Onlangs ontving Eshgro het ISAE 3402 type II assurance rapport over kalenderjaar 2018. De scope van deze assurance opdracht en rapportage omvat onze publieke en private cloud services, evenals de beheersorganisatie die daarvoor nodig is. Wij zijn trots op deze ruime scope. Maar wat is de waarde hiervan voor jouw organisatie als je IT processen aan ons uitbesteed? We leggen het je graag uit door je mee te nemen in de wereld van assurance opdrachten via dit artikel.
Assurance opdracht
Dankzij de transitie naar de cloud verschuift de rol van een IT dienstverlener steeds vaker naar een serviceprovider die bedrijven ontzorgt op het gebied van IT en serverbeheer. Wanneer je als organisatie processen uitbesteed aan een andere partij, blijf je echter zelf (eind)verantwoordelijk. Denk hierbij aan de verwerking van persoonsgegevens, beveiliging van data, encryptie en rechtmatige toegang tot applicaties. Daarom is het van belang dat een serviceprovider kan aantonen dat de door jou uitbestede processen intern bewaakt worden. Dat kan bijvoorbeeld door het laten uitvoeren van een assurance opdracht. Hiermee wordt met redelijke mate of beperkte mate van zekerheid aangegeven of die interne beheersing in orde is.
ISAE 3402
Een van de mogelijkheden is de uitvoering van een ISAE 3402 assurance opdracht. Dit leidt tot een rapportage over de interne beheersmaatregelen van een serviceprovider. Alle IT processen die je uitbesteed en die van invloed kunnen zijn op financiële processen, zoals de implementatie en het beheer van een boekhoud- of CRM applicatie, vallen onder de scope van ISAE 3402.
Steeds vaker eisen accountants een ISAE 3402 rapportage van organisaties die hun IT processen uitbesteden aan een serviceprovider. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je natuurlijk zeker weten dat jouw financiële data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.
Type I of type II?
ISAE 3402 kent twee varianten: type I en type II. Een ISAE 3402 type I rapportage heeft betrekking op een specifieke datum waarop door de auditor is vastgesteld of het risicobeheersingsmodel en de beheersmaatregelen het normenkader afdekken. Dit wordt aangeduid als de ‘opzet’. De auditor doorloopt deze processen, wat ook wel het uitvoeren van ‘lijncontroles’ wordt genoemd.
Of de beheersmaatregelen ook effectief werken, wordt bij een ISAE 3402 type I echter niet gecontroleerd. Bij een ISAE 3402 type II assurance opdracht gebeurt dat wel. De periode waarover de toetsing van de rapportage plaatsvindt, moet hierbij minimaal 6 maanden bedragen. Toetsing vindt altijd plaats over een verlopen periode, dus ‘terug in de tijd’. Anders kan de effectieve werking van de maatregelen niet worden aangetoond. Over een toekomstig proces kun je immers nog geen uitspraken doen.
Met een ISAE 3402 type II assurance rapport laat de serviceprovider je, in tegenstelling tot type I, dus zien dat de genomen maatregelen ook daadwerkelijk effectief werken. Het biedt je meer zekerheid over de diensten die je uitbesteed. Daarom zou je bij het outsourcen van processen vooral moeten kijken of je serviceprovider een type II rapportage heeft in plaats van een type I.
Zekerheid voor klanten en partners
Eshgro hecht veel waarde aan de beschikbaarheid, integriteit en veiligheid van data. Daarom beschikken wij over een ISAE 3402 type II rapportage over een periode van 12 maanden. Daarbij hanteren wij Trust Services Principles and Criteria 2016. De ‘General IT controls’ uit dit normenkader vormen de algemene maatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking van uitbestedende organisaties te kunnen waarborgen op het gebied van beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. We zijn trots op dit gehanteerde normenkader in combinatie met onze ruime scope, waardoor wij onze klanten en partners de zekerheid kunnen bieden dat door hen uitbestede IT processen bij Eshgro intern worden beheerst.
Wees kritisch
Ben je van plan om processen of diensten uit te besteden aan een serviceorganisatie? Kijk dan kritisch naar hoe zij dit voor je regelen. Bezit de organisatie bijvoorbeeld certificeringen of een assurance rapport om de interne beheersing van processen aan te tonen? Wat is de scope van die rapportage(s) en vallen de door jou uitbestede diensten daaronder? Welk control framework is gebruikt en sluit dat aan bij de behoeftes van jouw organisatie? Door deze vragen te stellen, heb je de zekerheid dat de door jou uitbestede processen door de serviceorganisatie intern bewaakt worden.
Wil je meer weten over ISAE 3402 of onze andere certificeringen en assurances? Neem dan gerust contact op. Compliance Officer Maik vertelt je graag meer.
