De ISAE 3000 standaard

ISAE 3000 is de internationale standaard voor security en overige niet-financiële informatie. ISAE 3402 wordt toegepast als er sprake is van outsourcing waarbij financiële informatie wordt verwerkt door de service organisatie. Indien dit niet het geval is, dan kan een ISAE 3000 worden gebruikt, bijvoorbeeld wanneer uitsluitend de General IT Controls (GITC's) in de reikwijdte van de SOC rapportage zijn opgenomen. In de ISAE 3000 standaard zijn geen voorschriften opgenomen voor de interne beheersing; bijvoorbeeld het COSO framework. Deze onderdelen zijn dan ook niet verplicht opgenomen in een ISAE 3000 rapportage. In de Verenigde Staten zijn de standaarden voor SOC 2 rapportages de Trust Services Principles en SSAE 16, hierin zijn specifieke vereisten opgenomen voor GITC's bij service organisaties. Indien een ISAE 3000 rapport volgens de Trust Service Principles is opgesteld, dan zijn deze onderdelen wel verplicht opgenomen.

ISAE 3000 reikwijdte

In de ISAE 3000 rapportages die door SASconsult zijn opgesteld is het risicobeheersingsysteem opgenomen wat betrekking heeft op informatiebeveiliging, beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy. Bijvoorbeeld een SaaS provider levert een CRM applicatie. De gebruikersorganisatie wil weten of er voldoende security maatregelen zijn ingericht op het gebied van human resources, het operating systeem en fysieke beveiliging. De SaaS provider kan dan een ISAE 3000 rapportage gebruiken om hierover te rapporteren. Er wordt wel vertrouwelijke informatie verwerkt, maar geen informatie die uiteindelijk in de jaarrekening wordt opgenomen. Het rapport zal voornamelijk betrekking hebben op de General IT Controls.

General IT Controls

De General IT Controls zijn de algemene maatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteitsplanning, beschikbaarheid en privacy. Voor de inrichting van de General IT Controls wordt veelal gebruik gemaakt van de indeling van het CobiT 5 framework. Binnen CobiT wordt naast security in het algemeen, IT operations, business continuity, incidentmanagement, change management en probleem-management onderscheiden. Indien de primaire scope de General IT Controls zijn, maar bijvoorbeeld in het datacenter financiële informatie wordt verwerkt, dan is ISAE 3402 van toepassing.

ISAE 3402

Indien de processen die geoutsourced zijn wel invloed hebben op de jaarrekening van de gebruikersorganisatie dan is ISAE 3402 van toepassing. Dit kan bijvoorbeeld het geval zijn indien een boekhoud applicatie wordt gehost of doordat processen in de productiesystemen uiteindelijk leiden tot een verkooptransactie in de jaarrekening. In dat geval zullen naast de General IT Controls ook de financiële controls zoals functiescheidingen beschreven moeten worden. Meer lezen over ISAE 3402.

Verschillende typen rapportages

ISAE 3000 kent net als ISAE 3402 twee soorten rapportages; een type I rapportage en een type II rapportage.

Type I

In de type I rapportage zijn de interne beheersingsmaatregelen opgenomen die op een bepaald moment aanwezig zijn. De accountant toetst bij een ISAE 3000 type I audit of deze maatregelen toereikend zijn voor het gestelde doel; de criteria die opgenomen zijn. Een type II rapport is identiek aan een ISAE 3000 type I rapportage, de audit is alleen uitgebreider.

Type II

Bij een type II audit wordt ook de effectieve werking van beheersmaatregelen getoetst. Dat betekent dat niet alleen getoetst wordt of maatregelen aanwezig zijn, maar ook of maatregelen gedurende een periode de doelstellingen zijn behaald. Dat betekent dat de auditor 2 a 3 keer per jaar deelwaarnemingen verricht om vast te stellen dat het systeem heeft gewerkt.

Een ISAE 3000 is uitgebreider en intensiever dan een ISO 27001 audit. Om die reden wordt ISAE 3000 gezien als een gedegen certificering voor security. ISAE 3000 is internationaal erkend en ook erkend door accountantsorganisatie. ISAE 3000 wordt door accountants van gebruikersorganisaties vaak geëist. Deze vraag komt mede voor een belangrijk deel voort uit technologische ontwikkeling. Organisaties steunen meer en meer op technologie en hebben vaak ook het bewaren van vertrouwelijke elektronische gegevens uitbesteed aan leveranciers. ISAE 3000 kent daarnaast een toetsingskader; de relevante norm voor de betreffende certificering.

Voordelen ISAE 3000
Internationaal erkend
Gedegen standaard voor informatiebeveiliging
Erkend door accountants
Ondersteunt de organisatie bij professionalisering

ISAE 3000 schrijft specifieke eisen voor de auditor voor. Deze eisen betreffen onder andere ethische vereisten, kwaliteitseisen voor de uitvoering van de audit en formele procedures die gevolg moeten worden door de auditor. Het toetsingskader voor ISAE 3000 wordt bepaald door de relevante criteria, zoals bijvoorbeeld de Web Trust Principles. Indien een ISAE 3000 rapportage geen betrekking heeft op security, maar bijvoorbeeld op social responsibility of specifieke wetgeving, dan is bijvoorbeeld SA8000 of de AIFM van toepassing. ISAE 3000 eist dat de criteria die van toepassing zijn beschreven worden en dat het management verklaart dat zij deze eisen heeft toegepast.

Implementatieproces ISAE3402

Toegevoegde waarde

De methode van SASconsult is gericht op minimale verstoring van de activiteiten van opdrachtgevers en het leveren van toegevoegde waarde. Daarnaast streven wij naar een zo effectief mogelijk aanpak (doelstellingen bereiken) tegen zo laag mogelijke kosten voor u (efficiëntie).

Fasering

Het proces van een ISAE 3000 implementatie is globaal onderverdeeld in zes fasen. In fase 1: de impact analyse en planning brengen wij relevante risico's in kaart, bepalen wij samen met u de reikwijdte van de rapportage en uw interne beheersingssysteem. Na de impactanalyse zullen wij medewerkers van uw organisatie interviewen en het informatiebeveiliging framework gaan beschrijven volgens de ISAE 3000 standaard en de laatste standaarden op het gebied van security (CobiT 5) en risicobeheersing (COSO 2013). Indien noodzakelijk implementeren wij in fase 3 beheersmaatregelen of maatregelen naar aanleiding van eventueel gesignaleerde deficiënties in uw organisatie.

Pre-audit

Nadat het framework is ingericht en beschreven in de rapportage voeren wij meestal een pre-audit of readiness assessment uit, daarbij stellen wij vast of de beschreven maatregelen ook daadwerkelijk geïmplementeerd zijn in de organisatie en of ze effectief werken. Door de uitvoering van een pre-audit voorkomen we dat er onvolkomenheden ontstaan tijdens de daadwerkelijk audit. Na deze pre-audit voeren wij herstelmaatregelen door in fase 5 van onze opdracht.

Proactief adviseren

Wij adviseren u over hoe u processen of beheersmaatregelen kunt aanpassen zodat u de uiteindelijke audit in fase 6 zonder bevindingen behaalt en uw organisatie ISAE 3000 gecertificeerd kan worden.

Naast Cobit 5 kan ook ISO 27001 een kader zijn voor de ISAE 3000 audit. Dit heeft tot gevolg dat ISO 27001 getoetst wordt volgens een stringenter kader dan de ISO standaard vereist, dit betekent dat er bijvoorbeeld meer steekproeven verricht moeten worden. Het is daarom raadzaam om ISO 27001 certificering te laten verrichten en geen ISAE 3000 audit volgens ISO 27001. Hier leest u meer wat wij op het gebied van ISO 27001 voor u kunnen betekenen.

Indien een organisatie rapporteert over duurzaamheid, dan zal deze rapportage geen financiële informatie bevatten. Als deze rapportage opgenomen is in de jaarrekening van de organisatie dan zal de organisatie deze jaarrekening waarschijnlijk laten controleren door een accountant, inclusief de duurzaamheidsrapportage. Op deze duurzaamheidsrapportage is dan ISAE 3000 van toepassing. In de ISAE 3000 richtlijn zijn de procedures opgenomen die accountant moet doorlopen voor zijn controle. Als toetsingskader kunnen vele social responsibiliy normen van toepassing zijn, zoals bijvoorbeeld SA 6000 of ISO 14001.

In het geval van uitbesteding waarbij uitsluitend IT gerelateerde processen van toepassing zijn en geen financiële informatie wordt verwerkt, dan is ISAE 3000 van toepassingen. ISAE 3000 is de overkoepelende standaard voor ISAE 3402, dus alle IT maatregelen zullen altijd, zowel bij een ISAE 3402 als ISAE 3000 audit gecontroleerd worden volgens de ISAE 3000 standaard. In het algemeen zijn de volgende processen binnen de scope van een dergelijke audit:

  • Securitybeleid
  • Servicelevel management
  • Incident management
  • Change management
  • Logische toegangsbeveiliging
  • General IT controls

Een organisatie is echter vrij in haar keuze voor het uiteindelijke toetsingskader.

Advisering

SASconsult kan u ondersteunen bij de inrichting van het informatiebeveiliging framework en het schrijven van het ISAE 3000 rapport. Een belangrijk onderdeel daarvan is het risicobeheersing framework. Wij ondersteunen uw organisatie bij het identificeren en in kaart brengen van risico’s op het gebied van strategie, operatie en financiën. Eventuele tekortkomingen (GAP’s) brengen wij in kaart en wij adviseren over mogelijke oplossingen.

Framework en rapportage

Een organisatie kan ISAE 3000 rapport ook zelf kunnen opstellen. Wij kunnen u dan adviseren over de inrichting van het rapport. Het is wel verstandig om te bedenken dat het rapport professioneel beschreven dient te worden en vooral ook door specialisten op het gebied van risicomanagement herkend moet worden. Het beste resultaat wordt in het algemeen bereikt indien wij gezamenlijk met uw organisatie het project aansturen en doorlopen. Voor meer informatie hierover kunt u contact opnemen met Koen van der Aa (030-2800888).

Dutch