ISAE 3402 type 2

Steeds vaker besteden organisaties non-core processen uit aan serviceorganisaties, zoals cloud providers, pensioenuitvoerders of datacenters. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je echter zelf (eind)verantwoordelijk voor zaken als de verwerking van persoonsgegevens, beveiliging van data, encryptie en toegang tot applicaties. Hierdoor ontstaat de vraag hoe een serviceorganisatie deze processen beheerst en hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. In het geval van de uitbesteding van processen die van invloed zijn op de jaarrekening, geeft ISAE 3402 type 2 antwoord op dit vraagstuk. 

ISAE 3402 type 2 - Financial Processes

Wat houdt ISAE 3402 type 2 in?

ISAE 3402 is een standaard voor de rapportage van uitbestede processen (SOC-rapporten). Een ISAE 3402 rapportage kan van het type 1 of type 2 zijn. Bij een type 2 audit wordt inhoudelijk getoetst op de inrichting en werking hiervan over een periode van minimaal zes maanden. Dat is niet het geval bij een type 1 audit. De ISAE 3402 type 2 verklaring is met name voor accountants en financiële instellingen zeer waardevol. Als klant kun je aan hen aantonen dat de uitbestede processen die van invloed zijn op de jaarrekening, worden beheerst. Een accountant kan hierop steunen bij de jaarrekeningcontrole. Hiermee bespaar je dus tijd en geld.

De scope, inhoud en (gekozen) normkader van het rapport zijn essentieel voor de waarde van de assurance. Het normkader dat Eshgro voor haar ISAE 3402 type 2 rapportage hanteert, is gebaseerd op de internationaal erkende Trust Services Principles and Criteria 2016 (TSPC 2016) van de American Institute of Certified Public Accountants (AICPA). Toetsing vindt plaats door een IT-auditor die in het register van NOREA (de beroepsorganisatie van IT-auditors) is ingeschreven. De IT-auditor geeft de assurance af over een voorafgaande periode.

✓  Standaard voor uitbesteding
✓  Toetsing door geregistreerde NOREA IT-auditors
✓  Essentieel voor accountants bij de jaarrekeningcontrole
  Inhoudelijke toetsing op inrichting en werking
✓  Veelal (wettelijk) verplicht voor accountants en financiële instellingen

"Als organisatie wil je natuurlijk zeker weten dat jouw financiële data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 type 2 wordt dat aangetoond."

Maik van de Graaf, Compliance Officer Eshgro

Lees meer

Top 5 veelgestelde vragen over ISAE 3402 type 2

1. Wat is het verschil tussen ISAE 3402 type 1 en 2?
Een type 1 rapport betreft een onderzoek naar de opzet en het bestaan van processen rondom informatiebeveiligingsbeleid en risicomanagement en de daaruit voorkomende maatregelen. Bij type 2 wordt ook de effectieve werking van deze maatregelen onderzocht gedurende een bepaalde periode. Met name de toetsing van de effectieve werking van de maatregelen over een voorafgaande periode is waar de waarde zich bevindt van de ISAE 3402 type 2 assurance. Zo kan worden aangetoond dat processen daadwerkelijk worden beheerst.

2. Kan het wettelijk verplicht zijn om ISAE 3402 te eisen aan serviceorganisaties?
In wetgeving kan zijn vastgelegd dat een uitbestedende organisatie (ook wel gebruikersorganisatie genoemd) in het geval van outsourcing kan aantonen dat processen worden beheerst. Dit betekent dat bijvoorbeeld een financiële instelling, zoals een verzekeraar of bank, van een leverancier altijd een Service Organisation Control (SOC) rapport zal vereisen, voordat deze leverancier aan de organisatie diensten mag leveren. De financiële instelling toont door middel van het ISAE 3402 type 2 rapport aan dat alle uitbestede processen die van invloed zijn op de jaarrekening worden beheerst.

3. Wat is de relatie tussen ISAE 3402 type 2 en accountants?
ISAE 3402 type 2 rapporten worden in toenemende mate vereist door accountants van uitbestedende organisaties. De accountant die de jaarrekening van deze gebruikersorganisatie controleert, zal de uitbesteedde processen moeten beoordelen wanneer deze van invloed zijn op (de integriteit van) de jaarrekening. Indien de serviceorganisatie (zoals een IT-leverancier) een ISAE 3402 type 2 rapportage heeft, is het niet noodzakelijk dat de accountant van de gebruikersorganisatie (user auditor) processen controleert, aangezien deze al gecontroleerd zijn door een andere externe accountant (service auditor).

4. Hoe is een ISAE 3402 rapportage opgebouwd?
De inhoud van een ISAE 3402 rapportage is in beginsel vormvrij. Een aantal onderdelen moet verplicht worden opgenomen, zoals een beschrijving van het risicomanagement framework, de criteria waarop de ISAE 3402 rapportage getoetst wordt en de maatregelen die waarborgen dat aan deze criteria is voldaan. Het is gebruikelijk om een algemeen deel op te nemen in de rapportage, met daarin een beschrijving van de organisatie en het risicomanagement framework. Naast het algemene deel wordt een control matrix opgenomen, een beschrijving van de beheersdoelstellingen en de beheersmaatregelen die deze doelstellingen realiseren. De beheersdoelstellingen moeten afgestemd zijn op de jaarrekening van de gebruikersorganisatie.

5. Wat heeft de voorkeur: ISO 27001 of ISAE 3402 type 2?
Belangrijk is dat het twee aparte onderwerpen betreft. Bij ISO 27001 gaat het om een certificering omtrent informatiebeveiliging. Bij ISAE 3402 type 2 gaat het om processen die worden uitbesteed en de beheersing daarvan, met inachtneming van risicomanagement. Risicomanagement is tevens de basis voor ISO 27001, dus in dat opzicht gaat men bij beide uit van een risicogerichte aanpak.

In het geval van ISO 27001 is de auditfrequentie lager, is de diepgang van de audit anders en is de norm gericht op de vaststelling van processen voor toekomstige werkzaamheden. Dit is onder ISAE 3402 type 2 anders. Bij ISAE 3402 kan de organisatie een eigen normenkader selecteren, wat beter aansluit bij de behoefte van de organisatie. Tevens is de auditfrequentie hoger (minimaal jaarlijks het volledige rapport in plaats van slechts surveillance audits over deelonderwerpen bij ISO 27001). Verder toetst ISAE 3402 type 2 terug in de tijd, waardoor met een hoge mate van zekerheid kan worden gesteld dat bepaalde processen daadwerkelijk zijn beheerst. Dit biedt voor organisaties meer zekerheid dan een ISO 27001 certificering die vooraf wordt afgegeven.

Neem contact op

Heb je een vraag over compliance of een van onze certificeringen of assurances? Wil je als klant of partner een certificaat opvragen? Neem dan contact op met onze Compliance Officer Maik van de Graaf via het contactformulier. Hij helpt je graag verder!

Compliance - Certificering - Assurance - ISO 27001 - ISAE 3402 type 2 - NEN 7510 - ISAE 3000A type 2 - ISO 9001

  • Velden met een * zijn verplicht
    Je gegevens zijn veilig. Door het formulier te verzenden, ga je akkoord met de privacyverklaring.