn geïmplementeerd door de serviceorganisatie en hoe goed deze controles functioneren.

    Een ISAE 3402 verklaring is vooral relevant voor serviceorganisaties die hun interne controles willen laten beoordelen door een externe auditor, zodat klanten vertrouwen kunnen hebben in de betrouwbaarheid van de diensten die zij ontvangen. Denk bijvoorbeeld aan: IT-dienstverleners, BPO’ers, logistiek dienstverleners en financiele instellingen.

    Heb je een vraag over onze diensten?

    Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!