International Standard for Assurance Engagements
Wat is ISAE 3402?
ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen.

Beheersing van processen
Voor wie is ISAE 3402?
Lever je als organisatie diensten waarbij je processen of systemen van klanten beheert, bijvoorbeeld op het gebied van IT of dataverwerking? Dan is de kans groot dat klanten of toezichthouders, zoals De Nederlandsche Bank, transparantie eisen over jouw interne beheersmaatregelen.
Met een ISAE 3402-verklaring laat je zien dat je risico’s rondom informatiebeveiliging beheerst én dat je maatregelen aantoonbaar op orde zijn. Let op: ISAE 3402 is geen certificering zoals ISO 27001, maar een assurance-verklaring van een externe auditor.

Stap voor stap
Stappenplan ISAE
Stap 1: Over de organisatie
In stap 1 wordt er gekeken naar de context van de organisatie met daarin de visie en missie. Het is hierbij van belang dat er wordt gekeken naar de rechtsvorm van de organisatie. Valt de organisatie onder een holding, is het een besloten vennootschap of betreft het bijvoorbeeld een zzp’er?
Stap 2: Vaststellen van de scope
In deze stap dient de scope, waarvoor de ISAE 3402 verklaring af wordt gegeven, vastgesteld te worden. Denk daarbij aan de scope van een proces, van een applicatie en/of van een aantal beheersmaatregelen.

Stappenplan ISAE
Risicoanalyse
Stap 3: Uitvoeren van een risicoanalyse
Vervolgens wordt er gekeken naar de risicomanagementfilosofie van de directie/organisatie. Denk daarbij aan degene(n) die verantwoordelijk is/zijn voor het mitigeren van de risico’s en degene(n) die dit audit(en). In navolging daarvan wordt er gekeken naar de risicobereidheid van de organisatie, met daaraan gekoppeld de vraag ‘wat kan de klant overkomen als het mis gaat’? De risico’s worden weergegeven in een risicoanalyse, met daaraan gekoppeld een waarde die wordt uitgedrukt door de kans maal het effect. Op basis van deze classificatie bepaalt de organisatie haar risicobereidheid.
De risico’s die binnen de scope vallen kunnen onderverdeeld worden in verschillende typen, namelijk:
- Risico’s t.g.v. technische oorzaken
- Risico’s t.g.v. personele oorzaken
- Risico’s t.g.v. applicatie oorzaken
- Risico’s m.b.t. beveiliging
- Risico’s m.b.t. integriteit
- Risico’s m.b.t. reputatie

Stappenplan ISAE
Integriteit en doelen
Stap 4: Integriteit en ethische waarden
De directie en het management van de organisatie hebben een breed scala aan (sociale) beheersmaatregelen getroffen die bijdragen aan de vorming en instandhouding van de door de organisatie gewenste organisatiecultuur. Tijdens deze stap zal er worden gekeken naar de gedragscode en bedrijfswaarden. Deze hebben namelijk invloed op het opstellen van de doelstellingen en de wijze waarop deze doelstellingen moeten worden verwezenlijkt.
Stap 5: Opstellen doelstellingen van de onderneming
In deze stap wordt gekeken naar de doelen die zijn gesteld voor komende periode om ervoor te zorgen dat de organisatie in control is. Tevens wordt daarbij bekeken of de organisatie voldoet aan haar eigen eisen.

Stappenplan ISAE
Maatregelen en monitoren
Stap 6: Maatregelen
Naar aanleiding van het vaststellen van de risico’s met de daarbij behorende doelstellingen wordt er gekeken naar de verschillende beheersmaatregelen die geïmplementeerd moeten worden om de risico’s te beheersen.
Stap 7: Monitoren en meten van de maatregelen op de effectiviteit
In deze stap wordt concreet gemaakt op welke wijze de beheersmaatregelen, die in voorgaande stap zijn beschreven, worden gemonitord en gemeten. Het is hierbij belangrijk om de beheersmaatregelen te koppelen aan de doelstellingen die zijn vastgesteld. Wellicht is het ook verstandig om de maatregel te koppelen aan het risico om een beter beeld te krijgen van de correlatie.
De controleactiviteiten zijn belangrijk om aan aan te tonen op welke wijze de getroffen maatregelen werken of niet werken. Er komt dus een overzicht van de doelstelling, de getroffen maatregel en de daarbij uitgevoerde werkzaamheden. De uitkomsten hiervan kunnen bijvoorbeeld worden besproken tijdens een kwartaalmeeting.

Stappenplan ISAE
Beheersactiviteiten en wijzigingen
Stap 8: Beheersactiviteiten
De controleactiviteiten vormen een belangrijk onderdeel van de maatregelen die getroffen zijn voor de interne beheersing. Hier dient een agenda voor opgesteld te worden met daarin een minimaal aantal onderwerpen die aan bod moeten komen. Dit alles wordt gerapporteerd naar de klant. De onderwerpen zijn:
- Een terugblik op het afgelopen kwartaal;
- Een vooruitblik op het komend kwartaal;
- Strategische zaken
Stap 9: Wijzigingen
Wijzigingen binnen de organisatie kunnen van invloed zijn op de geïmplementeerde risico’s en beheersmaatregelen. Het is daarom belangrijk om veranderingen conform een vast proces te laten verlopen in de vorm van indienen, accepteren, beoordelen, goedkeuren, implementeren en evalueren. Het zogenaamde ‘change proces’ is gebaseerd op ITIL en in lijn met gerelateerde processen die binnen de scope van de verklaring vallen.

Stappenplan ISAE 3402 overzicht

Het verschil
ISAE 3402 Type 1 vs. Type 2
ISAE 3402 type 1 geeft inzicht in hoe beheersmaatregelen zijn ingericht op een specifiek moment. Type 2 gaat een stap verder en laat zien dat die maatregelen over een langere periode ook echt gewerkt hebben. Type 1 is vaak de start, type 2 biedt meer zekerheid richting klanten en toezichthouders. Beide varianten leveren een assurance-verklaring op, geen certificaat.

Eis voor klantrelaties
Is ISAE 3402 verplicht?
ISAE 3402 is niet wettelijk verplicht, maar wordt in de praktijk wel steeds vaker gevraagd door klanten of toezichthouders. Vooral organisaties die cruciale processen of systemen van anderen beheren, zoals IT-dienstverleners, krijgen te maken met deze vraag. Met een ISAE 3402-verklaring toon je aan dat je interne processen en beheersmaatregelen aantoonbaar op orde zijn. Het is daarmee geen verplichting, maar vaak wél een eis om klantrelaties te behouden of nieuwe opdrachten binnen te halen.

Kennis
De best gelezen ISAE 3402 berichten
Zo gaat het in zijn werk:
De ISAE 3402 audit
Een ISAE 3402-audit start met een nulmeting waarin bepaald wordt of je klaar bent voor het traject. Daarna volgt het opstellen van een risicoanalyse en beheersmaatregelen die passen bij jouw organisatie en dienstverlening. Vervolgens toetst een externe accountant deze maatregelen op ontwerp (type 1) en werking over een periode (type 2). Het resultaat is een assurance-verklaring die je kunt delen met klanten en toezichthouders als bewijs van beheersing.

Investering
ISAE 3402 kosten
De kosten voor een ISAE 3402-traject hangen af van factoren zoals het type verklaring (type 1 of 2), de complexiteit van processen en het aantal beheersmaatregelen. Ook de voorbereiding, bijvoorbeeld het opstellen van de risicobeheersing en het inrichten van processen, beïnvloedt de prijs. De uiteindelijke audit wordt uitgevoerd door een externe accountant, en ook dat brengt kosten met zich mee. Hoewel het traject investering vraagt, levert het waarde op in vertrouwen, klantrelaties en concurrentiepositie.


(Erkend) kader
Systemen voor informatiebeveiliging
Bedrijven die willen werken aan informatiebeveiliging doen dit het liefst binnen een erkend kader of worden door klanten gevraagd binnen welk kader er al gewerkt wordt. De systemen die in dat geval het vaakst genoemd worden zijn ISO 27001 (of NEN 7510 voor de zorg), ISAE 3402, ITIL of COBIT. Van deze systemen bieden alleen ISO 27001 en ISAE 3402 een zogenaamd ‘bewijs’ van informatiebeveiliging op organisatieniveau.
Wij zijn je graag van dienst
Onze ISAE 3402 specialisten
Kom in contact met de partner in certificeren!
Kun je advies of ondersteuning gebruiken bij ISAE 3402?
Neem dan gerust contact met ons op of vraag direct een vrijblijvende offerte op maat aan. Onze adviseurs helpen je graag op weg.