ISAE3000

Wat is het? Waarom
is het belangrijk?

Lees meer

Met een ISAE3000 assurance rapport krijgen klanten gemakkelijk inzicht in de beheersing van de uitbestede dienstverlening.

Het doel van een ISAE3000 rapportage is het rapporteren over de beheersing van de processen die door klanten aan jouw organisatie zijn uitbesteed. In tegenstelling tot wat soms gedacht wordt is de ISAE3000 geen certificering maar een richtlijn voor accountants.

Je gaat als organisatie zelf aan de slag om te bepalen welke beheersdoelstellingen en maatregelen meegenomen worden in de rapportage. Een risico analyse en een beoordeling van de klanteisen zijn daarvoor de belangrijkste randvoorwaarden. Als de beheersmaatregelen zijn bepaald moeten deze aantoonbaar in de bedrijfsprocessen worden geïmplementeerd. Eventueel kan hierbij een combinatie worden gemaakt met bestaande ISO certificeringen. De laatste stap in het proces is het laten uitvoeren van een audit door een onafhankelijke accountant waarna de rapportage beschikbaar kan worden gesteld.

Wat is het verschil tussen een type 1 en een type 2 verklaring?
Bij een type 1 verklaring wordt er gerapporteerd over de opzet en het bestaan van de beheersmaatregelen ofwel de implementatie. Er wordt in deze rapportagevorm geen betrouwbare uitspraak gedaan over de werking van de beheersmaatregelen in een bepaalde periode.

Bij het opmaken van de type 2 verklaring wordt op basis van uitgebreidere steekproeven en onderzoek bepaald of de maatregelen ook echt gewerkt hebben. In het implementatietraject adviseren wij jou graag over de vraag of je moet beginnen met een type 1 of een type 2 verklaring.

Wat is het verschil tussen een ISAE3402 en een ISAE3000 verklaring?
De ISAE3402 is specifiek bedoeld om te rapporteren over uitbestede processen met een directe relatie tot de jaarrekening van de klant ofwel financiële processen. De ISAE3000 is daarentegen geschikt om te rapporteren over andersoortige processen. Hierbij kan gedacht worden aan bijvoorbeeld een hosting proces, compliance met de Baseline Informatiebeveiliging Overheden (BIO) of de beveiliging van een gegevenskoppeling zoals DigiD. Zowel de ISAE3402 als de ISAE3000 geven ruimte voor een vrij indeling van het raamwerk.

Resultaten ISAE3000

  • Een pragmatisch raamwerk passend bij de klantbehoefte
  • Ontzorgd vanaf de opzet tot aan het audit proces
  • Eenvoudig combineren met bestaande certificeringen
  • Jarenlange ervaring bij assurance trajecten

Rogier. Weet alles van ISAE3000

Wil je aan de slag met de opzet van een ISAE3000 raamwerk of een audit traject starten? Rogier informeert je graag over de mogelijkheden.

Rogier Terhalle

Specialist bedrijfsmanagement

085 – 06 03 363

Proceseigenaren zijn eenvoudig en doeltreffend in control

Marianne Mackenzie - Trust Krediet Beheer (TKB)

Met behulp van IPA en ControlBee hebben wij ons Information Security Management System (ISMS), voor het behalen van de ISO27001 certificering en het uitgeven van een jaarlijks ISAE3402 type II rapport, van de grond af aan kunnen opbouwen en structureren. Er is eigenaarschap ontstaan bij de dragers van de processen. Hierdoor blijven wij ons binnen TKB op allerlei vlakken continu verbeteren.

30 jaar ervaring

Sinds 1991. 30 jaar ervaring in huis

Specialist in informatiebeveiliging

Specialist in informatiebeveiliging

Nuchtere bedrijfskundige benadering

Nuchtere bedrijfskundige benadering

2