ISAE 3000 audit

Wat is ISAE 3000?

ISAE (International Standard for Assurance Engagements) is een audit standaard die zekerheid kan bieden bij uitbestede processen en/of diensten. Afnemers willen graag een onafhankelijk oordeel over de kwaliteit van hun dienstverleners, door inzicht te krijgen in de beheersing van uitbestede processen. Met een ISAE 3000 audit kunt u aan deze klantvraag voldoen. ISAE 3000 is een internationale standaard voor hoge kwaliteit assurance-opdrachten. De ISAE 3000 standaard is generiek toepasbaar bij een breed scala aan vraagstukken, zoals zekerheid bij de beheersing van persoonsgegevens (AVG) en de realisatie van gemaakte afspraken.

Wat is het verschil tussen een Type I of Type II audit?

Vaak wordt gesproken over een Type I of Type II rapportage. Maar wat houdt dat nou in? Laten we beginnen om te stellen dat beide veel overeenkomsten hebben en dat het verschil met name in de diepgang zit. Bij een Type I audit wordt de opzet van de interne beheersingsmaatregelen beoordeeld en het bestaan vastgesteld op een specifiek moment. Wanneer de auditor een type II audit uitvoert dan wordt ook de effectieve werking over een specifieke periode gecontroleerd. Hierbij is een periode van minimaal drie maanden gebruikelijk.

Wat is het verschil met een ISAE 3402 en SOC 2 audit?

De ISAE 3402 standaard wordt toegepast wanneer financiële processen zijn uitbesteed aan een service organisatie. Denk aan een salarisverwerker, backoffice dienstverlener of vermogens- of debiteurenbeheer. De ISAE 3402 assurance verklaring gaat in op de beheersing van de risico’s gerelateerd aan deze financiële processen. Hierbij zijn de beheersingsdoelstellingen en -maatregelen in dit kader zelf samen te stellen.

De SOC 2 / ISAE 3000 audit is niet gericht op alleen de financiële processen maar bijvoorbeeld ook op de ‘Trust Service Criteria’ zoals gedefinieerd door de American Institute of Certified Public Accountants (AICPA). Deze Trust Service Criteria zijn Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Hiermee is de SOC 2 / ISAE 3000 veel meer gericht op informatiebeveiliging en privacy en niet alleen op de financiële processen, zoals dit bij een ISAE 3402 het geval is.

Voor wie is een ISAE 3000 audit interessant?

De ISAE 3000 audit is vooral interessant voor bedrijven die zekerheid over niet-financiële informatie aan haar klanten of gebruikers wil geven. De dienstverlening van deze bedrijven is gericht op het opslaan, verwerken of onderhouden van klantdata van andere bedrijven of hun klanten. Het gaat dus niet om de branche waar u actief bent, maar vooral om specifieke kenmerken zoals een hoge mate van automatisering. Voorbeelden van deze bedrijven zijn cloud service providers, hosting partijen, datacenters en Software as a Service (SaaS) softwareplatformen die zekerheid willen geven bij security diensten, privacy beheersing (o.a. GDPR/AVG), ENSIA, DigiD, en meer.

Organisaties die onder de Wet Financieel Toezicht (‘WFT’) of de Pensioenwet vallen, moeten kunnen aantonen dat zij de (financiële) processen beheersen. Voor leveranciers die diensten leveren aan banken, notarissen, pensioenfondsen en verzekeraars is een Assurance opdracht op basis van ISAE 3000 dus relevant.

Een ISAE rapportage verkrijgen

Voor een ISAE 3000 rapportage heeft u normen nodig op basis waarvan getoetst kan worden. In de rapportage wordt het normenkader en de aanwezige interne beheersing beschreven. Aspecten die hier aan bod kunnen komen zijn de organisatie- en overlegstructuur, doelstellingen, risicomanagement, toezicht en beheersingsmaatregelen. Door deze rapportage heeft uw klant dus niet alleen inzicht in de betrouwbaarheid en de kwaliteit van uw dienstverlening. Ook heeft uw klant een externe bevestiging (TPM) dat uw interne beheersing bestaat en effectief werkt.

Wilt u goed van start met ISAE 3000? Dan helpen wij u graag bij:

• Opzetten van een raamwerk.
• Toetsen van het opgestelde raamwerk door een IT-auditor ingeschreven in het RE-register.