Wat is ISAE 3402 ?

ISAE 3402 is een waarborg dat processen die uitbesteed zijn, aantoonbaar ‘in control’ zijn. ‘In control’ betekent dat processen goed worden uitgevoerd, informatiebeveiliging toereikend is ingericht en dat er voldoende maatregelen om fraude te voorkomen zijn ingericht. ISAE 3402 wordt steeds meer gevraagd door financiële instellingen, beursgenoteerde organisaties en professionele bedrijven. Om ISAE 3402 gecertificeerd te worden heeft u een door een accountant 'gecertificeerde' Service Organization Control rapportage nodig. ISAE 3402 dient niet verward te worden met ISAE 3000.

Service Organization Control Report

Een Service Organization Control (SOC) report is een term uit de Verenigde Staten voor een rapportage over de interne beheersing van een service organisatie. In een SOC is een beschrijving opgenomen van de risico managementorganisatie, het interne beheersingssysteem en de maatregelen voor informatiebeveiliging. Het is gebruikelijk om een algemene beschrijving van het interne beheersingssysteem en een control matrix (CM) op te nemen in een ISAE 3402 (SOC) rapportage, hierin zijn gedetailleerde interne beheersmaatregelen opgenomen.

Serviceorganisaties

Een organisatie die processen uitbesteedt, wordt in de ISAE 3402 standaard een gebruikersorganisatie genoemd, de organisatie die de uitbestede processen uitvoert wordt een service organisatie genoemd. De service organisatie geeft doormiddel van de ISAE 3402 rapportage inzicht in de uitgevoerde processen, schematisch ziet dit er als volgt uit:

ISAE 3402 meer gevraagd

Uitbesteding of outsourcing kan op vrijwel ieder proces betrekking hebben. De IT organisatie kan geoutsourced worden, maar ook bijvoorbeeld de verwerking van financiële processen of het credit management proces. Organisaties besteden steeds vaker (delen van) belangrijke processen uit. Door deze uitbesteding kunnen belangrijke beheersmaatregelen (controls) uit het zicht van het management van de gebruikersorganisatie raken en kan er minder goed invloed worden uitgeoefend op de uitvoering van de processen die geoutsourced zijn.

Achtergrond standaard

De ISAE 3402 standaard is ontstaan doordat organisaties en toezichthouders meer behoefte hadden aan inzicht in en beheersing van outsourcing. Hierdoor stellen toezichthoudende instanties zoals de Nederlandse Bank (DNB) en de Autoriteit Financiële Markten (AFM), de overheid in algemene zin en mogelijk ook uw klanten vragen of eisen ten aanzien van de rapportage over de (beheersing van) geoutsourcete processen. Partijen vragen om een solide risico management framework, gedegen informatiebeveiliging en transparantie hierover.

Wettelijke eisen

In de Wet Financieel Toezicht (Wft) en de Pensioenwet zijn hierover zelfs eisen vastgelegd. Dat betekent dat iedere organisatie die diensten levert aan een organisatie die onder de Wft of de PensioenWet ‘valt’ en onder toezicht staat, moet kunnen aantonen dat deze processen beheerst worden. Feitelijk is ISAE 3402 dan een wettelijke verplichting. Deze eis geldt voor alle leveranciers zoals SaaS providers, credit management organisaties en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Zij dienen informatie te verschaffen over de processen die zij uitbesteden en deze informatie te laten controleren door een externe accountant.

Audit aanpak

Conclude Assurance is een door de Autoriteit Financiële Markten erkend accountantskantoor. Vanuit Conclude assurance kunnen wij zowel de ISAE 3402 type I als type II audit verrichten. Globaal ziet het proces van een ISAE 3402 type II audit er als volgt uit:

Readiness assessment

Het proces begint met een pre-audit of readiness assessment, tijdens deze pre-audit worden mogelijke problemen bij de uitvoering van de daadwerkelijke audit gesignaleerd. De bevindingen van de pre-audit worden besproken met het management en Conclude adviseert over de inrichting van deze maatregelen.

Audit proces

Na het uitvoeren van een pre-audit wordt het auditplan, de planning opgesteld en de deliverables bepaald, de documenten die nodig zijn voor de uitvoering van de audit. Dit wordt vastgelegd in fasedocumenten. De accountmanager van Conclude Accountants Utrecht bespreekt met de projectmanager van de klant op welke wijze de vereiste documenten zo effectief mogelijk kunnen worden opgeleverd. In het auditplan worden de uit te voeren audit werkzaamheden op relevant risico’s afgestemd. Hierna gaat de auditperiode (reference period) starten, bij een ISAE 3402 audit minimaal zes maanden. Tijdens deze zes maanden worden twee of drie perioden van gemiddeld één á twee weken afgesproken met de projectmanager van de klant. Na iedere auditperiode wordt door de accountmanager van Conclude Accountants Utrecht een terugkoppeling gegeven aan het management over de uitkomsten van de audit. Na afronding van de derde periode wordt het ISAE 3402 audit rapport verstrekt bij de SOC van de serviceorganisatie.

Inhoud controle

Een accountant controleert bij een ISAE 3402 audit of de beschrijving van het interne beheersingssysteem en de controlmatrix, waarin gedetailleerde interne beheersingsmaatregelen zijn opgenomen op een juiste wijze is opgezet en of de beheersmaatregelen bestaan. Deze audit leidt tot een ISAE 3402 type I rapport. Als een accountant ook de effectieve werking van het interne beheersingssysteem gedurende een periode van minimaal zes maanden controleert dan leidt dit tot een ISAE 3402 type II rapportage.

Erkend en gespecialiseerd

Conclude is een door de Autoriteit Financiële Markten (AFM) erkend accountantskantoor en kan deze audits voor uw organisatie verrichten. Onze organisatie verricht sinds 2004 deze zogenaamde third party assurance opdrachten en wij zijn de grootste en meest gespecialiseerde organisatie in Europa op dit gebied. Conclude is mede initiatiefnemer van ISAE3402.nl en beschikt over een uitgebreide kennisdatabase op het gebied van ISAE 3402 en ISAE 3000 .

Meer informatie over ISAE 3402?

Indien u meer wilt weten over wat Conclude Accountants Utrecht voor u kan betekenen, dan kunt u contact opnemen met drs. Emile J. ten Hoor RA 06-26736001, van ons kantoor. Hij legt u graag uit wat de toegevoegde waarde van ISAE 3402 voor uw organisatie kan zijn.

Ervaring sinds 2004

Conclude Accountants Utrecht is in 2004 opgericht als afsplitsing van één van de grootste accountantskantoren van Nederland. Alle medewerkers van Conclude hebben korte- of lange tijd gewerkt bij één van de vier grote accountantskantoren. Dat betekent dat wij 'de taal spreken' en dat wij weten hoe wij de meest professionele rapporten moeten schrijven. Conclude Accountants Utrecht is ook de initiatiefnemer van het ISAE 3402 register (ISAE3402.nl), van daaruit onderhouden wij een kennisdatabase op het gebied van governance, risk management en ISAE 3402 specifiek. Onze oorsprong ligt in de financiële sector, in het institutioneel vermogensbeheer.

Informatietechnologie

Door onze affiniteit met en interesse in informatietechnologie zijn wij 'doorgegroeid' tot het meest gespecialiseerde accountantskantoor van Europa op het gebied van outsourcing. Conclude voor de grote vermogensbeheerders, pensioenuitvoerders en datacenters van Europa.

Kostenefficiënt

Wij geloven nog steeds in 'think local, act global', we leveren onze diensten efficiënt en we houden nauwgezet rekening met budgetten van onze klanten. Wij vinden een lange termijn relatie veel belangrijker dan korte termijn 'succesjes'. Vooraf stemmen wij een budget af met onze klanten en als zij daar prijs op stellen kunnen wij ook een 'fixed fee' voorstel doen.

Gespecialiseerd

Conclude is gespecialiseerd op het gebied van ISAE 3402 en ISAE 3000 . Onze professionals hebben allemaal ervaring met ofwel de implementatie of audit van ISAE 3402 in diverse sectoren, zoals SaaS providers, datacenters, credit management of vermogensbeheer en propertymanagement. Door onze specialisatie zijn wij in Europa het kantoor met het grootste aantal professionals dat uitsluitend op het gebied van ISAE 3402 gespecialiseerd is. Samenvattend zijn de belangrijkste voordelen van Conclude Accountants Utrecht als ISAE 3402 auditor:

  • Ervaring sinds 2004 (eerste gespecialiseerde kantoor van Nederland)
  • Initiatiefnemer van ISAE3402.nl
  • Effectieve aanpak tegen lage kosten
  • Veel ervaring vastgelegd in kennisdatabase (ISAE3402.nl)
  • Grootste aantal ISAE 3402 professionals in één kantoor
  • Uitgebreide ervaring met informatietechnologie en datacenters
  • Meeste ISAE 3402 audits in Nederland
  • Effectieve kostenbeheersing voor uw organisatie
  • Internationale ervaring
In control en transparant

Vanuit een gebruikersorganisatie bestaat de behoefte aan informatie over beheersing van de door de service organisatie uitgevoerde processen. ISAE 3402 is een internationale standaard, dat betekent dat zowel nationale- als internationale organisaties kunnen ‘steunen’ op de ISAE 3402 rapportage. Een ISAE 3402 rapportage is een Service Organization Control report. Een ISAE 3402 is daarom ook bruikbaar voor organisaties uit de Verenigde Staten in het kader van de Sarbanes Oxley 404 verplichtingen. Op het moment dat een service organisatie over een ISAE 3402 rapportage beschikt dan heeft de gebruikersorganisatie (uw klant) inzicht in- en zekerheid dat het risico management systeem toereikend is, voldoende informatiebeveiligingsmaatregelen zijn ingericht en er fraudepreventiemaatregelen zijn ingericht. Deze maatregelen en de rapportage zijn onderzocht door een professionele accountantsorganisatie waardoor deze zekerheid is gewaarborgd.

Conclude Accountants

Conclude Accountants Utrecht is een organisatie die voldoet aan de eisen van de Internationale Federation of Accountants (IFAC), de Nederlandse Beroepsorganisatie voor Accountants (NBA) en beschikt over een vergunning van de Autoriteit Financiële Markten (AFM) voor het uitvoeren van wettelijke controles. Dat betekent dat een organisatie die gebruik maakt van een ISAE 3402 rapportage die gecontroleerd is door Conclude Accountants Utrecht geen accountants onderzoek hoeft te laten doen bij de service organisatie. Het voordeel voor de service organisatie is dan dat één deskundige accountant de processen onderzoekt en daarover rapporteert. Andere (internationale) accountants zullen dit rapport erkennen.

Wettelijke eisen

Naast de behoefte van klanten, wordt ISAE 3402 ook steeds meer geëist binnen wettelijke kaders, zoals de PensioenWet, de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Zowel de overheid als mogelijk ook uw klanten vragen ISAE 3402 steeds vaker in aanbestedingen.

De belangrijkste reden voor u om aan de ISAE3 402 eisen te voldoen zijn:

  • Uw klant voldoet aan de wettelijke eisen van de PensioenWet/ Wft/ SOx 404
  • ISAE 3402 is internationaal erkend
  • Veel gevraagd in aanbestedingen door de overheid en uw klanten
  • Kwaliteit van uitbestede processen gewaarborgd aan uw klanten
  • Minimaliseren onderzoek door accountants van uw klanten
  • U krijgt van een externe partij bevestigd dat uw organisatie goed beheerst wordt
  • Uw organisatie is ‘in control’ en draagt dit ook uit naar (potentiële) klanten

Proces implementatie

Conclude Accountants Utrecht kan via haar groepsmaatschappij SASconsult uw organisatie begeleiden in het traject van het opstellen en tot de uiteindelijke certificering van het ISAE 3402 rapport. Wij kunnen u adviseren over de security- en interne beheersingsorganisatie. Daarnaast signaleren wij mogelijkheden voor het efficiënter of effectiever inrichten van processen. 

Onze methodiek is gericht op effectiviteit en beheersing de controlekosten. Tijdens de impactanalyse brengen wij de belangrijkste risico’s in kaart en bepalen wij de GAP’s. Na de beschrijving van het interne beheersingssysteem, beheersmaatregelen en de implementatie van ontbrekende maatregelen doen wij een pre-audit. Vervolgens voeren wij eventueel nog herstelmaatregelen door of adviseren u over de verbetering van processen. Ook het audit proces begeleiden wij, zodat dit efficiënt verloopt binnen de door u gestelde deadlines voor het rapport.

Service Organization Control Report

Een ISAE 3402 rapport is een Service Organization Report (SOC). In regelgeving vanuit de VS worden er drie soorten SOC’s onderkend; een SOC1, SOC2 en SOC3. Een ISAE 3402 rapportage is vergelijkbaar met (gelijk aan) een Amerikaanse SOC1 rapportage. Een SOC2 rapportage is feitelijk een ISAE 3000 rapportage. Naast deze indeling kent ISAE 3402 twee soorten rapportages; een type I en een type II rapportage. Deze verschillende types zijn inhoudelijk vrijwel identiek, het verschil is dat de accountant verschillende werkzaamheden verricht. Een ISAE 3402 type II audit is veel uitgebreider en intensiever dan een type I audit.

ISAE 3402 type I

Een type I rapportage geeft een beeld van de serviceorganisatie op één specifiek moment, bijvoorbeeld op 31 december, per jaareinde. De accountant toetst dan het interne beheersingssysteem en beheersmaatregelen op bestaan en beoordeelt of het rapport voldoet aan het gestelde doel (toereikend is). De accountant stelt dan vast of er wordt gewerkt volgens de beschreven processen of dit ook op de juiste wijze wordt vastgelegd (geparafeerd). De accountant onderzoekt de rapportage vanuit zijn professionele kennis op het gebied van processen, risico management en informatiebeveiliging.

ISAE 3402 type II

In een type II rapportage wordt naast de opzet en bestaan van het interne beheersingssysteem ook de werking van de beheersmaatregelen door de accountant getoetst. Dat betekent dat de accountant naast bovenstaande werkzaamheden ook gedetailleerd controleert of de maatregelen die beschreven zijn ook effectief werken. Bij een ISAE 3402 type I audit wordt bijvoorbeeld uitsluitend onderzocht of er een procedure is (door ‘walkthroughs’ of ‘lijncontrols’) en bij een type II onderzoekt de accountant ook door middel van systeemtesten dat maatregelen goed werken; of bijvoorbeeld wel alle data wordt geback-upt. De werking van maatregelen wordt getoetst gedurende een vooraf aangegeven periode van minimaal zes maanden. Binnen Conclude Accountants Utrecht wordt deze periode onderverdeeld in twee- of drie testperiodes. Door de grote impact die ISAE 3402 op een organisatie heeft, wordt vaak gekozen voor eerst een type I rapportage en een type II rapportage in de daaropvolgende periode.

Globale inhoud

Zoals vermeld zijn er twee soorten rapportages; een type I rapportage en een type II rapportage. De inhoud van een ISAE 3402 rapportage is globaal als volgt:

Het is gebruikelijk om een algemene beschrijving van het interne beheersingssysteem en een control matrix (CM) op te nemen in een ISAE 3402 rapportage, hierin zijn gedetailleerde interne beheersmaatregelen opgenomen.

Indien u meer informatie wilt over ISAE 3402 kunt u meer lezen in onze ISAE 3402 bibliotheek.