Professionalisering

ISAE 3402 implementatie ondersteunt de structurering, professionalisering en effectiviteit van processen .

Transparantie

Inzicht in- en transparantie over risico beheersing wordt steeds meer geëist door professionele organisaties .

Risicomanagement

ISAE 3402 geeft inzicht in risico's en legt direct de relatie met maatregelen die risico's beheersen.


Outsourcing

Steeds meer diensten worden aangeboden als cloudservices. Afnemers van deze diensten willen inzicht in de beveiliging van informatie en processen. Hiervoor is het van belang dat deze afnemers inzicht hebben in risicobeheersing ten aanzien van IT processen. Een ISAE 3402 rapportage geeft inzicht in IT governance; de risico management structuur en hoe risico's beheerst worden door een systeem van maatregelen; de General IT Controls (GITC's)

Financiële instellingen

Het is vanuit de Wet Financieel Toezicht (WFT) verplicht voor financiele instellingen om processen die uitbesteed zijn, te beheersen. Een ISAE 3402 rapportage ondersteunt in dit proces en wordt door toezichthoudende instellingen erkend als professionele rapportage om aan deze vereisten te voldoen.

Accountants

Een professionele ISAE 3402 rapportage wordt door accountants gebruikt om inzicht te krijgen in processen van uitbestede processen. Doordat u aan de accountant van uw klant een ISAE 3402 rapportage ter beschikking stelt, is het niet nodig dat door de accountant nog afzonderlijke audit wordt uitgevoerd.

Project management

Binnen de projectaanpak van SASconsult worden zeven fases onderscheiden.

Impact analyse

In Fase 1 wordt de impact van de ISAE 3402 implementatie bepaald. Op basis van de impact en bepaalde reikwijdte wordt een detailplanning opgesteld waarin meet- en overlegmomenten worden opgenomen en worden afspraken gemaakt voor interviews.

Implementatie

In Fase 2 worden interviews gehouden met medewerkers van uw organisatie om risico’s te identificeren, de impact en de bestaande werkwijze vast te stellen en wordt kennis genomen van de binnen uw organisatie aanwezige informatie. Vervolgens worden de beheersmaatregelen van uw organisatie, volgens de ISAE3402 vereisten, beschreven op basis van de informatie verkregen uit de interviews. Deze worden vastgelegd in een controlmatrix; een matrix met daarin opgenomen de beheersdoelstellingen en – maatregelen.

Inrichting ISAE 3402 framework

In fase 3 zal SASconsult het control framework op basis van het meeste actuele COSO framework (COSO 2013/2016) beschrijven inclusief het algemeen deel van de rapportage. In het algemene deel is een beschrijving van de processen, de organisatie en de General IT Controls opgenomen.

ISAE 3402 rapportage

In fase 4 wordt de volledige ISAE3402 rapportage opgesteld op basis van de individuele delen en worden onderdelen als de management verklaring, geheimhoudings-verklaring en informatie afkomstig van de externe accountant toegevoegd. Indien uw organisatie besluit om deze werkzaamheden zelf te verrichten dan wordt hiervoor door SASconsult een template aangeleverd.

Fase 4 resulteert in een concept ISAE3402 rapportage. Deze zullen wij in detail met u bespreken. In fase 4 worden tevens door uw organisatie eventuele ontbrekende controles geïmplementeerd in de organisatie. De doorlooptijd van de eerste drie fasen zal tussen de 6 en 8 weken zijn, afhankelijk van de inzet en beschikbaarheid van medewerkers van uw organisatie.

Pre-audit

Na de beschrijving zal door SASconsult in Fase 5 een pre-audit of ‘walkthrough’ uitgevoerd worden, tijdens de pre-audit worden de beheersmaatregelen getest en worden mogelijk probleemgebieden geïdentificeerd voor de uiteindelijke audit. Gedurende deze fase zal uw organisatie de door SASconsult benodigde documentatie en evidence aanleveren.

Procesverbetering

Tijdens Fase 6 worden naar aanleiding van de pre-audit, verbeteringen in beheersmaatregelen en het management systeem doorgevoerd en worden oplossingen gerealiseerd voor de geïdentificeerde probleemgebieden. Hierbij draagt SASconsult oplossingen voor die door uw organisatie in de organisatie en het ISAE3402 rapport doorgevoerd kunnen worden. Fase 6 zal leiden tot de definitieve ISAE3402 rapportage. De doorlooptijd van fase 4 en 5 is tussen de 2 en 4 weken.

Audit

Tijdens Fase 7 wordt door Conclude Accountants de audit verricht. De doorlooptijd voor fase 7 zal naar verwachting 3 tot 4 weken zijn.