Risk management
De ISAE 3402 geeft antwoord op de vraag hoe de serviceorganisatie processen beheerst; hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. Meridion kan uw organisatie helpen met het opstellen van een kader, met uw auditvoorbereiding en kan de audit voor u uitvoeren, wat verwerkt wordt in het ISAE 3402 rapport.
Â
‘’Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden. Daarnaast worden ISAE 3402 rapporten in toenemende mate vereist door accountants van gebruikersorganisatie.’’ (Stichting Corporate Governance)
Â
Â
De ISAE 3402
Het uitbesteden van bedrijfsprocessen is tegenwoordig aan de orde van de dag. De uitvoering van het proces komt bij de serviceorganisatie (een aanbiedende partij zoals een SaaS leverancier) te liggen en de klant is als gevolg van de uitbesteding niet volledig ‘in control’ van het proces. De klant is en blijft echter wel de eindverantwoordelijke van het proces. De klant zal dan ook een vorm van zekerheid willen en moeten hebben dat het uitbestede proces adequaat is beheerst. Immers is optimaal risk management noodzakelijk.Â
Â
Om als serviceorganisatie aan te tonen dat het uitbestede proces adequaat beheerst is, kan een ISAE 3402 rapport uitkomst bieden. De ISAE 3402 is specifiek gericht op uitbestedingen van processen die direct (of indirect) invloed hebben op de financiële verslaglegging van haar klant.
Â
Â
Typen ISAE-rapportages
Er zijn twee verschillende rapportagevormen, de ISAE 3402 Type 1 en de ISAE Type 2 . Het Type I-rapport betreft een momentopname van het proces en de beheersingsmaatregelen. Bij een ISAE 3402 Type II- rapportage (de meeste voorkomende vorm) dient de werking van het proces en de beheersingsmaatregelen gedurende een bepaalde periode beschreven te worden. Deze periode is minimaal 6 maanden, maar meestal wordt een (kalender)jaar gehanteerd.
Â
Hoe wij u kunnen helpen
De ISAE 3402 is een vormvrije norm. Dit betekent dat er vanuit de norm geen vooraf gedefinieerd kader is. De serviceorganisatie is verantwoordelijk om een kader te definiëren. Meridion kan assisteren bij het definiëren van dit kader en zal daarbij zoveel mogelijk gebruik maken van reeds geïmplementeerde normen binnen de organisatie. Dit zal resulteren in een lagere implementatie- en audit druk.
Â
Ook kunnen wij u helpen met uw auditvoorbereiding en hebben wij de experts in huis om de ISAE 3402-audit voor u uit te voeren, wat verwerkt wordt in het ISAE 3402 rapport.Wij merken steeds vaker dat er behoefte is aan deze audit.Â
Â
Bent u al klant bij Meridion en neemt u het Meridion Compliance Center (MCC) al af? Dan kunnen wij uw systeem uitbreiden met een ISAE 3402 module.
Â
Afhankelijkheden
ISO27001 of NEN7510: Wanneer uw organisatie al een ISO27001- of NEN7510-certificaat heeft verlaagt dit de implementatie- en de audit druk voor de ISAE 3402.
Â