ISAE 3402 en outsourcing

ISAE 3402 is de standaard voor outsourcing. De meeste organisaties besteden IT of andere activiteiten uit aan serviceorganisaties. Bij deze outsourcing is het van belang dat de serviceorganisatie, die ICT diensten aanbiedt, betrouwbaar is. Betrouwbaarheid kan worden onderverdeeld in verschillende aspecten; risico beheersing, informatiebeveiliging, privacy, anti-fraude maatregelen en continuïteit. De ISAE 3402 standaard biedt uitgebreide mogelijkheden om over deze aspecten te rapporteren én deze rapportage te laten controleren (certificeren) door een externe accountant.

ISAE 3402 guide

Betrouwbaar

Door een ISAE 3402 rapportage heeft uw klant (de gebruikersorganisatie) dus niet alleen inzicht in de betrouwbaarheid en daarmee ook kwaliteit van uw dienstverlening, maar heeft ook een externe bevestiging dat uw interne beheersing bestaat en effectief gewerkt heeft. Er zijn twee varianten van ISAE 3402 rapportages; een type I en een type II rapportage. Een type I richt zich op het bestaan van uw risico management en interne beheersing, een type II rapportage bevestigt ook de effectieve werking gedurende een bepaalde periode.

Voordelen

Internationaal erkend
Verbetering risico management
Minder audits door accountants
'In control' uitstraling naar klanten
Ondersteunt bij professionalisering

ISAE 3402 rapport

Voor een certificering heeft uw organisatie een nodig waarin het risicomanagement en de interne beheersing zijn beschreven. Deze rapportage wordt ook een Service Organization Control Report (SOC) genoemd, deze terminologie komt oorspronkelijk uit de Verenigde Staten (AICPA). Indien een SOC rapportage betrekking heeft op uitbestede activiteiten dan wordt deze rapportage een SOC1 (VS) of ISAE 3402 rapportage genoemd. Indien de rapportage betrekking heeft op de certificering volgens een bepaalde standaard (bijvoorbeeld Trust Service Principles) dan wordt de rapportage een SOC2 of een ISAE 3000 rapportage genoemd.

Voorbeeld organisatie

Een organisatie besteedt de werkplekautomatisering en het volledige netwerk (servers) uit aan een service provider; zowel de ERP software als alle overige financiële applicaties. Deze informatie is van cruciaal belang voor de organisatie, dus informatiebeveiliging is belangrijk. Financiële informatie wordt verwerkt op het netwerk, dus is ISAE 3402 van toepassing. Indien alleen werkplekken uitbesteed zouden zijn, dan zou ISAE 3000 voldoende zijn.

General IT Controls

Doordat door de service organisatie financiële informatie wordt verwerkt op het netwerk zijn de General IT controls (GITC's) van belang. In het SOC (ISAE 3402) rapport worden deze General IT Controls beschreven, er is een beschrijving van het risicomanagement opgenomen en het control framework wordt getoetst door een externe accountant. De organisatie die uitbesteedt heeft hierdoor meer zekerheid dat zijn informatie veilig is.

ISAE 3402 GITC

General IT Controls zijn; incident-/ problem management, SLA management, change management, data integrity en logical access.

Wat zijn de eisen aan het rapport?

De eisen staan opgenomen in de standaard die te downloaden is via de IFAC. Globaal bestaat de standaard uit de volgende onderdelen:

Componenten ISAE3402 standaard

Om ISAE 3402 ‘gecertificeerd’ te worden moet een organisatie een Service Organization Control Report (SOC) hebben. Een SOC is vormvrij, de standaard geeft geen specifieke voorschriften voor de inhoud. maar er zijn inmiddels diverse ‘practices’ ontstaan. Er zijn er ook vereisten aan rapportages vanuit bijvoorbeeld De Nederlandsche Bank, sectorinstituten of service- organisaties zelf. Een SOC rapport is meestal onderverdeeld in twee delen; een algemeen deel met een beschrijving van de organisatie, het risicomanagement- en interne beheersingssysteem en een ‘control matrix’. In de control matrix zijn de beheersdoelstellingen opgenomen en een beschrijving van de beheersmaatregelen die deze beheersdoelstellingen waarborgen. Het uiteindelijke toetsingskader voor de ISAE 3402 rapportage is de jaarrekening. Alle processen die een significant effect hebben op financiële processen moeten opgenomen worden. In het algemeen zijn dit alle operationele-, financiële processen en de General IT Controls.

ISAE 3402 type I of ISAE 3402 type II?

Er zijn twee soorten rapportages; een type I en een type II rapportage. Een type I rapportage geeft een beeld van de beheersorganisatie op één moment. Bij de audit door de accountant worden de beheersmaatregelen alleen getoetst op opzet en bestaan. Dit betekent dat de accountant het totale rapport (SOC) beoordeelt en de processen één keer doorloopt. Bij een type II wordt naast de opzet en het bestaan ook de effectieve werking van beheersmaatregelen door de accountant getoetst. Door de impact van ISAE 3402 op een organisatie wordt meestal gekozen voor eerst een type I rapport en een type II implementatie in de daaropvolgende periode.

Advies of ondersteuning bij de implementatie.

Vanuit uw organisatie kunt u het ISAE 3402 rapport zelf opstellen, deze is namelijk vormvrij. U dient te bedenken dat het professioneel beschrijven van processen en de beheersing een inspanning van uw organisatie vraagt. Wij hebben ervaren dat een ISAE 3402 rapport in samenwerking met SASconsult consultant eerder leidt tot een professioneel resultaat en uiteindelijk lagere kosten. Daarnaast is het verstandig om u door een externe partij over security- en interne beheersingsorganisatie te laten adviseren. Vanuit SASconsult hebben wij veel ervaring met de inrichting en verbetering van de interne beheersing en zien wij mogelijkheden voor het efficiënter of effectiever inrichten van processen.

Methodiek

De methodiek van SASconsult is primair resultaatgericht; effectief, professioneel en gericht op beheersing van kosten.

Implementatieproces ISAE3402

Analyse en inrichting

Tijdens de impactanalyse bepalen wij in overleg met u de reikwijdte van de rapportage; risico’s worden in kaart gebracht en GAP’s bepaald. Na deze fase wordt het interne beheersingssysteem en de beheersmaatregelen in de ISAE 3402 rapportage beschreven.

Pre-audit

Wanneer de volledige ISAE 3402 geschreven is wordt een ISAE 3402 pre-audit verricht; de readiness assessment; een soort generale repetitie.

Procesverbetering

Na de pre-audit worden herstelmaatregelen doorgevoerd en adviseren wij over de verbetering van uw interne beheersing en risicomanagement.

Audit
Nadat processen effectiever zijn ingericht, begeleiden wij het audit proces zodat dit efficiënt verloopt binnen de door u gestelde deadlines.

Toename Outsourcing

Organisaties besteden steeds meer processen uit. Dit wordt voor een belangrijk deel veroorzaakt door de continue en snelle ontwikkeling van informatietechnologie. Organisatie eisen inzicht in informatiebeveiliging en risico management voordat zij cruciale bedrijfsprocessen uitbesteden. Een ISAE 3402 rapportage geeft dit inzicht. Daarnaast eisen accountants van hun klanten dat uitbestede processen beheerst worden. Dat betekent dus dat 'het mes aan twee kanten snijdt'; klanten ervaren uw organisatie als betrouwbaar en er hoeven minder audits te worden uitgevoerd.

Financiële instellingen

Naast deze ontwikkelingen waren alle financiële instellingen vanaf 2004 verplicht om alle uitbestede processen te beheersen, dat betekent concreet: ‘inzicht hebben in de werking van het risico management van leveranciers. Is het risico management en de interne beheersing effectief ingericht bij de organisatie die de processen uitvoert? Zijn er voldoende maatregelen om fraude of handel met voorkennis te voorkomen? Zijn de processen ten aanzien van informatiebeveiliging voldoende ingericht?

Toezichthouders

Door het toegenomen risicobewustzijn wordt door toezichthouders vaker geëist dat de volledige bedrijfskolom beheerst wordt. Dat betekent de instelling zelf en ook toeleverende partijen, zoals de leverancier van een applicatie of bijvoorbeeld het datacenter waarin alle informatie wordt opgeslagen. Financiële instellingen zullen dus altijd een ISAE 3402 rapportage vragen van leveranciers. Instellingen kunnen de ISAE 3402 rapportage dus voor meerdere doeleinden toepassen. De ISAE 3402 standaard is vergelijkbaar met de SSAE16 standaard die vereist is vanuit Sarbanes Oxley (SOx 404), dus ook internationaal wordt deze standaard gevraagd of geëist.

Noodzakelijk bij de jaarrekeningcontrole

Wanneer een accountant een jaarrekening controleert van een (gebruikers)organisatie dan is het van belang dat er voldoende beveiligingsmaatregelen zijn ingericht bij de serviceorganisatie die de uitbestede processen voor de gebruikersorganisatie uitvoert. De beveiligingsmaatregelen bij de service organisatie worden ook wel de General IT Controls (GITC of ITGC) genoemd. Naast deze IT maatregelen zal een accountant ook altijd een certificering eisen als financiële processen door de leverancier verwerkt worden.

Minder externe audits

De service organisatie kan dan een ISAE 3402 rapportage verstrekken aan de gebruikersorganisatie om aan te tonen dat er voldoende informatiebeveiligingsmaatregelen zijn ingericht en dat risico's geïdentificeerd en gemanaged worden. Het is dan niet meer noodzakelijk dat de externe accountant nog een afzonderlijke audit uitvoert bij de service organisatie. De reikwijdte (scope) van de ISAE 3402 rapportage is vaak ‘breder’ dan alleen informatiebeveiliging (security), bijvoorbeeld service level management en of een deel van de verwerking van financiële gegevens is opgenomen in de reikwijdte van de rapportage, zoals bijvoorbeeld het geval zal zijn bij een pensioenuitvoerder of vastgoedbeheerder.

Wettelijke vereisten

Naast de vraag van accountants kan de vraag naar ISAE 3402 ook voortkomen uit wettelijke vereisten, zoals de Wet Financieel Toezicht (Wft) of de PensioenWet (PW). Als een financiële instelling processen uitbesteedt dan vereist deze wetgeving dat de uitbestede processen ‘beheerst’ worden; dat de instelling die uitbesteedt (gebruikersorganisatie) voldoende waarborgen heeft ingericht om fraude te voorkomen of de informatiebeveiliging te waarborgen. In een dergelijke situatie zal de financiële instelling een ISAE 3402 rapportage eisen van de serviceorganisatie. ISAE 3402 wordt door alle internationale accountants en toezichthoudende instellingen erkend omdat het een internationale standaard is die wordt uitgedragen door alle internationale beroepsorganisaties.

Toetsingskader

Een belangrijk verschil tussen ISO 27001 en ISAE 3402 is dat ISO 27001 een certificering is en geen toetsingskader kent. Voor een ISAE 3402 audit is de jaarrekening het uitgangspunt en het toetsingskader. Bij een ISO 27001 audit dient een organisatie te voldoen aan een aantal aspecten die zijn beschreven in de standaard. ISO 27001 is rule based.

ISO 27001 is 'rule based'

ISO 27001 kent voorschriften en richtlijnen voor informatiebeveiliging, ISO 27001 is gebaseerd op regels; 'rules based'. Dat betekent dat in theorie de informatiebeveiliging niet op orde zou kunnen zijn, terwijl wel voldaan wordt aan de eisen, omdat bijvoorbeeld een informatiebeveiligingsbeleid is vastgesteld, back recovery etc., etc. is ingericht. De centrale vraag voor ISO 27001 zou eigenlijk moeten zijn; wanneer is het ISMS kwalitatief goed. ISO 27001 geeft daar geen expliciet antwoord op.

Een organisatie moet bijvoorbeeld een informatiebeveiligingsbeleid hebben. In de ISO 27001 standaard is niet opgenomen waaraan dit beleid moet voldoen of wat het uitgangspunt is voor de beleid. Het risico management en de interne beheersing bij ISAE 3402 moet altijd toereikend zijn voor de verwerking van financiële processen en uiteindelijk de jaarrekening.

Een ander belangrijk aspect is dat de relatie tussen de risico’s die een onderneming loopt en de interne beheersing inzichtelijk worden vanuit een SOC rapportage. Bij een ISO 27001 certificering wordt alleen een certificaat afgegeven, hoe dit certificaat tot stand komt, wat de exacte reikwijdte is en hoe risico's beheerst worden is niet inzichtelijk. Een organisatie heeft alleen de zekerheid dat een aantal aspecten geïmplementeerd zijn. Ook de certificering van ISO 27001 is minder uitgebreid en intensief dan een ISAE 3402 audit.

Op het moment dat een organisatie over een ISAE 3402 assurance rapport beschikt, dan is het uiteindelijke normenkader (waardoor zekerheid kan worden ontleent aan de rapportage) de jaarrekening van de gebruikersorganisatie. Een accountant heeft geen concrete richtlijnen, maar wel een normenkader waarbinnen hij toetst. De controls van de user organisatie die effect hebben op de jaarrekening staan centraal. Daarom zijn voor ISAE 3402 gedetailleerde controledoelstellingen, zoals juistheid, tijdigheid en volledigheid, te bepalen. ISAE 3402 kent uitsluitend een ‘conceptueel’ normenkader; de jaarrekening van de gebruiker. Er worden in de praktijk wel normen gehanteerd, dit zijn dan eigenlijk altijd interne normen van een accountantskantoor.

Uitbesteding door service organisatie

Een serviceorganisatie zal mogelijk processen uitbesteden aan een andere organisatie. Een vermogensbeheerder kan bijvoorbeeld vastgoedbeheer uitbesteden of een Application Service Provider kan bijvoorbeeld processen uitbesteden aan een datacenter (back-up/ fysieke beveiligingsmaatregelen). Op het moment dat hier sprake van is, spreken we van een subservice organisatie.

Twee mogelijkheden

Een service organisatie heeft hierin twee keuzes; of de beheersmaatregelen bij de subservice organisatie worden integraal in het ISAE 3402 rapport van de service organisatie beschreven (de zogenaamde inclusive-benadering) of er wordt gebruik gemaakt van een carve-out. Een carve-out betekent dat er verwezen wordt naar het rapport van de subservice organisatie in het rapport van de service organisatie.

ICT maatregelen vereist vanuit de standaard

De relevante maatregelen ten aanzien informatiebeveiliging dienen opgenomen te worden in een ISAE 3402 rapportage. Dat betekent dat de General IT Controls; de algemene IT beheersmaatregelen, zoals back up/ uitwijk e.d. en de application controls (maatregelen in applicaties) beschreven dienen te worden in de ISAE 3402 rapportage.

Contact met SASconsult

ISAE 3402 ingewikkeld of complex? Wij vinden van niet en maken graag duidelijk waarom. Onze ervaring is dat veel organisaties hun interne beheersing al goed op orde hebben. Leest u vooral ook business cases op onze website, hierin beschrijven onze klanten waarom onze aanpak zo effectief is. Emile ten Hoor (06-26736001) legt u graag uit wat de toegevoegde waarde voor uw organisatie kan zijn.

Dutch