Wat is ISAE3402?

Wat is ISAE3402?

Inleiding

ISAE3402 is een assurance standaard. Dat wil zeggen er wordt een rapportage opgesteld waarmee een belanghebbende een redelijke mate van zekerheid kan verkrijgen over de uitvoering van een dienst of service. In ISAE3402 termen wordt de dienst of service het systeem genoemd. Het zijn veelal service organisaties die een dergelijke assurance rapportage beschikbaar stellen aan klanten om deze zekerheid te bieden dat de geleverde dienst voldoet aan bepaalde criteria. Dit wordt door de afnemende organisaties veelal gebruikt als onderdeel van de financiële verslaglegging.

Structuur ISAE3402

Allereerst is er natuurlijk een service of dienst (systeem) dat geboden wordt door de organisatie. Stel dat deze dienst in dit voorbeeld is, verwerken en uitbetalen van loon.

Beheersingsdoelstellingen

ISAE3402 gaat er vanuit dat er op basis van het systeem / de dienst beheersingsdoelstellingen worden opgesteld. Een voorbeeld van een doelstelling zou kunnen zijn; er is betrouwbaar personeel nodig voor de uitvoering van de dienst. Het bereiken van de doelstellingen wordt bemoeilijkt door risico’s die er bestaan. Deze maken dat de doelstellingen mogelijk niet of niet effectief bereikt worden.

Beheersingsmaatregelen

Om zorg te dragen dat de risico’s het bereiken van de doelstellingen niet verhinderen worden er interne beheersingsmaatregelen genomen. Voortgaand op het gegeven voorbeeld van de beheersingsdoelstellingen zou een beheersingsmaatregelen kunnen zijn; het screenen van nieuwe medewerkers middels een screeningsproces.

ISAE3402 rapportage

De ISAE3402 rapportage wordt in eerste instantie opgesteld door de organisatie die de service of dienst beschikbaar stelt. Deze beschrijft onder andere het systeem, de doelstellingen en de genomen maatregelen. Verder wordt bijvoorbeeld beschreven hoe de maatregelen worden gemonitoord. De rapportage kent een redelijk standaard indeling met een aantal vaste verplichte onderdelen. Het oordeel van de auditor wordt toegevoegd als onderdeel van het rapport.

Verschil type 1 en type 2 ISAE3402 rapportage

Type 1 wil zeggen dat alleen op documentatie niveau een oordeel is gevormd door de auditor. Een type 2 audit houdt in dat voor een periode van meestal 6 maanden de werking en effectiviteit van de maatregelen wordt getoetst. Zo zal bijvoorbeeld worden beoordeeld hoe de maatregelen worden gemonitoord en of deze effectief zijn. Veelal wordt op statistische basis een steekproef genomen waarmee de werking van maatregelen wordt getoetst, zodat met een redelijke mate van zekerheid een uitspraak kan worden gedaan over de werking van het systeem.


Comments are closed.