Home | ISAE 3402-assurance

ISAE 3402 - Assurance

Organisaties zijn steeds afhankelijker van de diensten van externe partijen voor salarisverwerking, IT-diensten en financiële processen. Dit brengt risico’s met zich mee, waardoor klanten zekerheid willen over de beheersing van uitbestede activiteiten. Een ISAE 3402-verklaring toont aan dat je interne controles die invloed hebben op financiële verslaglegging in orde zijn.

Wij begeleiden je van nulmeting, het opstellen van het control framework tot audit
Onderscheid jezelf van je concurrenten
Download de checklist

Vertrouwd door 1.500+ klanten in zorg en informatietechnologie

ISAE 3402

Een ISAE 3402 verklaring kan jullie klanten overtuigen dat je organisatie in control is op het gebied van informatiebeveiliging, cybersecurity en privacy. BMGRIP begeleid je organisatie naar de meest geschikte optie en werkt met je samen om de risico’s in de bestaande IT-diensten te beheersen en te controleren. Een ISAE-rapportage kan meer zekerheid en inzicht verschaffen aan jullie klanten of het uitbestedingsrisico voldoende is afgedekt en dat de maatregelen die jullie organisatie heeft getroffen toereikend zijn.

Het is een standaard die wordt uitgegeven door de International Auditing and Assurance Standards Board (IAASB) en biedt richtlijnen voor het uitvoeren van assurance-opdrachten. Deze standaard wordt gebruikt door accountants en andere professionals om assurance te bieden over niet-financiële informatie, zoals de effectiviteit van interne controles binnen je organisatie.

ISAE 3402: Dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die van invloed zijn op de financiële verslaglegging van serviceorganisaties.
ISAE 3000A: Dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die geen betrekking hebben op historische financiële informatie. Het is dus breder toepasbaar en kan worden gebruikt voor een breed scala aan onderwerpen, zoals risicomanagement, compliance, IT-controles, en meer. De A staat voor ‘’attest opdrachten’’ waarbij een andere partij dan de IT-auditor het onderzoeksobject meet of evalueert ten opzichte van de criteria.
ISAE 3000D: Evenals de ISAE 3000A is dit rapport is specifiek ontworpen om assurance te bieden over de interne controles die geen betrekking hebben op historische financiële informatie. Het is dus breder toepasbaar en kan worden gebruikt voor een breed scala aan onderwerpen, zoals risicomanagement, compliance, IT-controles, en meer. De D staat voor ‘’directe opdrachten’’ waarbij de IT-auditor het onderzoeksobject meet of evalueert ten opzichte van de criteria.

Assurance Factsheet

TEKST NOG AANPASSEN

Ga naar de checklist

Voor wie?

Met een ISAE-verklaring toon je aan ‘’in control’’ te zijn. Voor welke organisaties is een dergelijke verklaring interessant:

ISAE 3402

Salarisverwerkers
Financiële diensten
Betalingsverwerkers
Pensioenbeheerders
Levensverzekeraars
Zorgverzekeraars
Zorgadministraties

ISAE 3000

Managed servicediensten
Software as a servicediensten
Cloud hosting diensten
Backup as a servicediensten

ISO 27001 en ISAE 3402

Zowel een assurance verklaring als een ISO 27001 certificering tonen een onafhankelijke beoordeling van beheersmaatregelen aan. Echter is de wijze van controle, rapportage en het eindproduct verschillend. Het grootste verschil is dat ISO 27001:2022 een standaard is dat zich richt op het vaststellen, implementeren, onderhouden en continu verbeteren van een gedocumenteerd systeem voor informatiebeveiliging binnen een organisatie. Assurance rapportages zijn rapportages die een wat meer gedetailleerde blik kunnen geven op de informatiebeveiliging activiteiten.

Doelstellingen en beheersmaatregelen

Bij een ISAE-verklaring komt de onafhankelijke Register Auditor (RE) of Register Accountant (RA) onderzoeken of de door jou opgestelde beheersdoelstellingen behaalt zijn doormiddel van de door jou opgestelde en geïmplanteerde beheersdoelstellingen. De beheersdoelstellingen die interessant zijn te beschrijven en onderzoeken zijn dus afhankelijk van de beheersdoelstellingen waar de klant van wilt zien dat je in control bent.

Systeembeschrijving

Een ISAE-rapportage bevat een systeembeschrijving waarin jij beschrijft wat het object van onderzoek is. Hierin kan je jullie dienst beschrijven, welke processen en procedures er zijn ten behoeve van informatiebeveiliging, cybersecurity en privacy en hoe je organisatie is opgebouwd in termen van infrastructuur, software, procedures, mensen en data.

Onze aanpak

Nulmeting

We zullen gezamenlijk onderzoeken welk type assurance verklaring passend is bij jouw situatie. Tijdens de nulmeting kijken we naar welke maatregelen op het gebied van informatiebeveiliging, cybersecurity en privacy al geïmplementeerd en beschreven zijn. Vanuit daar stellen we het eigen beheersdoelstellingen en beheersmaatregelen kader op voor de Assurance verklaring. Ontbreken er nog bepaalde maatregelen? Dan wordt er ook nog een plan van aanpak opgesteld om dit te implementeren. We stellen een concreet projectplan op met daarin een heldere planning en rolverdeling. Zo weet je als organisatie precies waar je aan toe bent.

Implementatie

Tijdens de implementatie helpen wij jou met het beschrijven van de systeembeschrijving, beheersdoelstellingen en beheersmaatregelen. Tevens helpen wij met het opvullen van de bestaande gaps.Type 1

We begeleiden je tijdens de Type 1 controle waarin een EDP-auditor (RE) de documentatiebeoordeling uitvoert. Dit noemen we ook wel de “opzet en bestaan” van de beheersmaatregelen. De bevindingen uit de beoordeling lossen we samen met je op. De ISAE 3402 type 1 verklaring wordt vervolgens uitgereikt.

Bewijslast

Bij een ISAE Type 2 verklaring is het nodig om gedurende minimaal 6 maanden controles uit te voeren en registraties op te bouwen. Wij helpen je bij dit proces, waarbij we planmatig alle noodzakelijke registraties verzorgen.

Type 2

We ondersteunen je tijdens de Type 2 beoordeling, waarin de EDP-auditor haar beoordeling van de werking van de beheersmaatregelen. De bevindingen uit deze beoordeling lossen samen met je op. De ISAE 3402 type 2 verklaring wordt vervolgens uitgereikt.

Direct hulp

Schakel binnen 24 uur met onze consultants.

Veelgestelde vragen over ISAE 3402 verklaring

Een ISAE 3402-verklaring is een onafhankelijk auditrapport dat de effectiviteit van de interne controles van een serviceorganisatie beoordeelt. Deze verklaring wordt opgesteld door een externe auditor en is bedoeld om klanten en andere belanghebbenden te informeren over de controles die zijn geïmplementeerd door de serviceorganisatie en hoe goed deze controles functioneren.

Een ISAE 3402 verklaring is vooral relevant voor serviceorganisaties die hun interne controles willen laten beoordelen door een externe auditor, zodat klanten vertrouwen kunnen hebben in de betrouwbaarheid van de diensten die zij ontvangen. Denk bijvoorbeeld aan: IT-dienstverleners, BPO’ers, logistiek dienstverleners en financiele instellingen.