Wat is ISAE 3402?
ISAE 3402, ook wel SOC 1 genoemd, is een internationaal erkende standaard voor kwaliteit en beheersing rondom uitbestede (financiële) processen in de financiële dienstverlening. ISAE 3402 richt zich op de interne beheersing bij het verlenen van diensten aan andere organisaties. Onderdelen die hierbij aan bod kunnen komen zijn onder andere governance, incident management, risico management, logische toegangsbeveiliging, change management en operationeel beheer van netwerken en systemen. De dienstverlener die een ISAE 3402 rapport uitbrengt bepaalt wat de beheersdoelstellingen en maatregelen zijn die passen bij de dienstverlening en bepaalt daarmee zelf het normenkader. De dienstverlenende organisatie is verantwoordelijk voor het opzetten en onderhouden van processen en moet ervoor zorgen dat deze processen beheerst worden.
Een ISAE 3402-verklaring is er in een type 1 en een type 2 variant. Het verschil tussen ISAE 3402 type I en ISAE 3402 type II is dat bij een ISAE 3402 type I alleen de opzet en het bestaan van de beheersmaatregelen op een specifiek moment worden beoordeeld, terwijl bij een ISAE 3402 type 2 ook de werking van de maatregelen over een langere periode wordt geëvalueerd. Bij de type 1 variant worden de maatregelen in opzet en bestaan getoetst en wordt uitgegeven per een bepaalde toetsingsdatum. Bij een type 2 wordt een verklaring over een periode gegeven en wordt ook de werking van de maatregelen getoetst. De effectiviteit van de beheersmaatregelen wordt bij een type 2 verklaring beoordeeld over een bepaalde periode, meestal tussen 6 maanden en 1 jaar, oftewel de aangegeven periode. De externe auditor beoordeelt de effectieve werking van de maatregelen gedurende deze aangegeven periode. Bij een type 2 verklaring wordt de werking van de beheersmaatregelen op verschillende momenten getoetst om de betrouwbaarheid en effectiviteit te waarborgen. Doorgaans beginnen dienstverleners met een type 1 verklaring om vervolgens een paar maanden daarna een type 2 verklaring uit te brengen. Het ISAE 3402 rapport wordt opgesteld volgens internationale standaarden.
Type ISAE 3402-verklaringen: Type I en Type II
ISAE 3402-verklaringen zijn er in twee varianten: Type I en Type II. Beide typen geven inzicht in de interne beheersmaatregelen van een serviceorganisatie, maar verschillen in de manier waarop en het moment waarop de beheersing wordt getoetst. Een Type I-verklaring richt zich op de opzet en het bestaan van de beheersmaatregelen op een specifiek moment. Dit betekent dat de auditor beoordeelt of de interne beheersmaatregelen aanwezig zijn en goed zijn ingericht, maar niet of ze daadwerkelijk effectief hebben gewerkt over een langere periode.
Een Type II-verklaring gaat een stap verder. Hierbij wordt niet alleen gekeken naar de opzet en het bestaan van de beheersmaatregelen, maar wordt ook de effectiviteit van deze maatregelen beoordeeld over een periode van minimaal zes maanden. Dit geeft klanten meer zekerheid over de daadwerkelijke werking van de interne beheersing binnen de dienstverlening van de serviceorganisatie. Type II-rapporten zijn daarom vaak waardevoller voor klanten die zekerheid willen over de beheersing van processen gedurende een langere periode. Beide verklaringen dragen bij aan het vertrouwen in de dienstverlening en de beheersing van risico’s door de serviceorganisatie.
Wanneer heb ik een ISAE 3402-verklaring nodig voor uitbestede processen?
Het uitbesteden van processen komt steeds vaker voor. Organisaties kiezen er steeds vaker voor om processen uit te besteden, waaronder ondersteunende processen en andere ondersteunende processen. Denk hierbij aan onderdelen van ICT-beheer, de klantenservice of het uitbesteden van (kleinere) administratieve taken. De dienstverlening en verantwoordelijkheden komen dan bij derden te liggen. Sectoren zoals IT-diensten, managed service organisaties, payroll organisaties, software leveranciers en internet providers profiteren in het bijzonder van een ISAE 3402 verklaring, omdat zij vaak te maken hebben met het uitbesteden en beheren van kritische processen. Kwaliteit en betrouwbaarheidseisen kunnen aan de voorkant worden afgedwongen middels overeenkomsten en contracten. Echter geeft dit geen zekerheid, want het is daarmee niet gezegd dat dienstverleners zich aan de afspraken houden of dat ze foutloos voldoen aan de eisen. Om zekerheid te krijgen over het niveau van de beheersing en betrouwbaarheid van de processen en de informatiebeveiliging kan aan de dienstverlener gevraagd worden een ISAE 3402-rapport uit te brengen over hun diensten. Een ISAE 3402 verklaring geeft klanten zekerheid over de betrouwbaarheid van de leverancier, waardoor klanten hun leverancier kunnen zien als een betrouwbare partner. Daarnaast is een ISAE 3402 verklaring ook belangrijk voor het waarborgen van de betrouwbaarheid van financiële rapportage.
Wettelijke verplichting rondom ISAE 3402
Voor financiële instellingen geldt een wettelijke verplichting om aan te tonen dat uitbestede processen op een adequate manier worden beheerd. Dit bewijs wordt geleverd door middel van een ISAE 3402-rapport, ook wel een Service Organisation Control (SOC) rapport genoemd. Leveranciers die diensten leveren aan banken, pensioenfondsen of verzekeraars – zoals creditmanagementorganisaties, SaaS-leveranciers en datacenters – moeten daarom kunnen aantonen dat hun interne beheersing op orde is. Financiële instellingen vragen standaard om een ISAE 3402-rapport voordat zij een samenwerking aangaan. Op deze manier wordt geborgd dat uitbestede processen voldoen aan de eisen van wet- en regelgeving binnen de financiële sector. ISAE 3402 is daarmee een onmisbare schakel voor leveranciers die actief zijn in de financiële dienstverlening.
Externe audit: het proces uitgelegd
De externe audit vormt een essentieel onderdeel van het ISAE 3402-traject. Een onafhankelijke auditor voert deze audit uit en beoordeelt zowel het ontwerp als de operationele effectiviteit van de interne controles en interne beheersingsmaatregelen binnen de organisatie. Tijdens de audit verzamelt de auditor bewijsmateriaal over de werking van processen, gebruikte tools, risicobeheersing en de beschreven maatregelen. Het doel is om vast te stellen of de interne beheersingsmaatregelen gedurende de geëvalueerde periode daadwerkelijk effectief zijn geweest. De externe audit resulteert in een verklaring waarin wordt bevestigd dat de maatregelen, zoals beschreven in het rapport, op de juiste manier zijn toegepast. Dit proces biedt klanten en toezichthoudende instanties het vertrouwen dat de organisatie haar risico’s en beveiliging goed beheerst.
ISAE 3402, SOC 2 en ISO 27001
ISAE 3402 en SOC 2 kennen overeenkomsten en verschillen. Een ISAE3402 is net als SOC 2 bedoeld om (potentiële) klanten van dienstverleners zekerheid te geven over de kwaliteit en beheersing van diensten. Beiden rapporten bevatten ook een uitgebreide beschrijving van de dienstverlening of het systeem waarover het rapport gaat.
Bij SOC 2 toetst de auditor echter tegen een vast normenkader dat ingaat op (informatie)beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy, terwijl bij ISAE3402 gebruik wordt gemaakt van een normenkader dat specifiek is afgestemd op de dienstverlening in scope. ISAE 3402 richt zich op de beoordeling van interne beheersingssystemen en interne processen binnen serviceorganisaties. Waar ISAE 3402 voornamelijk bedoeld is voor serviceorganisaties die financiële of overige processen overnemen, is dit voor SOC 2 specifiek IT-processen. Zie in deze recente blog meer informatie over SOC 2 of neem contact op met één van onze IT-auditors.
Ook ISO27001 kent een vast normenkader dat gaat over algemene informatiebeveiliging. ISO is echter een certificering in plaats van een verklaring en geeft geen zekerheid. Een ISAE 3402 rapport is een assurance verklaring en geen certificering; het biedt externe zekerheid over de werking van processen, wat vaak vereist is door wet- en regelgeving. Bij ISO wordt daarnaast getoetst op opzet en bestaan en nooit op werking. Doordat het normenkader bij ISAE 3402 niet vaststaat, is het bijvoorbeeld mogelijk de normen van ISO27001 te gebruiken in een ISAE 3402 rapport.
Audits en rapportages volgens ISAE 3402 dragen bij aan betrouwbare financiële verslaggeving doordat zij inzicht geven in de effectiviteit van interne beheersingsmaatregelen.
Kosten van een ISAE 3402-verklaring
De kosten voor het verkrijgen van een ISAE 3402-verklaring zijn afhankelijk van verschillende factoren en worden altijd op maat bepaald. De belangrijkste factoren die de prijs beïnvloeden zijn de huidige situatie van de organisatie, de omvang en complexiteit van het ISAE 3402-traject en de mate van begeleiding die wordt gekozen. Organisaties kunnen kiezen voor coachende of uitvoerende ondersteuning door een adviespartij, wat invloed heeft op het totale kostenplaatje. Daarnaast zijn er kosten verbonden aan de externe audit, die wordt uitgevoerd door een onafhankelijke en bevoegde partij. Het is belangrijk om vooraf een goed beeld te krijgen van de benodigde inspanningen en de bijbehorende kosten, zodat het traject efficiënt en doelgericht kan worden doorlopen.
Coaching en ondersteuning bij ISAE 3402
Het opstellen en implementeren van een ISAE 3402-rapportage vraagt om specialistische kennis van zowel financiële processen als IT-processen. Organisaties kunnen daarom kiezen voor coaching en ondersteuning door een ervaren adviseur. Deze adviseur helpt bij het selecteren van een geschikte partij voor de accountsverklaring en begeleidt bij het opzetten van een Service Organisation Control Report (SOC). Ook tijdens de implementatie van het ISAE 3402-traject kan begeleiding worden geboden, zodat de interne beheersingsmaatregelen en rapportage voldoen aan de internationale standaard. Door te kiezen voor een adviseur met kennis van zowel financiële als IT-processen, wordt de audit en rapportage volgens ISAE 3402 effectiever en sluit deze optimaal aan bij de organisatie en haar dienstverlening.
Voordelen van ISAE 3402
Met de ISAE 3402-verklaring toont de serviceorganisatie aan dat zij “In Control” zijn van de processen die zij leveren aan hun klanten. De verklaring kan aan bestaande en potentiële klanten worden verstrekt om zekerheid over hun processen aan te tonen. Een ISAE 3402-verklaring geeft vertrouwen aan klanten en stakeholders doordat het aantoont dat de organisatie haar processen goed beheerst. Een voordeel van de vrije invulling van het normenkader is dat de assuranceverklaring volledig kan aansluiten op de wensen en eisen van klanten en goed past bij de dienstverlening waarover het rapport gaat.
Het bieden van een assuranceverklaring is geen verplichting, maar klanten hebben veel verwachtingen en eisen op het gebied van security, kwaliteit en compliance. ISAE 3402 is bovendien belangrijk voor het voldoen aan eisen van financieel toezicht en de Wet financieel toezicht, die van toepassing zijn op veel financiële instellingen. Toezichthouders zoals de Nederlandsche Bank kunnen eisen stellen aan uitbestede processen, en een ISAE 3402-verklaring helpt om aan deze eisen te voldoen. Met een ISAE 3402 verklaring kan een dienstverlener de, vaak grote aantallen, vragen van klanten op dit gebied voor zijn en hen vertrouwen bieden in de dienstverlening. Dit zorgt voor een vlotter verkoopproces, betere samenwerking en meer vertrouwen vanuit uw klanten.
Bij het auditproces wordt een uitgevoerde controle door een onafhankelijke partij uitgevoerd, wat bijdraagt aan het vertrouwen in de organisatie.
Heeft u vragen of interesse in een ISAE 3402-audit? Neem gerust contact op met één van onze IT-auditors via het contactformulier op de website of bel naar 076-5019470 om direct in contact te komen.