ISAE audits

De ISAE 3402 geeft antwoord op de vraag hoe de serviceorganisatie processen beheerst; hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. Meridion kan uw organisatie helpen met het opstellen van een kader, met uw auditvoorbereiding en kan de audit voor u uitvoeren, wat verwerkt wordt in het ISAE 3402 rapport.

 

‘’Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden. Daarnaast worden ISAE 3402 rapporten in toenemende mate vereist door accountants van gebruikersorganisatie.’’ (Stichting Corporate Governance)

 

De ISAE 3402

Het uitbesteden van bedrijfsprocessen is tegenwoordig aan de orde van de dag. De uitvoering van het proces komt bij de serviceorganisatie (een aanbiedende partij zoals een SaaS leverancier) te liggen en de klant is als gevolg van de uitbesteding niet volledig ‘in control’ van het proces. De klant is en blijft echter wel de eindverantwoordelijke van het proces. De klant zal dan ook een vorm van zekerheid willen en moeten hebben dat het uitbestede proces adequaat is beheerst.

 

Om als serviceorganisatie aan te tonen dat het uitbestede proces adequaat beheerst is, kan een ISAE 3402 rapport uitkomst bieden. De ISAE 3402 is specifiek gericht op uitbestedingen van processen die direct (of indirect) invloed hebben op de financiële verslaglegging van haar klant.

 

Typen ISAE-rapportages

Er zijn twee verschillende rapportagevormen van de ISAE 3402, namelijk Type I en Type II. Het Type I-rapport betreft een momentopname van het proces en de beheersingsmaatregelen. Bij een Type-II rapportage (de meeste voorkomende vorm) dient de werking van het proces en de beheersingsmaatregelen gedurende een bepaalde periode beschreven te worden. Deze periode is minimaal 6 maanden, maar meestal wordt een (kalender)jaar gehanteerd.

 

Hoe wij u kunnen helpen

De ISAE 3402 is een vormvrije norm. Dit betekent dat er vanuit de norm geen vooraf gedefinieerd kader is. De serviceorganisatie is verantwoordelijk om een kader te definiëren. Meridion kan assisteren bij het definiëren van dit kader en zal daarbij zoveel mogelijk gebruik maken van reeds geïmplementeerde normen binnen de organisatie. Dit zal resulteren in een lagere implementatie- en audit druk.

 

Ook kunnen wij u helpen met uw auditvoorbereiding en hebben wij de experts in huis om de ISAE 3402-audit voor u uit te voeren, wat verwerkt wordt in het ISAE 3402 rapport.

 

Bent u al klant bij Meridion en neemt u het Meridion Compliance Center (MCC) al af? Dan kunnen wij uw systeem uitbreiden met een ISAE 3402 module.

 

Afhankelijkheden

ISO27001 of NEN7510: Wanneer uw organisatie al een ISO27001- of NEN7510-certificaat heeft verlaagt dit de implementatie- en de audit druk voor de ISAE 3402.

 

DE MERIDION-METHODE

Het complexe certificeringsproces voor bedrijven kan eenvoudiger en transparanter. Dat is de basis van de door onszelf ontwikkelde Meridion-methode. In ons Information Security Management System (ISMS) onderhoudt u daarom zelf uw processen, zonder dat u enige IT- of normkennis nodig heeft. En heeft u toch een vraag? Er zijn altijd meerdere Meridion-consultants beschikbaar om u te helpen.

Meer weten over wat wij voor u kunnen betekenen?

Certificering en compliancy vragen om een gestructureerde aanpak. Wij helpen u het certificerings- of compliancy-proces zo aan te passen dat het aansluit op uw ondernemerschap, cultuur en processen.