Top 5 veelgestelde vragen over ISAE 3000A type 2
1. Wat is het verschil tussen ISAE 3000 type 1 en 2?
Een type 1 rapport betreft een onderzoek naar de opzet en het bestaan van processen rondom informatiebeveiligingsbeleid en risicomanagement en de daaruit voortkomende maatregelen. Bij type 2 wordt ook de effectieve werking van deze maatregelen onderzocht gedurende een bepaalde periode. In dat opzicht is ISAE 3000 niet anders dan de meer bekendere ISAE 3402.
2. Kan het wettelijk verplicht zijn om ISAE 3000 te eisen aan serviceorganisaties?
In wetgeving kan zijn vastgelegd dat een uitbestedende organisatie (ook wel gebruikersorganisatie genoemd) in het geval van outsourcing kan aantonen dat processen worden beheerst. Dit betekent dat bijvoorbeeld een organisatie altijd een Service Organisation Control (SOC) rapport zal vereisen van een leverancier, voordat deze haar diensten mag leveren. Denk hierbij aan het leveren van cloud computing diensten door een cloud provider. De uitbestedende organisatie toont door middel van het ISAE 3000A type 2 rapport aan, bijvoorbeeld aan toezichthouders of haar klanten, dat alle uitbestede processen door de cloud provider worden beheerst. Om aan te tonen dat financiële processen (die van invloed zijn op de jaarrekening) worden beheerst, moet ISAE 3402 worden gebruikt.
3. Waarom zou een klant die processen uitbesteed om een ISAE 3000A type 2 rapportage vragen?
Assurance rapportages, zoals ISAE 3000A type 2, worden in toenemende mate vereist door klanten van gebruikersorganisaties. Zij zullen de processen die deze uitbestedende organisatie verricht en die van invloed zijn op hun werkzaamheden moeten beoordelen. Indien de serviceorganisatie (zoals een IT-leverancier) een ISAE 3000A type 2 rapportage heeft, is het niet noodzakelijk dat klanten van de gebruikersorganisatie processen controleren, aangezien deze al gecontroleerd zijn door een externe partij.
4. Hoe is een ISAE 3000A type 2 rapportage opgebouwd?
Een ISAE 3000 en 3402 rapportage zijn identiek opgebouwd. De inhoud van een ISAE 3000A type 2 rapportage is in beginsel vormvrij. Een aantal onderdelen moet verplicht worden opgenomen, zoals een beschrijving van het risicomanagement framework, de criteria waarop de ISAE 3000 rapportage getoetst wordt en de maatregelen die waarborgen dat aan deze criteria is voldaan.
Het is gebruikelijk om een algemeen deel op te nemen in de rapportage, met daarin een beschrijving van de organisatie en het risicomanagement framework. Naast het algemene deel wordt een control matrix opgenomen, een beschrijving van de beheersdoelstellingen en de beheersmaatregelen die deze doelstellingen realiseren. De beheersdoelstellingen daarentegen kunnen bij een ISAE 3000 en ISAE 3402 wel inhoudelijk verschillen, waarbij ISAE 3402 specifiek is gericht op beheersdoelstellingen gerelateerd aan de beheersing van processen verbonden aan de jaarrekening.
5. Wat heeft de voorkeur: ISAE 3402 type 2 of ISAE 3000 type 2?
Vooropgesteld moet worden dat de scope van beide ISAE rapportages niet hetzelfde mag zijn. Bij ISAE 3402 type 2 gaat het erom aantoonbaar te maken dat sprake is van interne beheersing van processen die van invloed kunnen zijn op de jaarrekening. Bij ISAE 3000 type 2 gaat het om meer generieke processen die worden uitbesteed en de interne beheersing daarvan. Als vuistregel geldt dat wanneer een serviceorganisatie haar interne beheersing van risico’s verbonden aan uitbesteedde processen die van invloed zijn op de jaarrekening wil aantonen, ISAE 3402 type 2 de geschikte assurance is. Voor alle andere gevallen geldt dat ISAE 3000 type 2 passend is.