Het ISAE 3402 raamwerk en de ISAE 3402 control matrix

De laatste jaren worden steeds meer “cruciale” processen uitbesteed. Om een mate van zekerheid op die uitbestede processen te houden is ISAE 3402 in het leven geroepen. Deze audit standaard voor rapportage over beheersing van processen die zijn uitbesteed beschrijft een aantal verplichtingen waar je als organisatie aan dient te voldoen. Het ISAE 3402 rapport zelf is echter vormvrij. Toch wordt er in Nederland vaak een vastgestelde indeling gehanteerd waarin het ISAE 3402 raamwerk en de ISAE 3402 control matrix een grote rol spelen. In dit artikel vertellen we je meer over die aspecten en leggen we uit hoe je deze zaken in een ISAE 3402 rapport kunt verwerken.

ISAE 3402 staat voor International Standard for Assurance Engagements. Het is een internationale standaard die specifiek wordt toegepast op uitbestede processen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie. Een ISAE 3402 rapport is algemeen (h)erkend als middel om inzicht te verkrijgen in de beheersdoelstellingen en -maatregelen met betrekking tot administratieve processen die zijn uitbesteed aan derden.

Een ISAE 3402 rapportage is ‘vormvrij’. De standaard schrijft met name voor wat er moet gebeuren, zoals dat risicomanagement ingeregeld moet zijn, de IT-infrastructuur beheerst moet worden en dat het risicomanagement systeem effectief gemonitord moet worden. Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan. Voor de manier van vastlegging zijn geen verplichtingen beschreven. In Nederland is echter wel een best practice ontstaan voor het opstellen van een ISAE 3402 rapport met daarin een vastgestelde indeling:

Het beheersingskader (beheersdoelstellingen en -maatregelen) is bij ISAE zelf samen te stellen en is maatwerk. De gedachte hierachter is dat de risico’s van activiteiten die worden uitbesteed namelijk afhankelijk zijn van de situatie.

Om de kwaliteit en continuïteit van de ICT -dienstverlening te kunnen borgen is het zaak om als organisatie een Informatiebeveiligingsmanagementsysteem (ISMS) op te zetten. Hierbij dient door de organisatie rekening te worden gehouden met de marktstandaarden. Met behulp van deze standaarden wordt de omgeving eenduidig ingericht en is uitwisselbaarheid met overige stakeholders mogelijk.

Het doel van een ISMS is de borging van continue verbetering, bijvoorbeeld in de vorm van een PDCA-methodiek. Hierbij is het belangrijk dat er op ieder gewenst moment een concreet inzicht is in het niveau van informatiebeveiligingbinnen de organisatie.

Het in ogenschouw nemen van de volgende begrippen en definities is daarbij van belang:

Naast het bouwen van het ISMS kan er door de organisatie ook worden gekozen om het raamwerk te bouwen conform de COSO-methodiek. Met behulp van dit model wordt er gekeken vanuit verschillende invalshoeken, zoals strategie, operationeel, reporting, compliance ed. en verschillende aspecten, zoals de interne omgeving, object ed.

Het COSO model geeft richtlijnen voor een organisatie op het gebied van risico en controle die goed organisatorisch bestuur en vermindering van fraude mogelijk maken. Dit model is met name gericht op de interne controle. Hierbij liggen de focuspunten op:

De ISAE 3402 control matrix is als het ware de risicoanalyse die we bijvoorbeeld ook kennen uit de ISO 27001 norm. Hoe werkt die control matrix dan? Bij het opzetten van een ISAE 3402 systeem wordt er eerst een start gemaakt met het beschrijven van de diensten die worden geleverd, in voorkomend geval de transactiestromen. Tevens dienen de ondersteunende processen en informatie in kaart te worden gebracht. Van alle processen die binnen scope vallen worden doelstellingen opgesteld en daaraan gerelateerd de interne beheersdoelstellingen en interne beheersmaatregelen om de doelstellingen te kunnen realiseren.

In de risicomatrix worden er risico’s geïnventariseerd die de interne beheersdoelstellingen in gevaar brengen. Hierin leg je de risicobereidheid, de integriteit en de ethische waarden vast. Deze risico’s dienen te worden onderkend en door middel van de interne beheersingsmaatregelen te worden gemitigeerd. Vervolgens dienen de interne beheersmaatregelen te worden geformuleerd en geïmplementeerd om een mate van zekerheid te kunnen verschaffen dat het restrisico acceptabel is.

In de matrix worden alle controls die voor de gebruikersorganisatie relevant zijn opgenomen. Tijdens de audit wordt getoetst of alle controls die de auditor verwacht ook daadwerkelijk opgenomen zijn.

Wil je aan de slag met een ISAE 3402, maar weet je niet waar je moet starten of heb je vragen over de mogelijkheden? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg met de ISAE 3402.