ISAE 3402/ SOC 1: bij uitbesteden van diensten met een financieel aspect
Een ISAE 3402 rapport toont aan dat processen die uitbesteed zijn, aantoonbaar ‘in control’ zijn. Dit betekent dat processen goed worden uitgevoerd, informatiebeveiliging toereikend is ingericht en dat er voldoende maatregelen zijn ingericht om fraude te voorkomen. ISAE 3402 wordt steeds meer gevraagd door financiële instellingen, beursgenoteerde organisaties en professionele bedrijven.
Wat is ISAE 3402?
Een managementsysteem voor informatiebeveiliging wordt vaak getoetst tijdens een ISO 27001 audit. Zodra er vragen ontstaan over de informatiebeveiliging van een uitbestede dienstverlening, dan wordt vaak een ISAE 3000 of ISAE 3402 rapport gevraagd. Deze laatste betreft diensten met een financieel aspect.
ISAE 3402/ SOC1 is erkend door financiële toezichthouders zoals de Nederlandsche Bank, maar ook accountants kunnen erop steunen bij hun toetsing van de jaarrekening.
De ISAE 3402-standaard is ontstaan doordat organisaties en toezichthouders meer behoefte hadden aan inzicht in en beheersing van outsourcing. Toezichthoudende instanties zoals De Nederlandsche Bank (DNB), de Autoriteit Financiële Markten (AFM), maar ook klanten stellen steeds vaker eisen ten aanzien van de rapportage over de (beheersing van) uitbestede processen.
Voor wie is ISAE 3402?
ISAE 3402/ SOC 1-rapporten werden voornamelijk gevraagd door financiële instellingen en grote, vaak beursgenoteerde bedrijven. Zij wilden de IT-, financiële of creditmanagement processen die zij hadden uitbesteed, onderwerpen aan controle. ISAE 3402 audits werden vooral uitgevoerd voor gebruikerspartijen als IT-dienstverleners, softwareleveranciers, hostingbedrijven, salarisverwerkers en pensioenfondsen. Outsourcing wordt steeds meer gebruikelijk voor meer bedrijven en zodoende is ISAE ook de standaard geworden voor outsourcing door kleinere organisaties.
ISAE 3402
Vooral financiële en IT-processen die je uitbesteedt, worden gecontroleerd door een ISAE 3402 audit. Hiermee toon je aan leveranciers dat ze kunnen vertrouwen op de informatiebeveiliging binnen je dienstverlening.
* ISAE 3402/ SOC 1 standaard: voor diensten met een financieel aspect.
ISAE 3000/ SOC 2 standaard: voor security en overige niet financiële informatie.
ISAE 3402 en SOC 1 zijn vergelijkbaar. Een rapport wordt in Europa ISAE 3402 genoemd en in de Verenigde Staten SOC 1 (Service Organisation Control).
Hoe werkt ISAE 3402?
De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. Dit is de leidraad voor het uitvoeren van de audit, bedoeld om aan te tonen dat interne beheersprocessen daadwerkelijk worden uitgevoerd zoals beschreven.
De onafhankelijke beoordeling van de auditor wordt verwerkt in een rapport. Er wordt altijd een rapport afgegeven, ook als er afwijkingen zijn geconstateerd. Het is aan de lezer van het rapport om te beoordelen of de beheersmaatregelen naar zijn of haar eigen maatstaf voldoende worden uitgevoerd.
Bij ISAE 3402/ SOC 1 worden twee soorten bedrijven onderscheiden: de gebruikersorganisatie (opdrachtgever van de serviceorganisatie) en de serviceorganisatie (de partij die uitbestede processen uitvoert). Na een ISAE 3402 audit ontvangt de serviceorganisatie het Service Organisatie Control-rapport (en dus geen certificaat), om te delen met de gebruikersorganisatie(s), dus klanten en hun accountants.
Een ISAE 3402-rapport kent twee typen. Type I geeft een beeld van een specifiek moment en toetst de interne beheersingssystemen en -maatregelen. Bij Type II wordt de werking van de maatregelen getoetst gedurende een vooraf aangegeven periode van minimaal zes maanden. Deze audit is veel uitgebreider. Vaak kiest een organisatie voor een Type II-rapportage, tenzij er op korte termijn gerapporteerd moet worden of vanwege commerciële redenen.
Alleen auditoren die zijn aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE-verklaring afgeven.
Waarom ISAE 3402?
Inzicht en zekerheid
Als je diensten uitbesteedt aan externe partijen, is het belangrijk dat alle informatie goed beveiligd is. Zeker wanneer het gaat om informatie met een financieel aspect. Helaas heb je niet altijd direct inzicht in de processen en kun je niet direct invloed uitoefenen op de werkzaamheden. Een ISAE 3402-rapport kan inzicht en zekerheid bieden over de juistheid van de procesvoering.
Wettelijke eisen
ISAE 3402/ SOC 1 wordt dan ook steeds meer gevraagd door financiële instellingen en grote bedrijven. In de Wet Financieel Toezicht (Wft) en de Pensioenwet zijn zelfs eisen vastgelegd over dit onderwerp. Wanneer jij diensten levert aan een organisatie die valt onder de Wft of de Pensioenwet, moet je dus kunnen aantonen dat je processen ‘in control zijn’.
Internationale erkenning
ISAE 3402/ SOC 1 is een internationaal erkende standaard. Met een ISAE 3402/ SOC 1 -rapport kun je aantonen – ook aan internationale partners - dat je je dienstverlening onder controle hebt en dat je de beheersmaatregelen naar behoren uitvoert. Bovendien krijg je met ISAE 3402 meer inzicht in de risico’s en kun je risicomanagement verbeteren. Zo maak je direct een professionaliseringsslag.
ISAE 3402 en ISO 27001
ISO 27001 en ISAE 3402/ SOC 1 zijn op veel vlakken vergelijkbaar. Ook ISO 27001 richt zich op informatiebeveiliging. Waar ISO 27001 meer een momentopname is, beschrijft ISAE 3402/ SOC 1 een hele periode. Door de toetsing van de effectieve werking van processen en de daarvoor te nemen steekproeven, is de audit intensiever en uitgebreider.
Je kunt een efficiëntieslag maken door de audits te combineren. Sommige aspecten uit de ISO 27001-norm komen namelijk terug in de ISAE 3402-standaard. Wanneer je ze combineert, hoef je maar één keer zaken toe te lichten. Dat scheelt tijd. Je hebt bij TÜV NORD één aanspreekpunt, die de planning voor beide trajecten zal verzorgen. Gemakkelijk en efficiënt. Met onze brede en langdurige ervaring op het gebied van informatieprocessen kunnen wij je een gedegen rapport overhandigen.
Waarom ISAE 3402 bij TÜV NORD?
Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.
Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.
Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.
Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.
Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.
Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.
TÜV NORD denkt met je mee
Genoeg redenen om samen te werken met TÜV NORD. Maar het draait niet om ons. Het belangrijkste is wat het beste past bij jou, jouw organisatie en processen. Daarin denken we graag mee. We delen onze kennis en zijn flexibel in het bedenken van oplossingen.
Neem direct contact op met onze specialist via 0499 - 339 528 of vul het contactformulier in.