Welkom bij Protify.

We plaatsen conform cookiewetgeving ℹ️ en onze privacy policy alleen strikt-noodzakelijke functionele cookies. 😊

Voor bezoekersanalyse gebruiken we Google Analytics (ook cookieless). Mogen we voor een beter begrip ook enkele Google Analytics analytische cookies plaatsen?

Assurance rapport volgens

ISAE / SOC Uitbesteding van diensten

Besteedt jouw organisatie diensten uit of wordt jouw organisatie juist ingehuurd door derden om diensten voor hen uit te voeren? Dan weet je hoe moeilijk het is om grip te houden op uitbestede diensten. Het is immers niet altijd mogelijk om dat te controleren. En daarbij komt ook nog eens dat de wettelijke verantwoordelijkheid meestal bij de organisatie ligt die de dienst uitbesteed. Dus de behoefte aan inzicht en zekerheid is aanwezig!

Waar ISO-certificeringen aantonen dat processen bestaan, biedt een ISAE verklaring het bewijs dat ze ook effectief functioneren. Het is de verdiepingsslag voor organisaties die zekerheid willen over de betrouwbaarheid van hun uitbestede diensten.

Mathijs de Vaal
Managing Consultant

De voordelen van ISAE / SOC

Als er sprake is van een uitbestede dienst, biedt ISAE / SOC een aantal unieke voordelen:

Inzicht en zekerheid

Meer inzicht en zekerheid voor de organisatie die de dienst uitbesteedt, die wettelijk gezien meestal ook verantwoordelijk is voor de dienst.

Aantoonbaarheid

Organisaties die de dienst uitvoeren laten zien dat zij verwachtingen waarmaken en risico’s ten aanzien van IT security en privacy goed beheersen.

Proactief risicomanagement

Proactief risicomanagement door het implementeren van beheersmaatregelen.

Borgen bedrijfscontinuïteit

Het borgen van bedrijfscontinuïteit en informatiebeveiliging in de bedrijfsvoering.

Wettelijke verplichtingen

Aantoonbaar voldoen aan diverse wettelijke verplichtingen.

Waarvoor dient de ISAE verklaring?

Vaak stellen organisaties een Service Level Agreement (SLA) of andere contractuele afspraak op. Hierin leggen zij gedetailleerd vast waar de dienst en de organisatie die de dienst uitvoert aan moeten voldoen. Echter blijft het meestal onduidelijk of er daadwerkelijk aan deze eisen wordt voldaan en of de interne processen in orde zijn en worden beheerst.

De ISAE verklaring biedt hier uitkomst. Deze verklaring, ook wel assurance-rapport genoemd, kan aangevraagd worden door een organisatie die bedrijfsprocessen(diensten) uitbesteed aan een organisatie, wanneer deze diensten invloed hebben op de financiële jaarrekening van de opdrachtgever. Met een ISAE verklaring op uitbestede bedrijfsprocessen geeft een organisatie aan dat de interne processen worden beheerd en daardoor dus een kwalitatieve dienst afgeleverd wordt.

Waar staat ISAE voor?

ISAE staat voor International Standard for Assurance Engagements. Het is belangrijk om te realiseren dat ISAE geen norm is, je kunt er niet op gecertificeerd worden. Het is daarentegen wél een onafhankelijke verklaring die afgegeven wordt door een RA/AA accountant. Hiermee wordt gesteld dat de service-organisatie die de uitbestede de bedrijfsprocessen verleend daadwerkelijk ook beheerst.

Het is belangrijk om te realiseren dat ISAE geen norm is, je kunt er niet op gecertificeerd worden. Het is daarentegen wél een onafhankelijke verklaring die afgegeven wordt door een RA/AA accountant.

Eveline van Dijk
Consultant

ISAE 3000 en ISAE3402

ISAE 3000 en ISAE 3402 zijn beide internationale standaarden voor assurance opdrachten, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Ze bieden richtlijnen voor het uitvoeren van audits en het verstrekken van assurance rapporten, maar verschillen in hun toepassingsgebied en focus.

ISAE 3000 is een overkoepelende standaard die van toepassing is op assurance opdrachten die geen betrekking hebben op historische financiële informatie. Dit omvat bijvoorbeeld audits van interne controles, duurzaamheid en naleving van wet- en regelgeving. De standaard biedt flexibiliteit en vereist dat auditors professioneel oordeel gebruiken bij het bepalen van de scope en de te testen controles.

ISAE 3402 daarentegen is een specifieke standaard onder de paraplu van ISAE 3000 en richt zich uitsluitend op serviceorganisaties die diensten verlenen die van invloed zijn op de financiële verslaggeving van hun klanten. Het doel van ISAE 3402 is om assurance te bieden over de effectiviteit van interne controles die relevant zijn voor financiële rapportage. Deze standaard is met name relevant voor organisaties die uitbestede diensten leveren die van invloed zijn op de financiële processen van hun klanten.

Samenvattend biedt ISAE 3000 een breed kader voor assurance opdrachten buiten de traditionele financiële audits, terwijl ISAE 3402 specifiek gericht is op het beoordelen van interne controles bij serviceorganisaties met betrekking tot financiële rapportage. Beide standaarden zijn essentieel voor organisaties die transparantie en vertrouwen willen bieden aan hun stakeholders, maar ze verschillen in focus en toepassingsgebied.

De relatie tussen ISAE 3402 en SOC 1 rapportage

De ISAE 3402 rapportage wordt ook wel een SOC 1 rapportage genoemd. Dit staat voor Service Organization Control Report. SOC 1 betreft de Amerikaanse variant en gaat ook over de interne beheersing bij serviceorganisaties in relatie tot de financiële verslaggeving. Met andere worden, processen die van invloed zijn op de jaarrekening.

Voor een ISAE 3402 verklaring (assurance rapport) is echter geen scope of toepassingsgebied voorgeschreven. Dit in tegenstelling tot SOC 1 waar de toe te passen beheers doelstellingen vastliggen in een raamwerk.

Een ander verschil tussen ISAE 3402 en SOC 1 is dat voor een type II-rapport geen minimumperiode is voorgeschreven; de periode wordt door de auditor vastgesteld.

De relatie tussen ISAE 3000 en SOC 2 rapportage

ISAE 3000 en SOC 2 zijn beide assurance rapportages die organisaties helpen om vertrouwen te bieden aan klanten en stakeholders over hun interne beheersmaatregelen, met name op het gebied van informatiebeveiliging.

SOC 2 is ontwikkeld door het American Institute of Certified Public Accountants (AICPA) en richt zich specifiek op serviceorganisaties die diensten leveren waarbij gegevensbeveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy van cruciaal belang zijn. Beide rapportages kunnen zowel een Type I (momentopname) als een Type II (beoordeling over een periode) omvatten.

Het belangrijkste verschil tussen ISAE 3000 en SOC 2 ligt in het toegepaste normenkader.
ISAE 3000 biedt flexibiliteit in de keuze van het controls framework, waardoor organisaties bijvoorbeeld ISO 27001 of een eigen framework kunnen gebruiken. SOC 2 daarentegen maakt gebruik van de vaste Trust Services Criteria van het AICPA, wat zorgt voor een gestandaardiseerde aanpak.

In de praktijk wordt SOC 2 vaak uitgevoerd volgens de ISAE 3000-standaard, waardoor het rapport internationaal erkend wordt. Voor organisaties die diensten leveren met een focus op informatiebeveiliging en die internationaal opereren, kan een SOC 2-rapport op basis van
ISAE 3000 een geschikte keuze zijn om aan te tonen dat zij hun processen effectief beheersen en voldoen aan relevante normen.

Voor organisaties die diensten leveren met een focus op informatiebeveiliging en die internationaal opereren, kan een SOC 2-rapport op basis van ISAE 3000 een geschikte keuze zijn om aan te tonen dat zij hun processen effectief beheersen en voldoen aan relevante normen.

Tim Kemper
Consultant

De ISAE audit

In de praktijk wordt bij ISAE 3000 / SOC2 vaak gekeken naar maatregelen die voor veiligheid, betrouwbaarheid, integriteit en vertrouwelijkheid zorgen en dan met name voor de IT-infrastructuur van de organisatie. Bij ISEA 3402 ligt de nadruk up de financiële rapportage processen, primaire processen, informatiebeveiliging, risicomanagement en continuïteit. Hiervoor komen IT general Controls terug, omdat de betrouwbaarheid en integriteit van IT-systemen invloed hebben op de jaarrekening van de uitbestedende organisatie.

Verschil tussen een ISAE type I en type II verklaring

Er zijn twee soorten verklaringen die worden afgegeven, een type I en een type II verklaring. Met een ISAE type I verklaring beoordeelt de auditor de opzet en het bestaan van de beheersmaatregelen. Dit is een momentopname. Bij een type II audit wordt er naast de opzet en het bestaan ook gekeken naar de werking van de beheersmaatregelen, waarbij vaak naar de werking van de beheersmaatregelen gekeken wordt over een periode van minimaal 6 maanden. Over deze periode wordt ook de daadwerkelijke functie en werking van beheersmaatregelen getoetst. Hierdoor kan de afnemer van uitbestede diensten zien dat de organisatie daadwerkelijk in control is over zijn dienstverlening.

Kort gezegd beoordeelt de (RE/IT) auditor dus of de dienstverlening wordt beheerst. Deze toetsing heeft betrekking op de opzet en het bestaan van beheersmaatregelen (type I) en de daadwerkelijke implementatie over een minimale periode van zes maanden (type II). Op basis van de auditresultaten stelt de RA/AA accountant de verklaring op in een assurance rapport.

Een ISAE verklaring via Protify

Als consultants komen we vaak in aanraking met complexe processen en uitbestede diensten bij onze klanten. Daarom werken wij samen met onafhankelijke accountants die een ISAE verklaringen afgeven. Na de kick-off om elkaar te leren kennen stellen we samen een plan van aanpak op. Dit doen we op basis van het vastgestelde normen-/toetsingskader vast te stellen. Uiteraard helpen wij ook met het opzetten van het ISAE framework.

Daarna voeren we een risicoanalyse uit, passen de documentatie aan en stellen de benodigde beheersdoelstellingen en -maatregelen op. Jouw organisatie moet deze vervolgens implementeren en naleven.

Na implementatie verzamelen we de bewijsstukken om deze te analyseren en waar nodig te verduidelijken en/of verbeteren. Voor dossiervormingen wordt de bewijslast opgeslagen.
Hierna wordt de rapportage opgesteld en besproken, waarna de acties en taken ten aanzien van kwaliteitsbewaking door jullie worden ingericht.

Vervolgens komt bij een type I verklaring de auditor langs om de opzet en het bestaan te controleren. Met een type II audit moet er gedurende minimaal zes maanden bewijslast verzameld worden om aan te tonen dat de implementatie en werking van beheersmaatregelen goed wordt beheerst. Welke verklaring passend is bepalen we samen voor de start van het project. Dit hangt meestal af van de wensen van jouw organisatie.

Daarom kies je voor Protify

ISAE biedt een onafhankelijke zekerheid dat jouw organisatie de processen beheerst en risico’s adequaat beheert. Klanten krijgen zekerheid dat hun gegevens of processen bij jou in veilige handen zijn.

Voor het behalen van een ISAE verklaring moeten uitbestede processen goed gedocumenteerd, gestandaardiseerd en gecontroleerd zijn. Dit leidt vaak tot betere interne structuur en minder fouten.

Veel klanten, vooral in de financiële of zorgsector, eisen een ISAE verklaring voordat ze zaken doen met een leverancier. Het is een vorm van due diligence: klanten kunnen jouw ISAE verklaring gebruiken als bewijslast voor eigen audits en controles.

Met een ISAE-verklaring toon je aan dat je organisatie voldoet aan relevante eisen op het gebied van:

  • Continuïteit
  • Risicobeheersing
  • Informatiebeveiliging
  • Privacy (denk aan AVG)

Nu aan de slag

Door te beschikken over een ISAE verklaring, bewijs je de
betrouwbaarheid en veiligheid van de aan jouw organisatie uitbestede processen aan klanten en stakeholders. Meer weten over een ISAE verklaring?
Neem contact met ons op voor een vrijblijvende kennismaking.

Begin nu