De methodiek van SASconsult is gericht op drie pijlers; realiseren organisatie-doelstellingen (objective realisation), maximalisering van de toegevoegde waarde (maximizing added value) en minimalisering van de verstoring van de bedrijfsvoering (business continuity). Om dit te bereiken is een ISAE 3402 implementatie of een implementatie van maatregelen gerelateerd aan de Algemene verordening gegevensbescherming (AVG) traject onderverdeeld in acht fases.

Binnen onze methodiek maken wij zoveel mogelijk gebruik van de bestaande interne beheersing, wij ondersteunen bij de beschrijving, inrichting en verbetering van interne beheersmaatregelen, risico management en security. Wij maken duidelijke afspraken met onze opdrachtgevers over deadlines, verwachtingen en kosten. Wij zorgen dat uw rapport voldoet aan de meest actuele standaarden en eisen, zoals COSO 2013 en Cobit 5. Voor diverse opdrachtgevers hebben wij het interne beheersingssysteem zodanig ingericht dat optimaal gebruik gemaakt werd van de integratie van ISAE 3402 met bijvoorbeeld de AIFM, ISAE 3000, ISO 27001 of de Wft. Wij praten graag met u over de mogelijkheden hiervoor.

Hier volgt de uitwerking van de pijlers.

Onder 'Fases' worden de uitgangspunten in de acht fases nader toegelicht.

Fase 1. Business analyse
Fase 2. Reikwijdte
Fase 3. GAP-analyse
Fase 4. Modelling framework
Fase 5. Inrichting framework
Fase 6. Readiness assessment
Fase 7. Framework improvement
Fase 8. Audit

Fase 1. Business analyse

ISAE 3402 is de standaard voor uitbesteding in diverse sectoren. Een ISAE 3402 traject begint met een analyse van de huidige bedrijfsvoering waarbij het productaanbod, processen en de organisatiestructuur in kaart worden gebracht. Dit is belangrijk omdat bij voorkeur de volledige organisatie opgenomen is in de reikwijdte van de ISAE 3402 rapportage.

Fase 2. Reikwijdte

De verplichte reikwijdte of scope van de ISAE 3402 zijn alle processen die betrekking hebben op de jaarrekening van opdrachtgevers. Concreet betekent dit dat indien processen worden uitgevoerd door de service organisatie die een mogelijk effect hebben op de jaarrekening van de gebruikersorganisatie dat deze opgenomen moeten worden. Het is inmiddels zo dat voor diverse sectoren (SaaS providers / vermogensbeheerders / datacenters / propertymanagers) practices zijn ontstaan die bijvoorbeeld ook processen als SLA management of business continuity omvatten die niet verplicht opgenomen moeten worden in de scope.

Fase 3. GAP-analyse

Op basis van de business analyse wordt het huidige risico management, de reeds geïdentificeerde risico’s en de huidige beheersstructuur in kaart gebracht. Hierbij wordt geanalyseerd in hoeverre risico’s worden afgedekt door beheersmaatregelen, in hoeverre controls ‘layered on’ zijn (overbodig) en in hoeverre maatregelen discreet zijn (dekken slechts één risico). Deze GAP-analyse is de basis voor de verbetering van het bestaande framework.

Fase 4. Modelling framework

In overleg met het management wordt advies gegeven over de verbetering van het bestaande framework door beheersmaatregelen (controls) zoveel mogelijk risico’s te laten beheersen, overbodige controls (obv. risk appetite) te verwijderen en aanvullend controls in te richten. Deze nieuwe controls kunnen betrekking hebben op security, anti fraude maatregelen of controls die de effectiviteit van de organisatie verbeteren. Op basis van het verbeterde framework wordt het control framework ingericht en de ISAE 3402 rapportage in concept opgesteld.

Fase 5. Inrichting framework

De inrichting van het framework is globaal onderverdeeld in drie onderdelen; inrichting en beschrijving risicomanagement (5A), de inrichting (5B)- en de beschrijving van de controls in de controlmatrix (5C).

Risk Management

De beschrijving van het risicomanagement framework zal worden gebaseerd op het COSO 2013 framework, het internationaal meest toegepaste framework voor (Enterprise) Risk Management (ERM).

Controle matrix

Voor beschrijving van de controledoelstellingen en beheersmaatregelen wordt een controlmatrix gebruikt waarin de relatie tussen controledoelstellingen en -maatregelen is opgenomen. De controls zullen betrekking hebben op de beheersing van relevante operationele- en financiële risico's, inclusief informatiebeveiliging, compliance en anti-fraude maatregelen. De General IT Controls; de algemene beheersmaatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen, worden beschreven volgens de vereisten van Cobit 5.

Bij het beschrijven van de controls is continu overleg met projectmanagement vanuit de organisatie om te waarborgen dat de beschreven controls ook daadwerkelijk worden uitgevoerd. Hiervoor is vanuit SASconsult ook diverse (geautomatiseerde) tooling beschikbaar.

Fase 6. Readiness Assessment

Na de inrichting van het risicomanagement framework wordt een pre-audit of readiness assessment uitgevoerd. Er worden walk throughs en systeemcontrols uitgevoerd om vast te stellen of er mogelijk issues zouden kunnen ontstaan tijdens de daadwerkelijke audit.

Fase 7. Framework improvement

De resultaten van de readiness assessment worden gebruikt om het bestaande framework verder te verbeteren en eventueel issues tijdig op te lossen.

Fase 8. Audit

Na de readiness assessment wordt de daadwerkelijke audit uitgevoerd die zal leiden tot een ISAE 3402 rapportage met assurance mededeling (certificering).

Wat zijn de belangrijkste valkuilen in dit proces?

Veel organisaties hebben processen goed op orde, maar hebben moeite met de discipline van handhaving van deze processen of processen gestructureerd (uniform) uit te voeren. Het is in het proces tot ISAE 3402 certificering ook essentieel dat er voldoende draagvlak is vanuit het management. Daarnaast zijn vaak processen zoals uitwijk, SLA management of security onvoldoende ingericht. Wij zijn al sinds 2004 volledig gericht op ISAE 3402 en beschikken over veel ervaring zowel met grote vermogensbeheerders, pensioenuitvoerders als middelgrote- en kleinere organisaties.

De belangrijkste issues die wij signaleren in dit proces zijn:
  • Maatregelen zijn in theorie aanwezig maar worden niet uitgevoerd;
  • Maatregelen worden niet geregistreerd;
  • Onvoldoende waarborgen voor bescherming vertrouwelijke gegevens;
  • Gebrek aan kennis op het gebied van informatiebeveiliging;
  • Onvoldoende betrokkenheid management, risico management of interne beheersing;
  • User management onvoldoende ingericht;
  • Business continuity gebrekkig ingericht.

Door onze aanpak gericht op toegevoegde waarde, business continuity, klanttevredenheid en efficiëntie zijn wij binnen deze markt sinds 2004 marktleider en initiatiefnemer achter belangrijke ontwikkelingen op het gebied van ISAE 3402. Wij werken samen met diverse gelieerde grote- en minder grote accountantsorganisaties. Voor de certificering hebben wij relaties met de juiste mensen, zodat ook dit proces efficiënt en doelmatig verloopt. Indien u informatie wilt over mogelijke gevolgen van een ISAE 3402 implementatie voor uw organisatie, neem dan contact op met drs. J.E. (Emile) ten Hoor via 030-28 00 888.