1. IT Audit & Assurance
  2. ISAE3402 Audit

ISAE3402 Audit

De ISAE3402-verklaring is een internationale standaard die door nationale beroepsorganisaties, zoals de Nederlandse Beroepsorganisatie voor Accountants (NBA) en Nederlandse Organisatie Register EDP-auditors (NOREA), is opgenomen in hun body of standards. Hierdoor mogen Register accountants (RA) en Register EDP-auditors (RE) de verklaring afgeven.

ISAE3402 Betekenis

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditors (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De ISAE3402-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

De ISAE3402-rapport kent een uitgebreide scope en beperkt zich niet tot de beheersmaatregelen voor de financiële processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit kunnen worden opgenomen in een ISAE3402-rapport. De nadruk ligt met name op de beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen. De scope van het rapport komt tot stand middels de (verplichte) richtlijnen vanuit de beroepsvereniging NOREA en een risicoanalyse.

Tegenwoordig is het al dan niet kunnen overleggen van een geldende ISAE3402-verklaring in veel aanbestedingstrajecten een ‘knock-out’-criteria.

ISAE 3402 Implementatie

Avensus kan voorafgaand aan de ISAE3402 Audit ook ondersteunen in het tot stand komen van de risicoanalyse. De risicoanalyse is benodigd om de juiste scoping vast te stellen voor de ISAE3402-verklaring. Het betreft het hoofdstuk ‘Beschrijving van het systeem’ en ‘de te toetsen beheersingsmaatregelen’, alsook de overige verplichte onderdelen van het ISAE3402-rapport.

Daarnaast kunnen wij een Pre-audit voor jou verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre jouw organisatie voldoet aan de normen van een de ISAE3402-rapportage. In relatief beperkte tijd voeren we samen met jou een analyse uit op de tot stand gekomen ‘Beschrijving Dienstverlening’ en ‘de te toetsen beheersingsmaatregelen’. De uitkomsten van onze pre-audit vormen de basis voor het verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de gestelde norm’?

ISAE 3402 Kosten

De kosten voor de uitvoering van een ISAE3402 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen normen; de ‘Beschrijving van systeem’ (de beschrijving van de beheersingsomgeving) en ‘de te toetsen beheersingsmaatregelen’, alsook de gevraagde ondersteuning in het traject.

De kosten hebben betrekking op de volgende componenten:

  • Kosten voor het uitvoeren van scoping en de risicoanalyse, eventueel aangevuld met onze kosten voor ondersteuning.
  • Kosten voor het opstellen van de verplichte elementen van de rapportage. Wij kunnen hierin ondersteunen door middel van het leveren van templates.
  • Kosten voor implementatie van de implementatie van beheersdoelstellingen en –maatregelen, eventueel aangevuld met onze kosten voor ondersteuning.
  • Kosten voor het aanleveren van de aantoonbare bewijslast ten behoeve van de Audit.
  • Onze kosten voor het uitvoeren van de Audit en het opleveren van het rapport.

Wij gaan graag met je in gesprek zodat we in op jouw situatie gebaseerde offerte kunnen opstellen.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

SOC 2

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3000

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om u deskundig te ondersteunen. Avensus helpt u graag op een breed vakgebied om “in control” te blijven met betrekking tot uw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in uw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu