ISAE 3000 audit

Zekerheid over de veiligheid van uw dienstverlening

Veel bedrijven besteden diverse (financiële) activiteiten uit aan dienstverleners of service organisaties. Denk bijvoorbeeld aan de loonverwerking, IT (cloudoplossingen, infrastructuur etc.), vermogensbeheer, backoffice en nog veel meer. Een verstoring van deze processen kan een belangrijke invloed hebben op de continuïteit van hun bedrijfsvoering én die van klanten. Bedrijven willen daarom zekerheid in de vorm van ‘assurance’ over belangrijke aspecten, zoals risico management, de interne beheersing of bijvoorbeeld data integriteit. De IT-auditors van Moore DRV helpen u die zekerheid aan klanten te geven met behulp van een onafhankelijke ISAE 3000 Audit.

Wat is ISAE 3000?

ISAE (International Standard for Assurance Engagements) is een audit standaard die zekerheid kan bieden bij uitbestede processen en/of diensten. Afnemers willen graag een onafhankelijk oordeel over de kwaliteit van hun dienstverleners, door inzicht te krijgen in de beheersing van uitbestede processen. Met een ISAE 3000 audit kunt u aan deze klantvraag voldoen. ISAE 3000 is een internationale standaard voor hoge kwaliteit assurance-opdrachten. De ISAE 3000 standaard is generiek toepasbaar bij een breed scala aan vraagstukken, zoals zekerheid bij de beheersing van persoonsgegevens (AVG) en de realisatie van gemaakte afspraken.

 

Wat is het verschil tussen een Type I of Type II audit?

Vaak wordt gesproken over een Type I of Type II rapportage. Maar wat houdt dat nou in? Laten we beginnen om te stellen dat beide veel overeenkomsten hebben en dat het verschil met name in de diepgang zit. Bij een Type I audit wordt de opzet van de interne beheersingsmaatregelen beoordeeld en het bestaan vastgesteld op een specifiek moment. Wanneer de auditor een type II audit uitvoert dan wordt ook de effectieve werking over een specifieke periode gecontroleerd. Hierbij is een periode van minimaal drie maanden gebruikelijk.

Voordelen van een ISAE 3000 audit

  • Aantoonbare beheersing van risico’s en kwaliteitsnormen.
  • Zekerheid voor afnemers, leveranciers en eindgebruikers en dus commercieel voordeel.
  • Nationale en internationale erkenning van regelgevende autoriteiten.
  • Externe toetsing van de eigen beheersing.
  • Meer grip op de interne processen.

Wat is het verschil met een ISAE 3402 en SOC 2 audit?

De ISAE 3402 standaard wordt toegepast wanneer financiële processen zijn uitbesteed aan een service organisatie. Denk aan een salarisverwerker, backoffice dienstverlener of vermogens- of debiteurenbeheer. De ISAE 3402 assurance verklaring gaat in op de beheersing van de risico’s gerelateerd aan deze financiële processen. Hierbij zijn de beheersingsdoelstellingen en -maatregelen in dit kader zelf samen te stellen.

De SOC 2 / ISAE 3000 audit is niet gericht op alleen de financiële processen maar bijvoorbeeld ook op de ‘Trust Service Criteria’ zoals gedefinieerd door de American Institute of Certified Public Accountants (AICPA). Deze Trust Service Criteria zijn Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Hiermee is de SOC 2 / ISAE 3000 veel meer gericht op informatiebeveiliging en privacy en niet alleen op de financiële processen, zoals dit bij een ISAE 3402 het geval is.

 

Voor wie is een ISAE 3000 audit interessant?

De ISAE 3000 audit is vooral interessant voor bedrijven die zekerheid over niet-financiële informatie aan haar klanten of gebruikers wil geven. De dienstverlening van deze bedrijven is gericht op het opslaan, verwerken of onderhouden van klantdata van andere bedrijven of hun klanten. Het gaat dus niet om de branche waar u actief bent, maar vooral om specifieke kenmerken zoals een hoge mate van automatisering. Voorbeelden van deze bedrijven zijn cloud service providers, hosting partijen, datacenters en Software as a Service (SaaS) softwareplatformen die zekerheid willen geven bij security diensten, privacy beheersing (o.a. GDPR/AVG), ENSIA, DigiD, en meer.

Organisaties die onder de Wet Financieel Toezicht (‘WFT’) of de Pensioenwet vallen, moeten kunnen aantonen dat zij de (financiële) processen beheersen. Voor leveranciers die diensten leveren aan banken, notarissen, pensioenfondsen en verzekeraars is een Assurance opdracht op basis van ISAE 3000 dus relevant.

 

Een ISAE rapportage verkrijgen

Voor een ISAE 3000 rapportage heeft u normen nodig op basis waarvan getoetst kan worden. In de rapportage wordt het normenkader en de aanwezige interne beheersing beschreven. Aspecten die hier aan bod kunnen komen zijn de organisatie- en overlegstructuur, doelstellingen, risicomanagement, toezicht en beheersingsmaatregelen. Door deze rapportage heeft uw klant dus niet alleen inzicht in de betrouwbaarheid en de kwaliteit van uw dienstverlening. Ook heeft uw klant een externe bevestiging (TPM) dat uw interne beheersing bestaat en effectief werkt.

Wilt u goed van start met ISAE 3000? Dan helpen wij u graag bij:

  • Opzetten van een raamwerk.
  • Toetsen van het opgestelde raamwerk door een IT-auditor ingeschreven in het RE-register.

Meer weten over ISAE 300 Audit?

Wilt u meer weten over de waarde die Moore DRV voor u kan toevoegen op het gebied van ISAE 3000 rapportage? Laat hier uw contactgegevens achter en wij nemen vrijblijvend contact met u op.

Max Platvoet MSc RA RE

Accountant en IT auditor

Contactformulier

  •  *
  •  *
  •  *
  •  *
  •  *