Het ISAE 3402 raamwerk en de ISAE 3402 control matrix
We vertellen je alles over de aspecten ISAE 3402 raamwerk en ISAE 3402 control matrix.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlDe laatste jaren worden steeds meer “cruciale” processen uitbesteed. Om een mate van zekerheid op die uitbestede processen te houden is ISAE 3402 in het leven geroepen. Deze audit standaard voor rapportage over beheersing van processen die zijn uitbesteed beschrijft een aantal verplichtingen waar je als organisatie aan dient te voldoen. Het ISAE 3402 rapport zelf is echter vormvrij. Toch wordt er in Nederland vaak een vastgestelde indeling gehanteerd waarin het ISAE 3402 raamwerk en de ISAE 3402 control matrix een grote rol spelen. In dit artikel vertellen we je meer over die aspecten en leggen we uit hoe je deze zaken in een ISAE 3402 rapport kunt verwerken.
De opzet van de ISAE 3402 rapportage
ISAE 3402 staat voor International Standard for Assurance Engagements. Het is een internationale standaard die specifiek wordt toegepast op uitbestede processen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie. Een ISAE 3402 rapport is algemeen (h)erkend als middel om inzicht te verkrijgen in de beheersdoelstellingen en -maatregelen met betrekking tot administratieve processen die zijn uitbesteed aan derden.
Een ISAE 3402 rapportage is ‘vormvrij’. De standaard schrijft met name voor wat er moet gebeuren, zoals dat risicomanagement ingeregeld moet zijn, de IT-infrastructuur beheerst moet worden en dat het risicomanagement systeem effectief gemonitord moet worden. Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan. Voor de manier van vastlegging zijn geen verplichtingen beschreven. In Nederland is echter wel een best practice ontstaan voor het opstellen van een ISAE 3402 rapport met daarin een vastgestelde indeling:
- Een algemene beschrijving
- Hieronder valt o.a. een beschrijving van de organisatie
- Een beschrijving van het control raamwerk
- Het volledige risico raamwerk (doorgaans volgens COSO)
- Een control matrix
- De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)
Het beheersingskader (beheersdoelstellingen en -maatregelen) is bij ISAE zelf samen te stellen en is maatwerk. De gedachte hierachter is dat de risico’s van activiteiten die worden uitbesteed namelijk afhankelijk zijn van de situatie.
Wat is het ISAE 3402 raamwerk?
Om de kwaliteit en continuïteit van de ICT -dienstverlening te kunnen borgen is het zaak om als organisatie een Informatiebeveiligingsmanagementsysteem (ISMS) op te zetten. Hierbij dient door de organisatie rekening te worden gehouden met de marktstandaarden. Met behulp van deze standaarden wordt de omgeving eenduidig ingericht en is uitwisselbaarheid met overige stakeholders mogelijk.
Het doel van een ISMS is de borging van continue verbetering, bijvoorbeeld in de vorm van een PDCA-methodiek. Hierbij is het belangrijk dat er op ieder gewenst moment een concreet inzicht is in het niveau van informatiebeveiligingbinnen de organisatie.
Het in ogenschouw nemen van de volgende begrippen en definities is daarbij van belang:
- Beschikbaarheid
Het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot relevante informatie en het beschikbaar hebben en houden van systemen. - Integriteit
Het waarborgen van de correctheid en de volledigheid van de informatie en de verwerking daarvan. - Vertrouwelijkheid
Het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
Naast het bouwen van het ISMS kan er door de organisatie ook worden gekozen om het raamwerk te bouwen conform de COSO-methodiek. Met behulp van dit model wordt er gekeken vanuit verschillende invalshoeken, zoals strategie, operationeel, reporting, compliance ed. en verschillende aspecten, zoals de interne omgeving, object ed.
Het COSO model geeft richtlijnen voor een organisatie op het gebied van risico en controle die goed organisatorisch bestuur en vermindering van fraude mogelijk maken. Dit model is met name gericht op de interne controle. Hierbij liggen de focuspunten op:
- Operationeel
Doelstellingen zoals prestatiedoelen en het beveiligen van middelen van de organisatie tegen fraude. - Rapportagedoelstellingen
Dit houdt in een rapportage van zowel interne als externe financiële rapportage en niet financiële rapportage. Dit heeft betrekking op transparantie, tijdigheid en betrouwbaarheid van rapporteringsgewoonten van de organisatie. - Nalevingsdoelstellingen
Dit zijn interne controledoelen die zijn gebaseerd op het naleven van wet- en regelgeving waaraan de organisatie moet voldoen.
Hoe werkt de ISAE 3402 risico matrix?
De ISAE 3402 control matrix is als het ware de risicoanalyse die we bijvoorbeeld ook kennen uit de ISO 27001 norm. Hoe werkt die control matrix dan? Bij het opzetten van een ISAE 3402 systeem wordt er eerst een start gemaakt met het beschrijven van de diensten die worden geleverd, in voorkomend geval de transactiestromen. Tevens dienen de ondersteunende processen en informatie in kaart te worden gebracht. Van alle processen die binnen scope vallen worden doelstellingen opgesteld en daaraan gerelateerd de interne beheersdoelstellingen en interne beheersmaatregelen om de doelstellingen te kunnen realiseren.
In de risicomatrix worden er risico’s geïnventariseerd die de interne beheersdoelstellingen in gevaar brengen. Hierin leg je de risicobereidheid, de integriteit en de ethische waarden vast. Deze risico’s dienen te worden onderkend en door middel van de interne beheersingsmaatregelen te worden gemitigeerd. Vervolgens dienen de interne beheersmaatregelen te worden geformuleerd en geïmplementeerd om een mate van zekerheid te kunnen verschaffen dat het restrisico acceptabel is.
In de matrix worden alle controls die voor de gebruikersorganisatie relevant zijn opgenomen. Tijdens de audit wordt getoetst of alle controls die de auditor verwacht ook daadwerkelijk opgenomen zijn.
Ondersteuning nodig?
Wil je aan de slag met een ISAE 3402, maar weet je niet waar je moet starten of heb je vragen over de mogelijkheden? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg met de ISAE 3402.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlWeten welke zaken je moet inregelen voor ISAE 3402?
Download dan het stappenplan ISAE 3402 verklaring
- Weet welke zaken vereist zijn
- Overzichtelijke checklist