1. IT Audit & Assurance
  2. ISAE 3402 Audit

ISAE 3402 Audit

Veel organisaties besteden een deel van hun (IT)activiteiten uit aan serviceorganisaties. De afnemers van deze serviceorganisaties willen tegenwoordig steeds vaker voldoende zekerheid (assurance) hebben dat de interne beheersing van de dienst van voldoende kwaliteit is. Serviceorganisaties kunnen zich onderscheiden door aantoonbaar te laten zien dat ze aan deze kwaliteitsnormen voldoen middels een assurance rapportage.

Onze geregistreerde IT-auditors mogen uw organisatie of uw serviceorganisatie van assurance voorzien. Deze assurance kan via meerdere richtlijnen worden voorzien, zoals de ISAE 3402, ISAE 3000 of SOC2.

Interesse in het aantoonbaar laten auditen van uw interne beheersing? Neem dan contact op met ons. Eén van onze IT-auditors gaat graag vrijblijvend met u in gesprek om de mogelijkheden door te spreken.

Wat is ISAE 3402?

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening in een Service Level Agreement (SLA) bieden echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie. Met het onafhankelijk laten toetsen door een Register EDP-auditors (RE) toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. De ISAE 3402-verklaring is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

Een ISAE 3402-rapport kent een uitgebreide scope en beperkt zich niet tot de beheersmaatregelen voor de financiële processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit kunnen worden opgenomen in een ISAE 3402-rapport. De nadruk ligt met name op de beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen. De scope van het rapport komt tot stand middels de (verplichte) richtlijnen vanuit de beroepsvereniging NOREA en een risicoanalyse.

Tegenwoordig is het al dan niet kunnen overleggen van een geldende ISAE 3402-verklaring in veel aanbestedingstrajecten een ‘knock-out’-criteria.

ISAE 3402 Implementatie

Avensus kan voorafgaand aan de ISAE3402 audit ook ondersteunen in het tot stand komen van de risicoanalyse. De risicoanalyse is benodigd om de juiste scoping vast te stellen voor de ISAE 3402-verklaring. Het betreft het hoofdstuk ‘Beschrijving van het systeem’ en ‘de te toetsen beheersingsmaatregelen’, alsook de overige verplichte onderdelen van het ISAE 3402-rapport.

Daarnaast kunnen wij een pre-audit verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre uw organisatie voldoet aan de normen van een de ISAE3402-rapportage. In relatief beperkte tijd voeren we samen met uw organisatie een analyse uit op de tot stand gekomen ‘Beschrijving Dienstverlening’ en ‘de te toetsen beheersingsmaatregelen’. De uitkomsten van onze pre-audit vormen de basis voor het verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de gestelde norm’?

ISAE 3402 Kosten

De kosten voor de uitvoering van een ISAE3402 onderzoek zijn sterk afhankelijk van de omvang van de rapportage, de hoeveelheid te toetsen normen; de ‘Beschrijving van systeem’ (de beschrijving van de beheersingsomgeving) en ‘de te toetsen beheersingsmaatregelen’, alsook de gevraagde ondersteuning in het traject.

Wij gaan graag met u in gesprek, zodat we een passend en vrijblijvend prijsvoorstel kunnen aanbieden.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

SOC 2

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3402

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu