Wat is ISAE 3402?

Wat is ISAE 3402? In dit artikel meer over deze audit standaard voor rapportage over beheersing van processen die zijn uitbesteed.

ISAE 3402: wat is het
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Organisaties besteden steeds meer, vaak cruciale, processen uit. Dit gebeurt ook steeds vaker op het gebied van IT-processen. In dat geval is het belangrijk om als organisatie die processen uitbesteedt, te weten hoe alles rondom de informatiebeveiliging ingeregeld is. Je dient immers op de hoogte te zijn van de manier waarop autorisaties zijn ingeregeld en omtrent welke maatregelen er getroffen zijn om bijvoorbeeld fraude te voorkomen. Om dat inzichtelijk te maken voor de klant is ISAE 3402 in het leven geroepen. In dit blogartikel zoomen we in op de vraag ‘wat is ISAE 3402’ en leggen we uit wat er allemaal bij komt kijken.

Wat is ISAE 3402?

De norm staat voor International Standard for Assurance Engagements. Het is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen.

Met behulp van ISAE 3402 hebben toezichthoudende organisaties, zoals bijvoorbeeld de Nederlandsche bank, de mogelijkheid om aan klanten van een organisatie vragen of eisen te stellen over processen die zijn uitbesteed. Daarbij draait het om risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging.

Vanuit de wet (Art. 4.16. Wft) zijn financiële instellingen ook verplicht om in het geval van uitbesteding van processen aan te tonen dat deze processen beheerst worden. Een financiële instelling zal altijd van leveranciers een ISAE 3402 rapport eisen alvorens de leverancier de diensten mag leveren. Met behulp van ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

ISAE 3402 best practice

De inhoud van een ISAE 3402 rapportage is vormvrij. Wel zitten er een aantal verplicht op te nemen onderdelen in, namelijk:

  • Een beschrijving van het control raamwerk
  • Een bevestiging van de service-organisatie
  • Een service auditor assurance rapport

Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan.

In Nederland is een zogenaamde ‘best practice’ voor het opstellen van een ISAE 3402 rapport. Daarin staat een vastgestelde indeling en een manier waarop de beheersmaatregelen (controls) beschreven kunnen worden. De onderdelen die in de best practice staan vernoemd:

  • Een algemene beschrijving
    Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
    Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
    De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

De ISAE 3402 verklaring

Tijdens een audit wordt door een auditor getoetst of alle maatregelen (controls) die binnen de scope vallen ook daadwerkelijk zijn opgenomen en worden nageleefd. Na de audit wordt de ISAE rapportage voorzien van een ‘assurance mededeling’ volgens Standaard 3402. Dit wordt ook wel een ISAE 3402 certificering genoemd, maar officieel is het geen certificaat maar een assurance rapportage. Een ISAE 3402 leidt dan ook niet tot een (ISO) certificaat.

Er zijn twee typen ISAE 3402 verklaringen, namelijk type 1 en type 2. De rapporten behorende bij deze typen verklaringen zijn inhoudelijk hetzelfde. Het verschil zit hem echter in de uitgevoerde controle.

  • Type 1: Er wordt onderzocht of er een beleid en proces zijn beschreven omtrent de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het ISAE-rapport overeenkomt met de daadwerkelijke situatie.
  • Type 2: De organisatie verzamelt over een proces of tool gedurende zes maanden bewijs met daarbij behorende risico’s en maatregelen. De auditor bekijkt de manier waarop maatregelen hebben gewerkt om de beheersdoelstellingen die zijn vastgesteld te behalen.

Met een type 2 verklaring heeft een organisatie meer zekerheid dat de dienstverlening wordt beheerst op de manier waarop men met elkaar is overeengekomen.

Ondersteuning nodig?

Wil je aan de slag met een ISAE 3402 verklaring, maar weet je niet waar je moet starten of heb je vragen? Neem dan gerust contact met ons op. Onze adviseur helpt je graag vooruit met de ISAE 3402.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Op weg naar ISAE 3402?

Download het stappenplan!

  • Concrete stappen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields