Wat is ISAE 3402?
Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditors (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De ISAE 3402-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.
Een ISAE 3402-rapport kent een uitgebreide scope en beperkt zich niet tot de beheersmaatregelen voor de financiële processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit kunnen worden opgenomen in een ISAE 3402-rapport. De nadruk ligt met name op de beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen. De scope van het rapport komt tot stand middels de (verplichte) richtlijnen vanuit de beroepsvereniging NOREA en een risicoanalyse.
Tegenwoordig is het al dan niet kunnen overleggen van een geldende ISAE 3402-verklaring in veel aanbestedingstrajecten een ‘knock-out’-criteria.
ISAE 3402 Implementatie
Avensus kan voorafgaand aan de ISAE3402 audit ook ondersteunen in het tot stand komen van de risicoanalyse. De risicoanalyse is benodigd om de juiste scoping vast te stellen voor de ISAE 3402-verklaring. Het betreft het hoofdstuk ‘Beschrijving van het systeem’ en ‘de te toetsen beheersingsmaatregelen’, alsook de overige verplichte onderdelen van het ISAE 3402-rapport.
Daarnaast kunnen wij een pre-audit verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre uw organisatie voldoet aan de normen van een de ISAE3402-rapportage. In relatief beperkte tijd voeren we samen met uw organisatie een analyse uit op de tot stand gekomen ‘Beschrijving Dienstverlening’ en ‘de te toetsen beheersingsmaatregelen’. De uitkomsten van onze pre-audit vormen de basis voor het verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de gestelde norm’?
ISAE 3402 Kosten
De kosten voor de uitvoering van een ISAE3402 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen normen; de ‘Beschrijving van systeem’ (de beschrijving van de beheersingsomgeving) en ‘de te toetsen beheersingsmaatregelen’, alsook de gevraagde ondersteuning in het traject.
Wij gaan graag met u in gesprek, zodat we een passend en vrijblijvend prijsvoorstel kunnen aanbieden.