Telefoon: 085-0046560
Mail: info@mathison.nl
Bezoekadres: Cypresbaan 7-9
2908 LT Capelle aan den IJssel
ISAE3402
Digitale dienstverleners dienen betrouwbaar te zijn. Dit moet in toenemende mate ook aantoonbaar zodat zij en hun klanten op hen kunnen vertrouwen. Mede door wettelijke vereisten onder andere vanuit de Network and Information Security directive (NIS2-richtlijn), de Cyber Resilience Act (CRA) vereist de overheid toezicht en in de Wet Financieel Toezicht (Wft).
Het beschikken over een ISAE3402 certificering kan hierin voorzien: de kwaliteit van uw als digitale dienstverlener is vastgesteld door een onafhankelijke deskundige.
Wat is een ISAE3402 audit?
Een ISAE3402 audit geeft een antwoord op de risico’s die gerelateerd zijn aan de uitbesteding door een gebruikersorganisatie door middel van de assurance verklaring over risicomanagement en de gekozen interne beheersingsmaatregelen die invulling geven aan de geïdentificeerde risico’s. De verklaring geeft inzicht en daarmee vertrouwen in de effectiviteit van de interne beheersingsmaatregelen van de service organisatie.
Een ISAE3402-onderzoek beoordeelt de opzet en bestaan (Type I) of opzet en werking (Type II) van de bedrijfsprocessen en de beheersingsmaatregelen gericht op het beheersen van de risico’s, bezien vanuit de gebruikersorganisatie; de afnemers van de diensten.
Bij deze verklaring bepalen de auditor en de auditee in goed overleg welke beheersingsmaatregelen worden getoetst, dus hoe groot en uitgebreid het beheersingskader is.
Wat zijn de voordelen van een ISAE3402 verklaring?
Efficiënte methode voor verkrijgen en bieden van zekerheid: De service organisatie kan via één generiek beheersingskader inzicht krijgen in de risico’s en risicobeheersing in de bedrijfsprocessen en daarmee verbeterde grip krijgen op deze bedrijfsprocessen.
Minder auditdruk: Door het combineren van de risico’s van uw gebruikersorganisaties in één beheersingskader, kan de service organisatie in één keer worden geauditeerd, waardoor de auditdruk minder wordt. U hoeft dan niet elke keer separate audits, of vragenlijsten te beantwoorden van uw gebruikersorganisaties.
Compliance: Een ISAE3402 verklaring is ook van grote waarde. Immers, het geeft aan in welke mate men mag vertrouwen op de diensten van leveranciers en draagt bij aan het voldoen aan wetgeving als de NIS2 en CRA.
Contact opnemen
Heeft u vragen over een ISAE3402 audit, of hebben uw klanten om een assurance verklaring gevraagd? Of wilt u eens van gedachten wisselen over de mogelijkheden om de beheersing van uw eigen processen te verbeteren? Wij wisselen graag met u van gedachten over de mogelijkheden.
Hoe verloopt een ISAE3402 audit?
Het proces van een ISAE3402 toetsing start met het toetsingskader: Welke beheersingsdoelstellingen naast de basisdoelstellingen zijn relevant? De service organisatie gaat (samen met de auditor) bepalen welke beheersingsdoelstellingen en beheersingsmaatregelen van zijn toepassing zijn op uw organisatie en voldoende vertrouwen geven in risicobeheersing voor uw klanten. In vogelvlucht verloopt een ISAE3402 audit de volgende stappen:
Bepalen van de scope van de dienstverlening: gegeven de dienst, bepaalt u welke controls relevant zijn en welke niet. We kijken daarbij ook naar de wensen en eisen, bezien vanuit de risico’s van uw klanten, relevant voor de geleverde dienstverlening.
Risicoanalyse en beheersingskader: Voor de scope relevante processen houdt u een risicoanalyse op de kwaliteit van de interne organisatie en dienstverlening en identificeert u als service provider:
- Mogelijke gebeurtenissen die gevolgen kunnen hebben voor de kwaliteit van dienstverlening, financiële risico’s die van invloed kunnen zijn op de jaarrekeningcontrole van de gebruikersorganisatie.
- Beheersingsmaatregelen om de risico’s in de bedrijfsprocessen vanuit de risicoanalyse te beheersen en formuleert u de beheersingsdoelstellingen waarvoor de processen zijn ingericht.
- Daarmee het beheersingskader relevant voor de dienstverlening, rekeninghoudende met de risico’s van de gebruikersorganisaties; uw klanten.
Opstellen en doorlopen systeembeschrijving: In een beschrijving geeft u een toelichting op uw processen die zorgen dat de dienstverlening veilig en goed verloopt, zoals u ook heeft beloofd naar uw klanten.
Bewijslijst: Opstellen van een lijst van bewijs dat u kunt voorbereiden op basis van uw maatregelen, zodat de audit efficiënt en effectief kan worden uitgevoerd met minimale impact op de dagelijkse gang van zaken.
Auditwerkzaamheden: het houden van de interviews voor de beoordeling van de opzet, bestaan en werking (toetsing) van de documenten, systeeminstellingen, logs etc. Daarbij kijken wij in hoeverre u voldoet aan de eigen beheersingsmaatregelen.
Rapportage en afrondende nazorg: Na de auditwerkzaamheden stellen wij een conceptrapportage op. In dit concept leggen wij de bevindingen en ons oordeel vast. Vervolgens bespreken we de rapportage met u, zodat u inzicht heeft in wat er komen gaat.
Interne kwaliteitscontrole: Uiteraard volgen wij de kwaliteitsrichtlijnen van NOREA. Wij borgen de kwaliteit via dossiercontrole door een onpartijdige derde die geen onderdeel vormt van het auditteam. Deze controle door de externe reviewer garandeert dat de auditrapportage voldoet aan alle vereisten van NOREA.