1. IT Audit & Assurance
  2. ISAE 3402 Audit
  3. Voorbeeld ISAE 3402-rapport

Voorbeeld ISAE 3402-rapport

In feite is de ISAE 3402 standaard ‘leeg’. De standaard geeft een kader om eenduidig verantwoording over het ontwerp, de implementatie en het naleven van beheersingsdoelstellingen te kunnen afleggen. De serviceorganisatie bepaalt de scope en beheersingsdoelstellingen van het rapport. Dit kan in overleg met de gebruiker, maar dat hoeft niet.

De standaard geeft aan wat de serviceorganisatie en de auditor in het Service Organisatie Control-rapport moeten opnemen en geeft de kaders voor de werkzaamheden van de auditor. Het beschikbaar zijn van een Service Organisatie Control-rapport is geen garantie dat aan de beheersingsdoelstellingen is voldaan. De Assurance rapport kan constateringen van ernstige tekortkomingen bevatten met, in de meest negatieve situatie, een afkeurend oordeel van de service auditor.

Het Service Organisatie Control-rapport geeft zekerheid en inzicht. Het is aan de lezer om op basis van de beschrijving en de zekerheid in het auditorsrapport vast te stellen in hoeverre de beheersing van de uitbestede processen aan zijn kwaliteitseisen voldoet.

Een Service Organisatie Control-rapport is geen kwaliteitskeurmerk, maar een serviceorganisatie die een Service Organisatie Control-rapport op kan stellen moet een stabiel en uitgewerkt systeem van interne beheersing hebben. Als dit niet de situatie is, dan is het onmogelijk om een dergelijk rapport op te stellen. De aanwezigheid van een ISAE 3402-rapport geeft een indicatie van de volwassenheid van de administratieve organisatie van de serviceorganisatie.

Serviceorganisaties die een Service Organisatie Control-rapport beschikbaar stellen aan hun klanten hebben een streepje voor op hun concurrenten die dit niet kunnen. Zij leveren naast de service ook inzicht in de kwaliteitsmaatregelen met betrekking tot de service.

De standaard definieert wat ten minste in het rapport moet zijn opgenomen, maar bevat geen voorschriften voor de lay-out. Ook de oude SAS 70-standaard kende geen voorgeschreven formaat; echter de door het AICPA uitgegeven guidance werkte vanuit een rapport dat was opgebouwd uit vier secties. Een lay-out die zo goed als door alle serviceorganisaties gevolgd werd. In lijn met de opbouw van de oude SAS 70-rapporten hebben de ISAE 3402-rapporten in de praktijk een gelijke opbouw gekregen. Wordt hierbij rekening gehouden met de invoeging van de managementbewering, dan is de indeling van een ISAE 3402-rapport als volgt:

  1. Rapport van de auditor.
  2. Bewering van het management.
  3. Beschrijving van het systeem.
  4. Beheersingsdoelstellingen en -maatregelen aangevuld met de informatie verstrekt door de auditor.
  5. Overige informatie.

Sectie 1: Rapport van de auditor

Het auditorsrapport is de Assurance rapport die de auditor aan het Service Organisatie Control-rapport toevoegt. Zoals reeds eerder vermeld: de systeembeschrijving in het Service Organisatie Control-rapport is de verantwoordelijkheid van de serviceorganisatie, de auditor is verantwoordelijk voor de review daarvan en voor de Assurance rapport van zijn bevindingen.

De standaard laat weinig ruimte om deze te wijzigen, anders dan het toevoegen van de bevindingen uit de audit. Ook hier geldt, als het formaat uit de standaard niet wordt gevolgd, is er geen sprake meer van een ISAE 3402-assurancerapport. Wat niet wil zeggen dat het geen Assurance rapport meer is, maar wel dat het niet meer aan de specifieke vereisten van ISAE 3402 voldoet. Al lijkt het auditorsrapport standaard te zijn, het moet gelezen worden, nuances zitten in de details. Naast de standaardtekst doet de auditor verslag van zijn bevindingen en formuleert hij een specifiek oordeel. Inzicht in de gegeven zekerheid wordt verkregen door kennis te nemen van de inhoud van het auditorsrapport.

Sectie 2: Bewering van het management

Kenmerkend voor een Service Organisatie Control-rapport is de management-bewering. Zonder managementbewering is het geen Service Organisatie Control-rapport overeenkomstig de standaard. In de managementbewering verklaart het management dat het rapport aan de vereisten van de standaard voldoet en dat de beschrijving overeenkomt met de situatie op het genoemde moment (Type 1) respectievelijk overeenkomt met de situatie gedurende de Assurance rapportperiode (Type II). In de standaard is een voorbeeld van een managementbewering opgenomen. Voorbeeld klinkt wat vrijblijvender dan dat het is. De op te nemen teksten komen direct voort uit de standaard en geven daardoor weinig ruimte voor aanpassingen.

Het verantwoordelijk management baseert zijn verklaring op de uitgevoerde management controls. Dit kunnen eigen waarnemingen zijn, maar ook door het lager management opgestelde in-control statements en Assurance rapports van interne controleafdelingen, interne accountants, klachtenafhandeling, etc. De omvang van de organisatie is bepalend voor de mix van monitoringmaatregelen die als toereikend kan worden gekwalificeerd. Het is te verwachten dat managers die hun verantwoordelijkheden serieus nemen dit op orde hebben.

De managementbewering wordt niet geaudit door de service auditor. Het gehele rapport moet worden gezien als een beschrijving van het systeem en de beheersingsmaatregelen voorzien van twee kwaliteitsuitspraken, één door het management en één door de auditor. Overigens is te verwachten dat beide statements dezelfde strekking hebben. Het zou vreemd zijn als het management zonder toelichting verklaart in control te zijn, terwijl de auditor met bevindingen komt die hier strijdig mee zijn.

Sectie 3: De systeembeschrijving

De in de standaard gebruikte termen zijn strak gedefinieerd. Eén van deze termen is “systeem van de serviceorganisatie”. Het systeem omvat de beleidslijnen en procedures die door de serviceorganisatie zijn opgezet en geïmplementeerd om de gebruiker de diensten te verlenen. Naast de reikwijdte dient de beschrijving ten minste te bevatten:

  • soorten diensten,
  • procedures,
  • informatiestromen,
  • verwerking andere gebeurtenissen dan standaardtransacties,
  • procedure ten aanzien van Service Level-Assurance rapports,
  • de beheersingsdoelstellingen en beheersingsmaatregelen,
  • door de gebruikersorganisatie te treffen beheersingsmaatregelen
  • overige aspecten ten aanzien van:
    • beheersingsomgeving,
    • risico-inschatting,
    • informatiesysteem en communicatie,
    • beheersingsactiviteiten,
    • monitoringmaatregelen.
  • In een Type II-rapport, een beschrijving van de relevante wijzigingen gedurende de verslagperiode.

De reikwijdte van het ISAE 3402-rapport moet van toegevoegde waarde zijn voor de gebruiker. Het moet aansluiten bij een dienst die als geheel wordt afgenomen. Voor een organisatie die bijvoorbeeld de salarisverwerking heeft uitbesteed, heeft een rapport met betrekking tot de beheersing van de onderliggende IT-infrastructuur beperkte toegevoegde waarde. Voor de uitbestedende organisatie gaat het om de beheersing van het gehele salarisverwerkingsproces, niet alleen om de onderliggende IT-processen. Er is zelfs een risico dat door misinterpretatie de gebruiker het gevoel krijgt dat het gehele proces van salarisverwerking onder control is, terwijl het rapport alleen betrekking heeft op de controleaspecten ten aanzien van de IT-infrastructuur.

Een ander voorbeeld is de uitbesteding van een proces dat bestaat uit frontoffice- en backofficefuncties. In dat geval kan niet worden volstaan met een rapport waarin alleen de backofficefunctie in scope is. Omdat een backofficefunctie niet zonder een frontofficefunctie kan, zou het rapport een onvolledig beeld geven, hetgeen een bron van misinterpretatie kan zijn.

Zoals hiervoor is beschreven, wordt het proces waarop het Assurance rapport betrekking heeft in de ISAE 3402-standaard ‘systeem’ genoemd. Systeem is dus veel breder dan het informatiesysteem. Onder de oude SAS 70-standaard was een systeembeschrijving geen strikte vereiste. De meeste elementen van een systeembeschrijving waren echter ook opgenomen in een SAS 70-Assurance rapport, maar dan vooral om controls inzichtelijk te maken. Bij Service Organisatie Control-rapporten die omgezet zijn vanuit oude SAS 70-rapporten is dit nog terug te zien.

Een Assurance rapportcriterium dat bij de omzetting regelmatig over het hoofd wordt gezien is de procesbeschrijving met betrekking tot de verwerking van niet-routinematige transacties. Hierbij is te denken aan incidentafhandeling, het inregelen van nieuwe klanten, etc.

In een Type II-rapport heeft het oordeel van de auditor over de systeem-beschrijving betrekking op de opzet en het bestaan ervan gedurende de verslagperiode. De auditor kan zijn oordeel alleen afgeven als de wijzigingen tijdens de verslagperiode in het rapport zijn opgenomen. Een beschrijving van de relevante wijzigingen is bij een Type II-rapport dan ook als een vereiste in de standaard opgenomen.

In een aantal gevallen komt het voor dat de beheersingsmaatregelen binnen de serviceorganisatie niet de gehele beheersingsdoelstelling afdekken. Bijvoorbeeld als de serviceorganisatie voor de volledigheid van de verwerking van de mutaties afhankelijk is van de aanlevering door de gebruikersorganisatie. De gebruikersorganisatie zal zelf op basis van de verwerkingsrapporten de volledigheid van de verwerking van de mutaties moeten waarborgen. De serviceorganisatie kan immers alleen de volledigheid van de verwerking van de aan haar aangeboden mutaties vaststellen. De voor het proces essentiële beheersingsmaatregelen binnen de gebruikersorganisatie moeten in het rapport worden vermeld. In de standaard wordt dit aangeduid met ‘aanvullende interne beheersingsmaatregelen van de gebruikende entiteit’.

Lees verder over de ISAE 3402 rapport typen.

Wat kunnen wij voor jou betekenen?

ENSIA

De resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ werd in november 2013 tijdens de Buitengewone Algemene Ledenvergadering van de VNG aangenomen.

SOC 2

Rapporteert op basis van vastgestelde principes welke een relatie hebben met de opzet, bestaan en werking van operational IT-controls met betrekking tot uitbestede processen. Een SOC-rapport is opgesteld volgens de SOC-rapportagenormen.

BIO

De Baseline Informatiebeveiliging Overheid (BIO) is de opvolger van alle normen (BIWA, BIG, BIR en IBI) die worden gebruikt binnen de overheid voor informatiebeveiliging. De BIO vormt daarmee één gezamenlijk normenkader, gebaseerd op de ISO 27002.

ISAE 3402

De afkorting ISAE staat voor ‘International Standard On Assurance Engagements’. De ISAE 3000 wordt ook wel dé internationale opvolger van de Amerikaanse SAS 70-certificering genoemd. In tegenstelling tot SAS 70, is ISAE 3000 een internationale standaard.

DigiD

Het ICT-Beveiligingsassessment DigiD is een jaarlijks terugkerend assessment dat alle Nederlandse gemeenten met een DigiD-koppeling moeten uitvoeren. De DigiD-norm is gebaseerd op de normen zoals die door het Nationaal Cybersecurity Center (NCSC) zijn geformuleerd voor web applicaties.

Het Team

Avensus is een organisatie waar meedenken met de klant voorop staat. Een voortdurend veranderende maatschappij met haar ontwikkelingen, nieuwe technologieën en veranderende wet- en regelgeving vraagt om professionals om je deskundig te ondersteunen. Avensus helpt je graag op een breed vakgebied om “in control” te blijven met betrekking tot jouw ICT activiteiten vandaag en in de toekomst.

De auditors en consultants van het Avensus, IT Audit & Assurance team kunnen zich snel in jouw bedrijfsprocessen inleven en kunnen daardoor in een kort tijdsbestek een deskundig, onpartijdig een betaalbaar traject uitvoeren. Onze IT-auditors hebben kennis van diverse branches zoals retail, overheid, bancair, verzekering en de ICT-branche (hosting, datacenters, etc.). Wij voeren diverse soorten IT-audits uit zoals Third Party Memorandum, ISAE 3000, ISAE 3402, SOC2 BIO, VIPP, DigiD, SURF en nog veel meer.

Nieuws & Blog

Menu