Vandaag de dag kan je als dienstverlenende organisatie niet zonder erkenning door middel van externe certificering. Klanten verlangen aantoonbare kwaliteit.

Na ISO en SAS70 is het nu ook ISAE 3402 wat steeds vaker gevraagd wordt. Menig gebruikersorganisatie verlangt deze certificering. ISAE 3402 is één van de weinige certificeringen waarbij maatregelen van kwaliteit ook daadwerkelijk op werking worden getoetst. Het management van de organisatie moet ook nog eens schriftelijk verklaren dat het stelsel functioneert. Het zijn internationaal erkende certificeringen en bruikbaar over de hele wereld.

Bij een ISAE 3402 beoordeelt een onafhankelijke (RE-)auditor de kwaliteit van de uitbestede activiteiten van een service organisatie aan de gebruikersorganisatie en het daardoor ‘in-control’ zijn over deze activiteiten door de gebruikersorganisatie. De ISAE 3402 verklaring kan afgegeven worden in een Type I en Type II verklaring/ rapportage.

ISAE 3402 Type I – Opzet en Bestaan

Doordat een ISAE 3402 type I rapport betrekking heeft op één specifieke datum is een type I rapportage voor een gebruikersorganisatie en haar accountant beperkt bruikbaar omdat hieruit niet blijkt of maatregelen ook goed gewerkt hebben gedurende een periode. Een ander verschil tussen een type I en een type II rapportage is dat de service auditor zijn bevindingen niet verplicht hoeft op te nemen in de rapportage.

ISAE 3402 type II – Opzet en Werking

Een ISAE 3402 type II is, zoals vermeld, inhoudelijk hetzelfde rapport als een type I rapport. Hierbij is alleen in de verklaring van de RE nog opgenomen dat de beschreven beheersmaatregelen over een periode van minimaal zes maanden* effectief gewerkt hebben. Een gevolg hiervan is dat de controle is veel uitgebreider dan een type I audit; bijvoorbeeld beheersmaatregelen die iedere dag worden uitgevoerd, worden tussen de 15 tot 25 per jaar getoetst op hun effectieve werking.

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of een nieuw IT-systeem.

Welke aspecten zijn verplicht in de ISAE-rapportage?

  • Een beschrijving van het interne controle raamwerk;
  • Een bevestiging van de service organisatie;
  • Een service auditor assurance rapport.

Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de rapportage.

Vergelijking ISAE 3402 en ISO/ IEC 27001

  • Object van onderzoek
  • Kwaliteitsaspecten
  • Normen
  • Diepgang
  • Focus
  • Risicodekking
  • Risicomanagement

Wilt u meer weten over de ISAE 3402 of hoe u deze norm kunt integreren met uw bestaande ISO/ IEC 27001 certificering? Neem dan vrijblijvend contact met ons op. Wilt u binnenkort een van onze bijeenkomsten bijwonen? Ga dan naar de trainingsagenda.