Uw browser is verouderd.

Internet Explorer wordt niet langer ondersteund. Gebruik een andere browser om de website in betere kwaliteit te bekijken.

ISAE 3402

DEKRA Audit

Hoe toont u als serviceorganisatie aan dat klantgegevens veilig zijn bij outsourcing?

ISAE 3402 certificering

De norm voor serviceorganisaties gericht op informatiebeveiliging bij outsourcing

Met een ISAE 3402 of 3000 assurance verklaring maakt u inzichtelijk dat u voldoende beheersing hebt ingericht in relatie tot uw IT-security en -privacy maatregelen.

Met een ISAE 3402 of 3000 assurance verklaring maakt u inzichtelijk dat u voldoende beheersing hebt ingericht in relatie tot uw IT-security en -privacy maatregelen. Door toenemende concurrentie, kostenbesparingen en technologische ontwikkelingen besteden steeds meer organisaties belangrijke en cruciale processen uit aan serviceorganisaties. Maar hoe toont u als serviceorganisatie aan dat gegevens van de klant veilig zijn bij u?

Wat is ISAE 3402 / 3000?

ISAE 3402 / 3000 is een norm die staat voor International Standard on Assurance Engagements. Uit een ISAE audit volgt een assurance verklaring waarin risicomanagement van de beheersbare processen is opgenomen. Het uiteindelijke rapport toont aan dat de organisatie de betreffende processen naar behoren heeft ingericht in opzet, bestaan en werking. Hiermee borgt u de informatiebeveiliging.

Wanneer heeft u een ISAE verklaring nodig?

U gebruikt de ISAE 3402 verklaring als uw dienstverlening effect heeft op de financiële verwerking van uw klant. Uw dienstverlening is bijvoorbeeld onderdeel van de factuurverwerking bij uw klant. Daarnaast bestaat er ook de ISAE 3000 verklaring. Deze verklaring heeft betrekking op de beheersing van security- en privacymaatregelen (en daarbij nadrukkelijk geen financieel component heeft).

De voordelen van ISAE 3402

  • Een ISAE 3402 audit geeft u en uw klanten inzicht in IT-processen rondom interne beheersing, risicomanagement, informatiebeveiliging en privacy;
  • Met een ISAE 3402 verklaring bent u aantoonbaar in staat om in te spelen op beheersbare processen en het nemen van de juiste maatregelen naar aanleiding van waardevolle informatie;
  • Met de assurance verklaring voldoet u aan de eisen zoals gesteld in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD). In deze wetten zijn financiële verplichtingen vastgelegd ten aanzien van uitbesteding van werkzaamheden.

ISAE 3402 of ISAE 3000 en ISO 27001

Een ISAE assurance beoordeling en de audits in het kader van het ISO 27001 certificaat zijn goed te combineren. Het geeft uw opdrachtgever meer zekerheid over de totale dienstverlening. Dit omdat de auditor of accountant van uw klant het ISAE 3402 rapport gebruikt voor haar eigen assurance verklaring. Uw klant kan ‘steunen’ op de diensten die u levert. DEKRA biedt de unieke mogelijkheid om de beoordeling ISAE 3402 en audits ISO 27001 gecombineerd uit te voeren. Vooraf wordt dan besproken welke bevindingen vanuit de ISO 27001 audit betrekking hebben op de ISAE 3402 beoordeling. Hiermee wordt voorkomen dat er maatregelen (onnodig) extra beoordeeld worden.

Uit welke onderdelen bestaat ISAE 3402?

Een ISAE 3402 audit wordt uitgevoerd door onze RE-auditoren (register EDP-auditoren). DEKRA stelt vervolgens naar aanleiding van de bevindingen de volledige rapportage op. Op het moment dat voldaan wordt aan het vooraf afgestemde kader geeft DEKRA de officiële ISAE 3402 verklaring af.

De ISAE rapportage bestaat minimaal uit de volgende onderdelen:

  • Beschrijving van het control raamwerk;
  • Bevestiging van de serviceorganisatie;
  • Service auditor assurance rapport.

Tijdens de uitvoering van een audit controleert het auditteam van DEKRA of alle maatregelen die binnen het afgesproken kader vallen ook daadwerkelijk worden nageleefd (in opzet, bestaan en werking). Na de uitvoering van een audit wordt de rapportage voorzien van de zogeheten ‘assurance’ verklaring volgens standaard ISAE 3402.

Het onderzoek voor een ISAE-verklaring kan op twee wijzen worden uitgevoerd, namelijk als ‘Attestation’ of als ‘Direct Reporting’. Bij een ‘attestation’ heeft u een interne auditor die het onderzoek voorbereid, uitvoert en aanlevert. Voor deze 'attestation' kan juist gebruik gemaakt worden van het managementsysteem conform ISO 27001. DEKRA voert reperformance uit over het onderzoek van de interne auditor. Bij ‘direct reporting’ voert DEKRA het hele onderzoek uit.

Heeft u een vraag? Onze experts komen graag met u in contact

Henry Dwars
separator

Henry Dwars

DEKRA Audit

Meander 1051

6825 MJ Arnhem

Pagina delen