Beschrijving ISAE 3402

ISAE3402 is de assurance standaard voor uitbesteding. Internationaal erkend en geaccepteerd. Organisaties besteden vaker processen uit aan service organisaties. Voorbeelden van serviceorganisaties zijn; vermogensbeheerders, SaaS/ Hosting providers, pensioenuitvoerders of creditmanagement organisaties. Indien een organisatie processen uitbesteedt, is de vraag of de serviceorganisatie deze processen goed beheerst. De user organisatie (de partij die insourced) kan dan van de service organisatie een ISAE3402 rapport vragen. In dit rapport is een beschrijving opgenomen van de risicomanagement en informatiebeveiliging en de interne beheersing van de service organisatie. De oorspronkelijk Amerikaanse SAS70 standaard is in 2011 vervangen door ISAE3402.

Vraag naar ISAE3402

Toezichthoudende organisaties, zoals DNB/AFM eisen van banken, pensioenfondsen en vermogensbeheerders dat zij uitbestede processen beheersen. Hierdoor zullen deze organisaties eisen van hun leveranciers dat zij aantonen dat processen beheerst worden. Doordat de ISAE3402 standaard in populariteit is toegenomen in de financiële sector en de internationale standaard is geworden voor uitbesteding, is deze vraag naar de volledige bedrijfskolom 'doorgesijpeld'.

ISAE 3402-rapport

Een ISAE3402 rapport is primair een  rapportage over de interne beheersing van een organisatie. Een externe accountant zal dan een assurance rapport verstrekken bij dit rapport. Op dat moment bent u ISAE3402-gecertificeerd. In dit rapport neemt u een beschrijving op van het interne beheersingssysteem en de risicomanagement organisatie. In principe is dit rapport vormvrij. In Nederland zijn echter inmiddels diverse 'best practices' ontstaan. Het is bijvoorbeeld in Nederland gebruikelijk om control matrix op te nemen.

Toegevoegde waarde SASconsult

Wij kunnen u ondersteunen bij het opstellen van het ISAE3402 rapport. In dit proces zorgen wij ervoor dat uw interne beheersingssysteem voldoet aan de meest actuele standaarden en vereisten, daarnaast adviseren wij u over het beter inrichten van de risicobeheersing van de organisatie. Hierbij vinden wij het niet alleen van belang dat uw rapport professioneel is en voldoet aan alle eisen, maar ook dat u werkelijk toegevoegde waarde ervaart in dit proces. Deze toegevoegde waarde bieden wij door in dit traject te adviseren over het effectiever of efficiënter inrichten van processen. Dit doen wij vanuit onze ervaring met de 'best practices' op het gebied van risk management, security en procesverbetering uit diverse bedrijfstakken.

Belangrijkste valkuilen in dit proces

Veel organisaties hebben processen goed op orde, maar hebben moeite met de discipline van handhaving van deze processen of processen gestructureerd (uniform) uit te voeren. Het is in het proces tot ISAE3402 certificering ook essentieel dat er voldoende draagvlak is vanuit het management. Daarnaast zijn vaak processen zoals uitwijk, SLA management of security onvoldoende ingericht. Wij zijn al sinds 2004 volledig gericht op ISAE3402 en beschikken over veel ervaring zowel met grote vermogensbeheerders, pensioenuitvoerders als middelgrote- en kleinere organisaties. Effectief projectmanagement en duidelijke mijlpalen zorgen dat organisaties binnen gestelde deadlines gecertificeerd worden.

SASconsult methodiek

Binnen onze methodiek maken wij zoveel mogelijk gebruik van de bestaande interne beheersing, wij ondersteunen bij de beschrijving, inrichting en verbetering van interne beheersmaatregelen, risico management en security. Wij maken duidelijke afspraken met onze opdrachtgevers over deadlines, verwachtingen en kosten. Wij zorgen dat uw rapport voldoet aan de meest actuele standaarden en eisen, zoals COSO ERM en Cobit 5.0. Voor diverse opdrachtgevers hebben wij het interne beheersingssysteem zodanig ingericht dat optimaal gebruik gemaakt werd van de integratie van ISAE3402 met bijvoorbeeld de AIFM, ISO27001 of de Wft. Wij praten graag met u over de mogelijkheden hiervoor.

Door onze aanpak gericht op toegevoegde waarde, klanttevredenheid en efficiëntie zijn wij binnen deze markt al sinds 2004 marktleider en initiatiefnemer achter belangrijke ontwikkelingen op het gebied van ISAE3402. Wij werken samen met diverse grote en minder grote accountantsorganisaties voor de certificering. Ook in dit traject hebben wij relaties met de juiste mensen, zodat ook het certifceringsproces efficiënt en doelmatig verloopt. Indien u meer informatie wilt over wat de mogelijke gevolgen zijn van een ISAE3402 implementatie voor uw organisatie, neem dan contact op met drs. J.E. (Emile) ten Hoor van ons kantoor via ons algemene nummer of 06 2673 6001.