Met een ISAE3000 assurance rapport krijgen klanten gemakkelijk inzicht in de beheersing van de uitbestede dienstverlening.
Het doel van een ISAE3000 rapportage is het rapporteren over de beheersing van de processen die door klanten aan jouw organisatie zijn uitbesteed. In tegenstelling tot wat soms gedacht wordt is de ISAE3000 geen certificering maar een richtlijn voor accountants.
Je gaat als organisatie zelf aan de slag om te bepalen welke beheersdoelstellingen en maatregelen meegenomen worden in de rapportage. Een risico analyse en een beoordeling van de klanteisen zijn daarvoor de belangrijkste randvoorwaarden. Als de beheersmaatregelen zijn bepaald moeten deze aantoonbaar in de bedrijfsprocessen worden geïmplementeerd. Eventueel kan hierbij een combinatie worden gemaakt met bestaande ISO certificeringen. De laatste stap in het proces is het laten uitvoeren van een audit door een onafhankelijke accountant waarna de rapportage beschikbaar kan worden gesteld.
Wat is het verschil tussen een type 1 en een type 2 verklaring?
Bij een type 1 verklaring wordt er gerapporteerd over de opzet en het bestaan van de beheersmaatregelen ofwel de implementatie. Er wordt in deze rapportagevorm geen betrouwbare uitspraak gedaan over de werking van de beheersmaatregelen in een bepaalde periode.
Bij het opmaken van de type 2 verklaring wordt op basis van uitgebreidere steekproeven en onderzoek bepaald of de maatregelen ook echt gewerkt hebben. In het implementatietraject adviseren wij jou graag over de vraag of je moet beginnen met een type 1 of een type 2 verklaring.
Wat is het verschil tussen een ISAE3402 en een ISAE3000 verklaring?
De ISAE3402 is specifiek bedoeld om te rapporteren over uitbestede processen met een directe relatie tot de jaarrekening van de klant ofwel financiële processen. De ISAE3000 is daarentegen geschikt om te rapporteren over andersoortige processen. Hierbij kan gedacht worden aan bijvoorbeeld een hosting proces, compliance met de Baseline Informatiebeveiliging Overheden (BIO) of de beveiliging van een gegevenskoppeling zoals DigiD. Zowel de ISAE3402 als de ISAE3000 geven ruimte voor een vrij indeling van het raamwerk.
Resultaten ISAE3000
- Een pragmatisch raamwerk passend bij de klantbehoefte
- Ontzorgd vanaf de opzet tot aan het audit proces
- Eenvoudig combineren met bestaande certificeringen
- Jarenlange ervaring bij assurance trajecten