ISAE 3402 control matrixDe laatste jaren worden steeds meer “cruciale” processen uitbesteed. Om een mate van zekerheid op die uitbestede processen te houden is ISAE 3402 in het leven geroepen. Deze audit standaard voor rapportage over beheersing van processen die zijn uitbesteed beschrijft een aantal verplichtingen waar je als organisatie aan dient te voldoen. Het ISAE 3402 rapport zelf is echter vormvrij. Toch wordt er in Nederland vaak een vastgestelde indeling gehanteerd waarin het ISAE 3402 raamwerk en de ISAE 3402 control matrix een grote rol spelen. In dit artikel vertellen we je meer over die aspecten en leggen we uit hoe je deze zaken in een ISAE 3402 rapport kunt verwerken.

Handig stappenplan ISAE 3402 nodig?

Stap voor stap op weg naar ISAE 3402? Download dan geheel vrijblijvend dit handige Stappenplan ISAE 3402 en ontdek wat de stappen zijn op weg naar een succesvolle ISAE 3402 implementatie. Voor meer informatie, neem gerust contact met ons op!

DOWNLOAD STAPPENPLAN
ISAE 3402 stappenplan

De opzet van de ISAE 3402 rapportage

ISAE 3402 staat voor International Standard for Assurance Engagements. Het is een internationale standaard die specifiek wordt toegepast op uitbestede processen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie. Een ISAE 3402 rapport is algemeen (h)erkend als middel om inzicht te verkrijgen in de beheersdoelstellingen en -maatregelen met betrekking tot administratieve processen die zijn uitbesteed aan derden.

Lees ook het artikel: ‘Wat is ISAE 3402?

Een ISAE 3402 rapportage is ‘vormvrij’. De standaard schrijft met name voor wat er moet gebeuren, zoals dat risicomanagement ingeregeld moet zijn, de IT-infrastructuur beheerst moet worden en dat het risicomanagement systeem effectief gemonitord moet worden. Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan. Voor de manier van vastlegging zijn geen verplichtingen beschreven. In Nederland is echter wel een best practice ontstaan voor het opstellen van een ISAE 3402 rapport met daarin een vastgestelde indeling:

  • Een algemene beschrijving
    • Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
    • Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
    • De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

Het beheersingskader (beheersdoelstellingen en -maatregelen) is bij ISAE zelf samen te stellen en is maatwerk. De gedachte hierachter is dat de risico’s van activiteiten die worden uitbesteed namelijk afhankelijk zijn van de situatie.

Artikeltip: Bekijk ook het artikel ‘ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg’.

Wat is het ISAE 3402 raamwerk?

ISAE 3402 Type 1 en 2Om de kwaliteit en continuïteit van de ICT -dienstverlening te kunnen borgen is het zaak om als organisatie een Informatiebeveiligingsmanagementsysteem (ISMS) op te zetten. Hierbij dient door de organisatie rekening te worden gehouden met de marktstandaarden. Met behulp van deze standaarden wordt de omgeving eenduidig ingericht en is uitwisselbaarheid met overige stakeholders mogelijk.

Het doel van een ISMS is de borging van continue verbetering, bijvoorbeeld in de vorm van een PDCA-methodiek. Hierbij is het belangrijk dat er op ieder gewenst moment een concreet inzicht is in het niveau van informatiebeveiliging binnen de organisatie.

Het in ogenschouw nemen van de volgende begrippen en definities is daarbij van belang:

  • Beschikbaarheid
    Het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot relevante informatie en het beschikbaar hebben en houden van systemen.
  • Integriteit
    Het waarborgen van de correctheid en de volledigheid van de informatie en de verwerking daarvan.
  • Vertrouwelijkheid
    Het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.

Meer lezen over BIV? Bekijk het artikel: ‘Dataclassificatie bij informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid

Naast het bouwen van het ISMS kan er door de organisatie ook worden gekozen om het raamwerk te bouwen conform de COSO-methodiek. Met behulp van dit model wordt er gekeken vanuit verschillende invalshoeken, zoals strategie, operationeel, reporting, compliance ed. en verschillende aspecten, zoals de interne omgeving, object ed.

Het COSO model geeft richtlijnen voor een organisatie op het gebied van risico en controle die goed organisatorisch bestuur en vermindering van fraude mogelijk maken. Dit model is met name gericht op de interne controle. Hierbij liggen de focuspunten op:

  • Operationeel
    Doelstellingen zoals prestatiedoelen en het beveiligen van middelen van de organisatie tegen fraude.
  • Rapportagedoelstellingen
    Dit houdt in een rapportage van zowel interne als externe financiële rapportage en niet financiële rapportage. Dit heeft betrekking op transparantie, tijdigheid en betrouwbaarheid van rapporteringsgewoonten van de organisatie.
  • Nalevingsdoelstellingen
    Dit zijn interne controledoelen die zijn gebaseerd op het naleven van wet- en regelgeving waaraan de organisatie moet voldoen.

Mogelijk ook interessant: Het artikel ‘ISAE 3402 type 2 versus SOC 2: wat is het verschil?

Hoe werkt de ISAE 3402 risico matrix?

De ISAE 3402 control matrix is als het ware de risicoanalyse die we bijvoorbeeld ook kennen uit de ISO 27001 norm. Hoe werkt die control matrix dan? Bij het opzetten van een ISAE 3402 systeem wordt er eerst een start gemaakt met het beschrijven van de diensten die worden geleverd, in voorkomend geval de transactiestromen. Tevens dienen de ondersteunende processen en informatie in kaart te worden gebracht. Van alle processen die binnen scope vallen worden doelstellingen opgesteld en daaraan gerelateerd de interne beheersdoelstellingen en interne beheersmaatregelen om de doelstellingen te kunnen realiseren.

In de risicomatrix worden er risico’s geïnventariseerd die de interne beheersdoelstellingen in gevaar brengen. Hierin leg je de risicobereidheid, de integriteit en de ethische waarden vast. Deze risico’s dienen te worden onderkend en door middel van de interne beheersingsmaatregelen te worden gemitigeerd. Vervolgens dienen de interne beheersmaatregelen te worden geformuleerd en geïmplementeerd om een mate van zekerheid te kunnen verschaffen dat het restrisico acceptabel is.

In de matrix worden alle controls die voor de gebruikersorganisatie relevant zijn opgenomen. Tijdens de audit wordt getoetst of alle controls die de auditor verwacht ook daadwerkelijk opgenomen zijn.

Meer lezen over ISAE 3402 vs. ISO 27001? Lees dan het artikel: ‘ISAE 3402 versus ISO 27001’.

Ondersteuning nodig?

Wil je aan de slag met een ISAE 3402, maar weet je niet waar je moet starten of heb je vragen over de mogelijkheden? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg met de ISAE 3402.


New call-to-action

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl