IT audits

ISAE 3402

Opbouw van een ISAE 3402

Een ISAE 3402 is vormvrij, de standaard geeft geen specifieke voorschriften voor de inhoud, maar er zijn inmiddels diverse best practices ontstaan. Er zijn ook vereisten aan rapportages vanuit onder andere DNB, sectorinstituten of serviceorganisaties zelf. Een ISAE 3402 rapportage is meestal onderverdeeld in vier delen:

  1. Een deel waarin de accountant zijn oordeel geeft over de onderzochte maatregelen.
  2. Een deel waarin het management verklaart dat openheid is gegeven en alle informatie is verstrekt.
  3. Een uitgebreid deel waarin de organisatie worden beschreven inclusief de risico’s, het risicomanagement- en interne beheersingssysteem en een ‘control matrix’. In de control matrix zijn de beheersdoelstellingen opgenomen en een beschrijving van de beheersmaatregelen die deze beheersdoelstellingen waarborgen.
  4. De boordeling van de accountant van de beheersdoelstellingen. Alle processen die een significant effect hebben op financiële processen moeten opgenomen worden. In het algemeen zijn dit alle operationele-, financiële processen en de General IT Controls.

Strekking ISAE 3402

Een ISAE 3402 assurance-opdracht is bedoeld om aan de onderzochte organisatie, haar afnemers en hun accountants inzicht te verstrekken en zekerheid geven over de in de rapportage opgenomen beweringen. Dit type assurance rapportages heeft betrekking op de interne beheersingsdoelstellingen en interne beheersingsmaatregelen die zijn opgesteld door een serviceorganisatie en die relevant zijn voor financiële verslaggeving. Kortom de ISAE 3402 rapportage focust zich dus op de beheersingsmaatregelen die gerelateerd zijn aan de verwerking van financiële transacties.

Wij voeren de ISAE 3402 assurance-opdracht uit in overeenstemming met de International Standard on Assurance Engagements nummer 3402 (ISAE 3402) of Nederlandse implementatie hiervan: Standaard 3402 zoals uitgegeven door het Nederlandse Beroepsorganisatie van Accountants (NBA) of Richtlijn 3402 als uitgegeven door de beroepsorganisatie van IT-auditors in Nederland (NOREA). Zowel de standaard als de richtlijn voldoet aan de internationale ISAE 3402 vereisten.

Wat is een serviceorganisatie?

Een serviceorganisatie is een organisatie die diensten verleent aan een gebruikersorganisatie (user organization). Indien een organisatie diensten uitbesteed dan worden deze diensten verricht door een serviceorganisatie.

Soorten serviceorganisaties

Tegenwoordig wordt door vrijwel iedere organisatie die processen uitbesteed gevraagd om een ISAE 3402 rapportage, dat betekent dat professionele ICT- leveranciers meestal beschikken over een ISAE 3402 rapportage, maar ook datacenters, creditmanagers, vastgoed-beheerders en HR services providers (salarisverwerkers).

Voorbeelden van serviceorganisaties zijn:

  • SaaS, PaaS, IaaS leveranciers
  • Vastgoedbeheerorganisaties
  • Hosting providers
  • Cloud Service Providers
  • Datacenter Providers
  • IaaS en PaaS providers
  • Creditmanagement organisatie
  • Betalingsorganisaties
  • Vermogensbeheerders
  • Trustbedrijven
  • Pensioenuitvoerders

In de ISAE 3402-standaard is de volgende definitie opgenomen van een serviceorganisatie:

"Een derde organisatie (of onderdeel van een derde organisatie) die diensten verleent aan gebruikende entiteiten die waarschijnlijk relevant zijn voor de interne beheersing in relatie tot de financiële verslaggeving."

Vorm van de ISAE 3402

Gebaseerd op de ISAE 3402 standaard dient een ISAE 3402 rapportage uit onder andere de volgende onderdelen te bestaan:

  1. Reikwijdte: op welke processen en (delen van de) organisatie(s) heeft de audit betrekking.
  2. Oordeel van de auditor: de auditor geeft een oordeel over de onderzochte beheersingsmaatregelen.
  3. Bewering van het management: de organisatie dient een geschreven bewering te doen over de compleetheid en het accuraat zijn van de verschafte informatie zoals opgenomen in de ISAE 3402 rapportage.
  4. Beschrijving van het systeem: de organisatie dient een complete en juiste beschrijving van het systeem van de serviceorganisatie vast te leggen in een beschrijving.
  5. Identificatie van interne beheersingsdoelstellingen: de organisatie dient de interne beheersingsdoelstellingen te specificeren op basis van een risicoanalyse van de serviceorganisatie.
  6. Bevindingen van de auditor over de Interne beheersingsmaatregelen: interne beheersingsmaatregelen moeten in werking zijn gesteld om in te spelen op de risico’s die zijn geïdentificeerd in de risico-inschatting en deze te mitigeren. De serviceorganisaties dienen interne beheersingsmaatregelen op te zetten, te implementeren en te onderhouden om een redelijke mate van zekerheid te verschaffen dat de interne beheersingsdoelstellingen worden behaald.

Type I en Type II ISAE 3402 rapportage

ISAE 3402 kent twee soorten rapportages: een type I rapportage en een type II rapportage.

ISAE 3402 Type I

In de type I rapportage zijn de interne beheersingsmaatregelen onderzocht die op een bepaald moment aanwezig zijn. De auditor toetst bij een ISAE 3402 type I audit of deze maatregelen toereikend zijn beschreven en ingevoerd (opzet en bestaan) op het moment van de audit.

ISAE 3402 Type II

Bij een type II audit wordt ook de werking van beheersmaatregelen onderzocht. Niet alleen of maatregelen aanwezig zijn (in opzet en bestaan), maar ook of maatregelen gedurende een periode gewerkt hebben.

Onze aanpak

Bij de IT-audit Company kunnen we u met alle typen ISAE3402 Assurance-rapportages helpen. Samen met u inventariseren we eerst welk type rapportage het beste bij uw dienstverlening aansluit en wat de scope is van de rapportage. Als serviceorganisatie voert u vervolgens een risicoanalyse uit en stelt u het beheersingsraamwerk (control framework) op. Vervolgens stellen we vast welke beheersmaatregelen in opzet en bestaan door uw organisatie worden uitgevoerd. Daarna toetsen we of de beheersmaatregelen gedurende de verslagperiode hebben gewerkt. Ten slotte komen we tot een onafhankelijk oordeel en stellen we het assurance rapport op dat onderdeel vormt van uw ISAE 3402 rapportage.

Meer informatie over ISAE 3402?

Voor meer informatie over ISAE 3402 of over de dienstverlening van de IT-audit company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.