Waarom ISAE3402?

Organisaties besteden in toenemende mate processen uit. Dit is mede veroorzaakt door recente technologische ontwikkelingen. Vanuit de pensioenwet en Wet Financieel Toezicht (Wft) zijn financiële instellingen al vanaf 2004 verplicht om alle uitbestede processen te beheersen, dat betekent concreet: ‘weten wat er gebeurt’. Is de interne controle goed ingericht bij de organisatie die de processen uitvoert? Zijn er voldoende maatregelen om fraude of handel met voorkennis te voorkomen? Zijn de processen ten aanzien van informatiebeveiliging voldoende ingericht?

In de afgelopen tien jaar is het bewustzijn bij organisaties en toezichthouders gegroeid dat de volledige bedrijfskolom beheerst moet worden, dat betekent ook de leverancier van een applicatie en bijvoorbeeld het datacenter waarin alle informatie wordt opgeslagen. ISAE 3402 is de enige standaard die geaccepteerd wordt door accountants bij hun controle, de standaard is vergelijkbaar met SSAE16, de standaard die vereist is vanuit Sarbanes Oxley.

Lees hiernaast meer over de relatie tussen ISAE 3402 en ISO 27001

Verschil met ISO27001?

Voor ISO27001 is geen toetsingskader ontwikkeld waardoor zekerheid kan worden verschaft bij de security van een organisatie. ISO 27001 kent zijn slechts voorschriften en richtlijnen voor informatiebeveiliging. Dat betekent dat in theorie de informatiebeveiliging niet op orde zou kunnen zijn, terwijl wel voldaan wordt aan ISO27001, omdat bijvoorbeeld een informatiebeveiligingsbeleid is vastgesteld, back recovery etc. etc. is ingericht. De centrale vraag voor ISO27001 zou eigenlijk moeten zijn; wanneer is het ISMS kwalitatief goed. ISO 27001 geeft daar geen expliciet antwoord op.

Op het moment dat een organisatie over een ISAE3402 assurance rapport beschikt, dan is het uiteindelijke normenkader (waardoor zekerheid kan worden ontleent aan de rapportage) de jaarrekening van de gebruikersorganisatie. Een accountant heeft geen concrete richtlijnen, maar wel een normenkader waarbinnen hij toetst.

ISAE3402 stelt de controls van de user organisatie die effect hebben op de jaarrekening centraal. Daarom zijn voor ISAE3402 gedetailleerde controledoelstellingen, zoals juistheid, tijdigheid en volledigheid, te bepalen. ISAE3402 kent uitsluitend een ‘conceptueel’ normenkader; de jaarrekening van de gebruiker. Er worden in de praktijk wel normen gehanteerd, dit zijn dan eigenlijk altijd interne normen van een accountantskantoor.

Wat is een subservice organisatie?

Een serviceorganisatie zal mogelijk processen uitbesteden aan een andere organisatie. Een vermogensbeheerder kan bijvoorbeeld vastgoedbeheer uitbesteden of een Application Service Provider kan bijvoorbeeld processen uitbesteden aan een datacenter (back up/ fysieke beveiligingsmaatregelen). Op het moment dat hier sprake van is, spreken we van een subservice organisatie.

Een service organisatie heeft hierin twee keuzes; of de beheersmaatregelen bij de subservice organisatie worden integraal in het ISAE3402 rapport van de service organisatie beschreven (de zogenaamde inclusive-benadering) of er wordt gebruik gemaakt van een carve-out. Een carve-out betekent dat er verwezen wordt naar het rapport van de subservice organisatie in het rapport van de service organisatie.

Wat is de rol van ICT binnen ISAE3402?

IT controls