ISO27001_top.gif
ISO27001_head.gif
ISO_27001_bottom.gif
risico
effectiviteit
privacy
security
ISO_27001.gif
ISO_27001_certificering.gif
ISO_27000_left.gif
ISO_9001.gif
ISO_9001.gif
ISO_27000_left.gif
high level structure
ISMS
continu verbeteren
risico analyse

ISAE 3402 en outsourcing

Outsourcing betekent vertrouwen. Vertrouwen dat dienstverleners risico's beheersen, informatie beveiligen en kwaliteit leveren. ISAE 3402 ondersteunt in dit proces door inzicht te geven in de interne beheersing en te waarborgen dat risico's beheerst worden. Dit is ook vereist vanuit wet- en regelgeving, zoals de Wet Financieel Toezicht (Wft), de AVG en de PensioenWet.

Wet- en regelgeving

Financiële instellingen worden verplicht aan te tonen dat risico's van toeleveranciers worden beheerst. Naast financiële instellingen wordt ISAE 3402 geëist door meer professionele organisaties. Alle organisaties die als leverancier diensten leveren in de financiële sector of andere professionele organisaties worden verplicht iedere jaar te rapporteren doormiddel van een Service Organization Report (ISAE 3402/ SOC1).

Financiële en IT processen

Alle financiële processen en IT processen moeten minimaal opgenomen worden. Diensten worden steeds vaker aangeboden als Cloud of SaaS diensten. Voor afnemers van deze diensten brengt dit onzekerheden met zich mee; "waar wordt mijn data opgeslagen?" "wie heeft toegang tot mijn data?" en "zijn er voldoende waarborgen voor de continuïteit?" en "heeft de leverancier voldoende waarborgen tegen fraude en datalekken genomen?". Afnemers van deze diensten willen daarom inzicht in de beveiliging van informatie en de beheersing van risico's.

General IT Controls

ISAE 3402 zorgt dat uw risicobeheersingsprocessen en -systeem afgestemd is op deze risico's en dat hierover transparant gerapporteerd wordt. De processen waarover dan gerapporteerd wordt zijn bijvoorbeeld SLA management, incident management, change management en back up processen, de controls in deze processen worden de General IT Controls of GITC's genoemd, de basis waarop de interne beheersing is opgebouwd.

Naast de General IT Controls in het netwerk en de systemen, zijn de application controls en organisatorische controls onderdeel van de totale interne beheersing van een organisatie. Deze vormen samen de totale scope van een ISAE 3402 rapportage.

ISAE 3000

ISAE 3000 is de standaard voor assurance over niet-financiële informatie. In de praktijk wordt vaker gevraagd naar een SOC2 rapportage. In deze SOC2 rapportage zijn dan uitsluitend de General IT Controls opgenomen die voldoen aan de Trust Service Principles van de AICPA. Deze Trust Service Principles zijn best practices vanuit de Verenigde Staten voor security, privacy, vertrouwelijkheid, beschikbaarheid en integriteit.

Privacy, TSP's en GDPR (AVG)

Naast de TSP's kunnen bijvoorbeeld ook de vereisten vanuit de Algemene Verordening Gegevensbescherming (AVG/ GDPR) dienen als toetsingskader voor een ISAE 3000 rapportage. Dat betekent dat ISAE 3000 kan dienen als middel om aan te tonen dat de organisatie voldoet aan vereisten voor security en internationale vereisten voor privacy.

Betere security, meer klanten

Door een Information Security Management Systeem (ISMS) te implementeren dat voldoet aan de vereisten van ISO27001 kan uw organisatie meer klanten krijgen en bestaande klanten behouden.

Bescherming tegen 'datalekken

En dat er op verantwoorde wijze omgegaan wordt met informatie van cliënten, waardoor financiële claims en boetes door ‘datalekken’ voorkomen. Hierdoor wordt de reputatie van de organisatie beschermt en verbeterd.

Erkend in de AVG

ISO27001 wordt door de Autoriteit Persoonsgegevens in de AVG (GDPR) erkend als certificering en ‘best practice’ voor de bescherming van privacy gevoelige gegevens.

General IT controls

Maatregelen die IT-processen beheersen worden General IT Controls genoemd; deze zijn globaal onder te verdelen in; Service Level (SLA) Management, Incident management, Problem management, Change management, Logical Access en Fysieke maatregelen. Een ISAE 3402 rapportage geeft ook inzicht in de IT-governance; risicomanagementstructuur en risicobeheersing.

Financiële instellingen

Het is vanuit de PensioenWet (PW) en Wet Financieel Toezicht (WFT) verplicht voor financiële instellingen om processen die uitbesteed zijn aantoonbaar te beheersen. Een ISAE 3402 rapportage ondersteunt in dit proces en wordt door toezichthoudende instellingen, zoals de Nederlandse bank en de Autoriteit Financiële Markten (AFM), erkend als professionele rapportage om vanuit wetgeving aan deze vereisten te voldoen.

Indien u diensten verleend aan financiële instellingen zullen deze altijd een dergelijk rapportage van u eisen. Ook accountants van uw klanten kunnen een SOC-rapportage van u eisen.

Accountants

Een professionele ISAE 3402 rapportage wordt door accountants gebruikt om inzicht te krijgen in de risico's van uitbestede processen. Doordat u aan de accountant van uw klant een ISAE 3402 rapportage ter beschikking stelt, is het niet langer noodzakelijk dat door de accountant nog afzonderlijke audits worden uitgevoerd op uw interne processen. U bespaart hiermee uw klanten kosten en uzelf tijd doordat u slechts eenmaal een audit hoeft uit te laten voeren.

De methodiek van SASconsult is afgestemd op maximaal effectiviteit (kwaliteit) en minimale verstoring van uw business. Het is het meest effectief om een interne projectmanager in uw organisatie te benoemen die met onze projectleider samenwerkt. Uiteraard zijn daar verschillende mogelijkheden voor, waarbij u meer of minder inzet van ons vraagt. Binnen onze projectaanpak van SASconsult worden globaal vijf fasen onderscheiden:

1. ISAE 3402 Impact analyse

Analyse bestaande processen

In fase 1 wordt de impact van de ISAE 3402 implementatie bepaald. Op basis van de impact en bepaalde reikwijdte wordt een detailplanning opgesteld waarin meet- en overlegmomenten worden opgenomen en worden afspraken gemaakt voor interviews.

Projectplanning

Tijdens deze fase worden ook interviews gehouden met medewerkers van uw organisatie om risico’s te identificeren, de impact en de bestaande werkwijze vast te stellen en wordt kennis

2. Inrichting risk management framework

Interview organisatie

Na de plannings- en analysefase worden tijdens de engineeringsfase de beheersmaatregelen van uw organisatie beschreven. Dit gebeurt op basis van de informatie verkregen uit de interviews volgens de ISAE 3402 vereisten.

Opstellen control matrix

Vervolgens wordt dit vastgelegd in een control matrix; een matrix met daarin opgenomen de beheersdoelstellingen en -maatregelen. Het control framework wordt op basis van het meeste actuele COSO framework (COSO 2013/2016) beschreven.

Beheersorganisatie

Naast het beschrijven van de maatregelen (controls) is ook de inrichting van de beheersorganisatie belangrijk. Het is namelijk van belang dat alle medewerkers ook doen wat beschreven is. Ook hierin biedt SASconsult ondersteuning; vanaf het meedenken over de interne communicatie, de inrichting van de projectorganisatie en uitvoering, tot het leveren van professionele risk managers als interim-oplossing.

3. Opstellen Service Organization Control Report

Algemeen deel rapportage

In fase 3 wordt de volledige ISAE 3402 rapportage opgesteld op basis van de individuele delen en worden onderdelen als de managementverklaring, geheimhoudingsverklaring- en informatie afkomstig van de externe accountant toegevoegd. Ook wordt het algemene deel van de rapportage opgesteld. In het algemene deel is een beschrijving van de processen, de organisatie en de General IT Controls opgenomen. Indien uw organisatie besluit om deze werkzaamheden zelf te verrichten dan levert SASconsult hiervoor een template aan.

Concept rapportage

Fase 3 resulteert in een concept ISAE 3402 rapportage. Deze zullen wij tot in detail met u bespreken. In fase 3 worden tevens door uw organisatie eventuele ontbrekende controles geïmplementeerd in de organisatie. De doorlooptijd van de eerste drie fasen zal tussen de 6 en 8 weken zijn, afhankelijk van de inzet en beschikbaarheid van medewerkers binnen uw organisatie.

4. Pre-audit

Doorlopen processen

Na de beschrijving zal door SASconsult in Fase 4 een pre-audit of ‘walkthrough’ uitgevoerd worden. Tijdens de pre-audit worden de beheersmaatregelen getest en worden mogelijk probleemgebieden geïdentificeerd voor de uiteindelijke audit. Gedurende deze fase zal uw organisatie de door SASconsult benodigde documentatie aanleveren.

Generale repetitie

Een pre-audit of readiness assessment is feitelijk een soort generale repetitie. Op het moment dat we een deficiëntie in de beheersorganisatie signaleren heeft dit geen effect op de uiteindelijke certificering. Indien tijdens de definitieve audit nog een deficiëntie wordt gesignaleerd dan is de service auditor verplicht om deze te rapporteren of zelfs een beperking in de assurance rapportage op te nemen.

5. Procesverbetering

Advies geïdentificeerde GAPS

Tijdens Fase 5 worden naar aanleiding van de pre-audit, verbeteringen in beheersmaatregelen en het managementsysteem doorgevoerd en worden oplossingen gerealiseerd voor de geïdentificeerde probleemgebieden.Hierbij draagt SASconsult oplossingen aan die in uw organisatie en het ISAE 3402 rapport doorgevoerd kunnen worden.

Benchmark 'best practice'

Binnen SASconsult zijn diverse 'best practices ontwikkeld op basis van onze (inter)nationale ervaring sinds 2004 en onze knowledge library. Deze 'best practice' is verwerkt in ControlReports. Vanuit ControlReports stellen wij vast of er nog gebieden zijn waar uw organisatie op procesgebied, risk management of interne beheersing zou kunnen verbeteren. Deze fase zal leiden tot de definitieve ISAE 3402 rapportage.

ISAE 3402 Audit

De doorlooptijd van fase 4 en 5 is tussen de 2 en 4 weken. Na de afronding van de implementatie wordt door Conclude Accountants de audit verricht. De doorlooptijd voor fase 7 is meestal 3 tot 4 weken.

Initiatiefnemer

SASconsult is de initiatiefnemer van het ISAE 3402 register. In het ISAE 3402 register zijn alle organisaties opgenomen die een ISAE 3402 verklaring hebben.

Duurzaamheid

Het ISAE 3402 register is de non-profit activiteit van SASconsult. Via deze weg willen wij als organisatie stimuleren dat bedrijven meer transparant zijn over risicomanagement en hun interne beheersing.

Vraag vanuit de markt

Corporate organisaties of financiële instellingen die diensten uitbesteden, zullen altijd van hun dienstverleners zekerheid willen over geleverde diensten. Dat betekent dat iedere dienstverlener of in ISAE 3402 terminologie, iedere service provider gevraagd kan worden om een ISAE 3402 certificering te hebben.

Voorbeelden

Voorbeelden van serviceproviders zijn; software leveranciers (SaaS) of managed service providers, IaaS, PaaS providers en datacenter leveranciers. Naast deze leveranciers van IT-diensten worden vermogensbeheerders, pensioenuitvoerders en vastgoedbeheerders al sinds de invoering van de beleidsregel uitbesteding gevraagd om een ISAE 3402 rapportage door institutionele beleggingsinstellingen, zoals pensioenfondsen en verzekeraars.

Inschatting

De kosten voor een ISAE 3402 implementatie zijn voor een belangrijk deel afhankelijk van de grootte van uw organisatie, de complexiteit van processen en de aanwezige interne kennis op het gebied van risico management en interne beheersing. Daarnaast is het verstandig om rekening te houden met de interne kosten voor projectmanagement. Wij hebben veel ervaring met organisaties van diverse omvang, van bedrijven met drie man tot grote corporates. Wij hebben eigenlijk voor al deze organisaties een betaalbare, op maat gemaakte oplossing.

ControlReports

intern gebruiken al onze consultants de applicatie ControlReports voor het opstellen van de rapportage en voor de beoordeling van het ingerichte risk management framework. Wij bieden sinds 2014 de mogelijkheid aan minder grote organisaties om met gebruikmaking van ControlReports de ISAE 3402 rapportage intern op te stellen. Dit zorgt voor een belangrijke besparing van externe kosten, het betekent wel dat intern capaciteit vrijgemaakt moet worden om de rapportage op te stellen. Daarnaast is ook vaak specifieke kennis noodzakelijk. Neem contact op met een van onze consultants om de mogelijkheden te bespreken.