088-2028700
info@auditvision.nl
Het goed functioneren van de serviceorganisatie is cruciaal voor de gebruikersorganisatie. Afspraken hierover worden vaak vastgelegd in een SLA, maar die geeft geen volledige zekerheid over de kwaliteit. Daarom vraagt de gebruikersorganisatie periodieke rapportages van een onafhankelijke auditor. Dit gebeurt via een ISAE 3402-verklaring, waarmee de serviceorganisatie aantoont in hoeverre zij voldoet aan de kwaliteitseisen. Deze informatie helpt de gebruikersorganisatie vast te stellen of zij in control is over de uitbestede activiteiten.
- Audits starten vanaf €5000 en we communiceren transparant over de benodigde uren.
- Meer dan 800 audits uitgevoerd voor onder andere Gemeente Apeldoorn en de Belastingdienst.
- 125+ ISAE 3402-audits uitgevoerd
AudITvision b.v. is een middelgrote, dynamische maar bovenal betrouwbare en professionele IT-audit organisatie. Wij onderscheiden ons in de markt door een persoonlijke benadering, vakmanschap en een goede prijs/kwaliteitverhouding. Wij kunnen onze klanten ondersteunen bij diverse beheersingsvraagstukken op het gebied van ICT.
Vraag direct een vrijblijvende offerte aan.
Of ontdek in ons whitepaper hoe u eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar u rekening mee moet houden.
OVER ISAE 3402
Wat is ISAE 3402?
Het continu goed functioneren van de serviceorganisatie is van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienst-verlening worden vaak vastgelegd in een Service Level Agreement (SLA) of vergelijkbaar contract. De SLA biedt echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Dit is de reden waarom de gebruikersorganisatie periodiek gerapporteerd wil worden over de kwaliteit van de uitbestede activiteiten door een onafhankelijke auditor. De rapportage over uitbestede activiteiten heet een ISAE 3402-verklaring. Met de ISAE 3402 verklaring toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie.
Deze informatie is van belang voor de gebruikers- organisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.
Voordelen van de ISAE 3402 verklaring
- De ISAE 3402 is een wereldwijde standaard, daardoor zijn de rapportage geaccepteerd, herkenbaar, en bruikbaar bij klanten en toezichthouders over de hele wereld.
- Op basis van onze ervaring leidt een ISAE 3402 tot professionalisering van uw organisatie. Uw werk-processen worden meer in detail uitgewerkt en op basis van de risico’s worden beheersmaatregelen vastgesteld en ingevoerd. Hierdoor bent u in staat om uw bedrijf beter aan te sturen.
- De ISAE 3402 leidt tot een vermindering van audits door (accountants van) uw klanten.
Gebruikers van de ISAE 3402
Organisaties besteden non-core processen uit aan serviceorganisaties. Deze serviceorganisatie kunnen SaaS-providers, pensioenuitvoerders of bijvoorbeeld datacenters zijn. De organisaties die processen uitbesteden blijven eindverantwoordelijk voor de interne beheersing. Hierdoor ontstaat de vraag hoe een serviceorganisatie processen beheerst; hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. ISAE 3402 geeft een antwoord op deze vragen.
Een voorbeeld: U heeft uw hosting naar een datacenter of de cloud uitbesteed, maar er kunnen nog veel meer partijen in een keten zitten. In deze keten ontstaan vragen over security, interne beheersing en compliance met wet- en regelgeving. De vragen van gebruikersorganisaties kunnen zijn: ‘Op welke wijze wordt mijn data opgeslagen?’, ‘Hoe wordt omgegaan met change management?’, ‘Voldoet de leverancier aan wet- en regelgeving op het gebied van privacy (AVG)?’ Naast deze vragen is vaak sprake van een wettelijke verplichtingen voor bedrijven en instellingen om processen die zij outsourcen te beheersen. ISAE 3402 geeft een antwoord op de risico’s en uitdagingen die gerelateerd zijn aan outsourcing door assurance te geven over het risicomanagement en de interne beheersing. Wettelijke verplichtingen ten aanzien van outsourcing zijn onder andere vastgelegd in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD).
Voorbeelden van uitbestede activiteiten
- – Hosting leveranciers
- – Cloud leveranciers
- – SaaS leveranciers
- – Datacenters
- – Managed service leveranciers
- – Internetproviders
- – Uitvoeringsinstanties voor medische claims
- – Uitvoeringsinstanties voor hypotheken en pensioenen
- – Payroll organisaties
- – App leveranciers
- – Webbased software leveranciers
- – Managed BI leveranciers
- – Callcenters
- – Vastgoedbeheer
Toenemende vraag naar ISAE 3402
Door de toegenomen specialisatie van IT-bedrijven, internationale concurrentie, druk op kosten- besparingen en technologische ontwikkelingen besteden steeds meer organisaties processen uit. Applicaties worden voornamelijk aangeboden als SaaS-oplossing die worden gehost in datacenters of in de cloud bij AWS, Google of Azure. Deze SaaS-oplossingen worden in de meeste gevallen aangeboden vanuit een gevirtualiseerde omgeving. De organisaties die outsourcen hebben hierbij vaak beperkt inzicht in de informatiebeveiliging van service organisaties. Daarnaast eisen accountants bij outsourcing van processen die betrekking hebben op de jaarrekening zekerheid over de betrouwbaarheid uitvoering van deze processen. Alle accountants in Nederland erkennen de ISAE 3402 standaard en kunnen hierop steunen bij hun jaarrekeningcontrole.
Wettelijke verplichting
Financiële instellingen zijn vanuit de wet (Art. 4.16 Wft) verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden. Dat betekent dat een financiële instelling zoals een verzekeraar of bank altijd van haar leveranciers een ISAE 3402, ISAE 3000 of SOC 2 rapport zal vereisen voordat de service organisatie diensten kan leveren.
Daarnaast worden ISAE 3402 rapporten in toenemende mate vereist door accountants van gebruikers-organisatie. De accountant die de jaarrekening van de gebruikersorganisatie controleert zal processen die uitbesteed zijn door de gebruikerorganisatie moeten controleren. Processen die uitgevoerd worden door een serviceorganisatie hebben vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie. Indien een serviceorganisatie een ISAE 3402 rapportage heeft dan is het niet noodzakelijk dat de accountant van de gebruikersorganisatie de processen nogmaals controleert, aangezien deze zijn gecontroleerd door een andere externe accountant/IT-auditor (de service auditor).
Onze werkwijze
Meedenken
Voor veel van onze klanten is ISAE 3402 nieuw en we denken dan ook graag met u mee. We hebben dit honderden keer gedaan en kunnen u goed begeleiden door het proces en zorgen dat u de juiste stappen zet.
Pragmatisch
Graag denken we met u mee en kijken wat passend is voor uw organisatie. Wij realiseren ons dat de omvang van de organisatie en de producten of diensten bepalend zijn voor de aanpak. We zorgen dat het precies passend is.
Betaalbaar
Wij hebben een efficiënte aanpak opgezet. U heeft geen externe hulp nodig, we begeleiden u door de verschillende stappen. Op basis van onze aanpak kunt u op de momenten dat het u past het bewijsmateriaal (laten) verzamelen en klaarzetten op een omgeving die we voor u aanmaken. Nadat alles gereed is gaan we het bewijs beoordelen en gaan we op basis daarvan het bewijsmateriaal verfijnen. Hierdoor zitten we niet dagen bij u op kantoor om uw medewerkers van het werk te houden. Dat scheelt zowel u als ons tijd en daarmee geld.
Ontvang onze gratis whitepaper
Vraag onze gratis ISAE 3402 whitepaper aan en ontdek hoe u eenvoudig kunt starten, wat het traject kost, hoelang het duurt en waar u rekening mee moet houden.
TYPEN RAPPORTEN
Twee typen ISAE 3402 rapporten
Type 1
Het type I-rapport betreft een momentopname. Een type 1 beschrijft het proces en de beheersings-maatregelen, zoals deze op een bepaald moment zijn geïmplementeerd. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Een type I-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.
Type 2
Het type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen, zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeen- stemming is met de beschrijving. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode gecontroleerd.
Welk type is van toepassing?
Welk type moet worden uitgevoerd wordt vaak bepaald door de uitbestedende organisatie. Zij stellen veelal in een overeenkomst welke type rapport zij willen ontvangen. Als de serviceorganisatie zelf de keuze heeft adviseren wij om bij een eerste ISAE 3402-traject te beginnen met een type I. Op basis daarvan kan worden vastgesteld welke beheersmaatregelen nog moeten worden ingericht of moeten worden verbeterd.
Nadat de verbetering is doorgevoerd kan na minimaal 6 maanden een type II worden uitgevoerd.
Kan ik een ISAE 3402 rapport combineren met een SOC 2 rapport?
De internationale bewaking van assurance-rapportages wordt uitgevoerd door de International Auditing and Assurance Board (IAASB). Volgens de richtlijnen kunt u een enkele audit laten uitvoeren dat zowel de SOC 2- als de ISAE 3402-normen omvat. Hoewel er een aanzienlijke overlap is tussen de twee rapportagevormen, sluiten ze niet perfect op elkaar aan.
We hanteren het volgende uitgangspunt voor de verschillende rapportages: Een ISAE 3402 wordt toegepast als er sprake is van outsourcing waarbij financiële informatie wordt verwerkt door de serviceorganisatie, bijvoorbeeld bij uitbestede salarisverwerking. SOC 2 is een internationale assurance-standaard voor security en privacy. ISAE 3000 is vergelijkbaar maakt geen gebruik van voorgeschreven criteria en is hierdoor qua reikwijdte vrij te definiëren.
1 | Kick off
We geven een presentatie over de aanpak en de vragen die beantwoord moeten worden. Tevens presenteren we een eerste voorstel die we in gedachten hebben op basis van onze ervaring en de gesprekken die met u zijn gevoerd.2 | Scoping
Wij inventariseren samen met u welke activiteiten onderdeel uitmaken van de scope van het ISAE 3402-rapport. De beschreven activiteit wordt vervolgens vastgelegd in een scopingsdocument dat kan worden gebruikt voor afstemming met de uitbestedende organisatie(s).3 | Afstemming
Samen met u en uw klant(en), bepalen wij of we op de goede weg zitten voor de ISAE 3402. Zeker als u een beperkt aantal gebruikersorganisaties heeft is dit raadzaam. Verder in het traject bespreken we ook de beheersdoelstellingen en -maatregelen.4 | Beschrijving
Op basis van het scopingsdocument is duidelijk welke processen in scope zijn van de audit. We ondersteunen u bij het opstellen van de sectie 3 van het auditrapport, waarin o.a. de organisatiestructuur en het personeelsbeleid staan beschreven. Hiervoor hebben we diverse sjablonen beschikbaar.5 | Risicoanalyse
Wij brengen de mate van impact en kans van interne en externe risico's in kaart. Op basis hiervan wordt per activiteit duidelijk met welke risico's rekening moet worden gehouden. Dat is de input voor de volgende stap in het traject.6 | Beheers-doelstellingen en -maatregelen
Op basis van de scoping en de risicoanalyse stellen we samen met u vast wat de beheersdoelstellingen en-maatregelen zijn per risico en activiteit. Op basis van deze doelstellingen en maatregelen maakt de auditor een werkplan.7 | Pre-audit
Op base van de beheersmaatregelen en de borging daarvan, wordt een pre-audit uitgevoerd. De serviceorganisatie dient vervolgens de eventuele bevindingen op te pakken, zodat daarna de daadwerkelijke audit kan worden uitgevoerd.8 | Audit
Audi Tvision voert de audit volgens de ISAE 3402-standaard uit. De activiteiten die worden onderzocht zijn gedefinieerd in het scopingsdocument. De criteria die worden onderzocht bestaan uit de vastgestelde beheersmaatregelen.9 | Rapportage
AudITvision stelt eerst een concept rapport op. Deze wordt met u inhoudelijk doorgesproken. Vervolgens wordt aan u een definitief rapport opgeleverd.
DE TIJDSLIJNEN
Hoe lang duurt het proces?
Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is en SOC 2 een flexibel framework is dat geen vaste regels biedt om te volgen. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal een keuze moeten maken welke van de vijf Trust Service beginselen wordt gekozen. Ook de interpretatie van Trust Service beginselen doet iedere organisatie op zijn eigen manier. Echter, op basis van onze ervaring met het begeleiden en auditen van honderden organisaties voor SOC1 en SOC 2-compliance, kunnen we grove uitgangspunten geven. Een SOC 2 Type 1-audit duurt doorgaans tussen één tot drie maanden, terwijl een SOC 2 Type 2-audit tussen de zes en 12 maanden duurt.
Hoe snel je door het proces heen komt, hangt af van veel factoren. Door inzicht te krijgen in de tijdlijn, een harde deadline, achteruit te werken en deadlines toe te wijzen voor elke kernactiviteit kunt u ervoor zorgen dat het proces op schema blijft. Hiernaast volgt een opzet voor een planning om te komen tot een SOC 2 Type 1 rapportage.
Het implementeren en documenteren van de controls is een van de meest intimiderende en tijdrovende onderdelen van SOC 2, dus het is belangrijk om het goed te doen. Helaas biedt AICPA heel weinig houvast over de controls die een bedrijf moet invoeren om te voldoen aan de criteria of hoe die controles in het verslag moeten worden beschreven.
Organisaties die een SOC 2-audit doorlopen, zullen snel ontdekken dat ze er alleen voor staan als het gaat om de juiste zaken te doen, te selecteren en te definiëren. Zonder een voorbeeld te volgen, is het moeilijk om de bal aan het rollen te krijgen. Dit is waar AudITvision kan helpen.
EEN AUDITORGANISATIE KIEZEN
Het kiezen van de juiste auditorganisatie
Hoe vaak krijg je de kans om de persoon te kiezen die je werk zal evalueren? In een SOC 2-audit is dat precies hoe het werkt. De keuze van de auditor is daarom ongelofelijk belangrijk, niet alleen omdat die persoon uiteindelijk beslist of hij of zij je een schoon rapport geeft, maar omdat deze een grote rol speelt om u te helpen bij het navigeren door een complex proces. Uiteindelijk zal niets een grotere impact hebben op uw auditervaring en resultaten dan de door u gekozen auditor. Deze tips kunnen u helpen bij het kiezen van de beste auditor voor uw organisatie.
Er is niet maar één juiste manier om het SOC 2-framework voor uw bedrijf te implementeren en u wilt samenwerken met een auditor die weet hoe hij de unieke punten van het bedrijf kan verwerken in een normenkader. Sommige auditors hebben een one-size-fits-all proces dat ze verwachten dat je volgt, terwijl anderen meer zullen samenwerken. Wij zijn meer van de samenwerking, maar hebben waar mogelijk ook kant en klare templates om te gebruiken.
U heeft een planning voor ogen en zeker als er afspraken zijn gemaakt met uw klanten moet die worden nagekomen. Zorg dat u deze planning afstemt met de auditor en stel vast of de auditororganisatie kan voldoen aan de planning. Ook aan uw organisatie zal de auditor eisen moeten stellen, zaken als de scope, uitwerking van de Points of Focus en het aan te leveren bewijsmateriaal moet zijn uitgewerkt door de auditor. Overtuig u ervan dat hij of zij daar een goed beeld bij heeft anders leidt dat tot frustraties tijdens het project. We noemen vaak projecten over waarbij de auditororganisatie aangeeft het proces te kennen en de planning te kunnen uitvoeren maar uiteindelijk ontbreekt toch vaak voldoende kennis bij auditororganisaties, ook bij de grote kantoren weten we dat regelmatig vaststellen.
De gemaakte afspraken zijn een goed startpunt. Belangrijker dan de contractuele verplichting is een open en collaboratieve aanpak van het auditproces. Flexibiliteit en wederzijds respect zal een veel grotere voorspeller zijn van het succes van het project dan het contract dat is afgesloten met de auditororganisatie.
Organisaties die aan hun eerste SOC 2 audit beginnen zien de auditor als ‘de baas’. Maar jij bent de baas. Stel de agenda op, daag ze uit en vraag de auditor om u halverwege te ontmoeten. Er is geen gelijk hebben. U moet het samen doen.
Als uw bedrijf heel klein is en je misschien de enige persoon bent die nodig is om te communiceren met de auditor dan maakt het niet veel uit. Maar veel bedrijven die een SOC 2-audit nodig hebben bestaan al snel uit meer dan 25 medewerkers. Dan is het interne team erg belangrijk voor de SOC 2. Als dat zo is, zorg er dan voor dat ze een kans hebben om met de auditor te praten om te zien hoe goed ze met elkaar overweg kunnen.
Val niet in de valkuil van het kiezen van uw SOC 2-auditor op basis van hoe gerespecteerd of bekend hun merk is. Een merk bestaat uit veel verschillende teams die veel verschillende functies vervullen, maar het enige team dat telt is degene die met u samenwerkt aan de audit.
Verkopers zijn er om u te vertellen wat u wilt horen, maar ze zijn niet verantwoordelijk voor het eindproduct en zij zijn niet de persoon met wie u omgaat nadat het contract is getekend. Maak er een vereiste van om rechtstreeks met het deliveryteam te praten en de teamleider.
Vraag altijd naar referenties en zorg ervoor dat ze afkomstig zijn van organisaties in een vergelijkbare grootte, branche en situatie als de jouwe.
ISAE 3402-AUDIT VERSNELLEN
5 Manieren om uw ISAE 3402-audit te versnellen
Benader het niet als een doe-het-zelf-project
Een SOC 2-audit is niet iets om alleen aan te pakken. Vooral als dit uw eerste keer is. Krijg expertise aan uw zijde. Van auditors tot het interne team die u de stap voor stap bijstaan.
Benader het met eerlijkheid
Wees eerlijk tegen uzelf en uw auditor over de tekortkomingen en je bent sneller door de audit heen. Dit geldt met name voor de beoordeling van lacunes: als je bij de gapanalyse de zwakke punten verdoezelt in je systemen en processen dan zal je struikelen tijdens de audit en zal het vertraging opleveren.
Zoek zo snel mogelijk een auditor
Wacht niet met het afronden van de voorbereidingen voor het zoeken naar een auditor. Het vinden van een auditor moet het eerste zijn dat u doet. De auditor is er om u te helpen erachter te komen wat de beste manier is het proces te doorlopen. Zodra u verbinding maakt met een vertrouwde auditor zal het proces veel soepeler verlopen.
Maak een planning
Stel al een deadline op indien mogelijk. Dan kun je achteruit werken om vast te stellen wat er allemaal moet gebeuren. Het helpt deelnemers ook om te begrijpen wat hun rol is in het proces.
Zorg voor buy-in van het management
Uw auditproces kan bestaan uit mensen buiten uw afdeling, zoals HR, IT, legal en finance. Ondersteuning vanuit het management is noodzakelijk om de snelheid te houden in het project.
KOSTEN
Wat kost een ISAE 3402-Audit?
Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een SOC 2-audit. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de honderden audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven. Voor het gemak gaan we ervan uit dat de betreffende klant alleen de beginsel informatiebeveiliging heeft gekozen. Dit is een verplicht onderdeel en tevens ook het meeste omvattende. We gaan bij het overzicht uit van een uurtarief van €150,-. Veel kantoren hanteren een veel hoger tarief en brengen nog allerlei andere kosten in rekening. Voor de eenvoud geven wij hieronder aan wat onze grove prijzen zijn die wij in rekening brengen bij klanten. Deze prijzen zijn inclusief alle stappen en dus niet alleen de audit. Voor de Type 1 zal veel tijd worden geïnvesteerd in begeleiding en bij de Type 2 is veel tijd nodig om al het bewijsmateriaal te beoordelen. Nadat een type 2 is uitgevoerd neemt de effort af in de jaren erna.
