Het belang van een ISAE 3402 ‘Readiness Assessment’

Projectmanagement

Een belangrijk gevolg van de implementatie van ISAE 3402 is dat het risico management systeem beoordeeld wordt, processen worden geüniformeerd en geformaliseerd. Naast het beschrijven van het control framework en de control matrix is ook het management van het risk management en informatiebeveiligingsproces een belangrijk onderdeel van een ISAE 3402 implementatie.

Formalisering

Dat betekent dat procedures ingericht moeten worden en ook alle medewerkers volgens deze procedure moeten werken. Bij organisaties van minder dan circa 40 medewerkers is dit proces redelijk te overzien. Bij grotere organisaties kan dit belangrijke gevolgen hebben voor de werkwijze, cultuur en het management van de organisatie. Vooral 'weerstand' tegen een verdere formalisering van processen kan een belangrijke uitdaging zijn. Daarom is het van belang dat niet procedures niet alleen 'top down' worden beschreven, maar dat medewerkers worden betrokken in dit proces. Een 'readiness assessment' of 'pre-audit' is dan een belangrijke tool om vast te stellen of de organisatie 'gereed' is voor de ISAE 3402 audit.

Opzet readiness assessment

Als gevolg van deze nieuwe wereldwijde standaard voor interne beheersing profiteren serviceorganisaties van een ISAE 3402 ‘Readiness Assessment’. Onderwerpen die in een ISAE 3402 ‘Readiness Assessment’ aan bod komen zijn;

  • Inzicht in de veranderingen die het gevolg zijn van de ISAE 3402 standaard en de landen en regio specifieke verschillen in normen die bestaan zoals SAS 70 en CICA 5970.
  • Het herkennen van de reikwijdte van de ISAE 3402 overeenkomst, welke de volgende criteria omvat:
    • De relevantie van een voorgaand service-rapport ten opzichte van de nieuwe ISAE 3402 standaard.
    • Welke controles de basis vormen voor de nieuwe ISAE 3402 audit en hoe deze controle doelstellingen rekening houden met de relevantie voor de gebruiker en de rapportagedoeleinden.
    •  De identificatie van alle serviceorganisaties, indien van toepassing, en de aanwezigheid van deze controleomgevingen in het uiteindelijke ISAE 3402 rapport. Daarnaast zal de ‘carve-out’ methode of de ‘inclusive method’ gebruikt worden met betrekking tot de serviceorganisaties.
    • De hoeveelheid fysieke locaties (externe serviceorganisatie locaties) die moeten worden opgenomen in de reikwijdte van de controle.
  • De rol die de interne audit-functie van de serviceorganisatie speelt in de audit. Daarnaast wordt de interne audit-functie geacht relevant te zijn voor de reikwijdte van de controle, zal de accountant van de serviceorganisatie de professionaliteit en de objectiviteit van de interne auditor bepalen.
  • Het verstrekken van begeleiding en aanbevelingen aan de serviceorganisatie voor de ontwikkeling van een uitgebreide en diepgaande beschrijving door de serviceorganisatie van haar ‘systeem’. Dit omvat een aantal essentiële componenten.
  • Daarnaast biedt een ‘Readiness Assessment’ begeleiding en aanbevelingen aan aan de serviceorganisatie voor het ontwikkelen van een ‘management verklaring’ zoals vereist door de ISAE 3402 standaard.
  • Het ‘Readiness Assessment’ biedt ook vragenlijsten voor het tijdig herkennen van mogelijke valkuilen of gebreken binnen de huidige controleomgeving die herstel of verbetering vereisen voor de aanvang van de audit.

Lees meer over Risklane en ISAE 3402.