Wat is ISAE 3402 | SOC 1?

Steeds meer organisaties besteden IT of andere processen uit. Deze uitbesteding zorgt voor efficiency, maar brengt ook risico's met zich mee. Is informatiebeveiliging goed geregeld? Hoe wordt omgegaan met privacy? De ISAE 3402 standaard is de standaard voor betrouwbare uitbesteding en geeft hier een antwoord op. Deze standaard waarborgt dat aspecten als risicobeheersing, informatiebeveiliging, privacy, anti-fraude maatregelen en continuïteit worden beheerst. In een ISAE 3402 | SOC 1 rapportage is beschreven hoe risico's worden gemanaged. Een service auditor controleert dan of dit ook daadwerkelijk gebeurt.  Welke stappen moet u maken om zo'n rapportage te krijgen?

Ten eerste moet u het risicomanagement en de interne beheersingsmaatregelen van de organisatie beschrijven in een rapportage. Deze interne beheersingsmaatregelen worden ook controls genoemd. De rapportage wordt een Service Organization Control Report (SOC) genoemd; een term uit de Verenigde Staten. Als de SOC rapportage betrekking heeft op uitbesteding van (financiele) processen, dan wordt deze rapportage een SOC 1 of ISAE 3402 rapportage genoemd. Als de rapportage betrekking heeft op processen die geen invloed hebben op de jaarrekening (en zijn opgesteld op basis van bijvoorbeeld de Trust Service Principles), dan wordt de rapportage een SOC 2 of een ISAE 3000 rapportage genoemd. Dit lijkt ingewikkeld, maar u zou kunnen zeggen dat zodra uw organisatie diensten biedt die de jaarrekening van uw klant 'raken', dan is een SOC 1 van toepassingen, als er geen gevolgen zijn voor de jaarrekening, dan is een SOC 2 van toepassing. 

Lees hieronder verder voor meer informatie over de gevolgen van ISAE 3402 voor uw organisatie of download dit overzichtelijke stappenplan. Hierin wordt beschreven wat de verschillende stappen zijn die u moet nemen om uw organisatie klaar te maken voor ISAE 3402. Dit plan kunt u vrijblijvend en kosteloos downloaden via onze website.

Stel een organisatie besteedt haar werkplekautomatisering en haar netwerkbeheer uit aan een managed service provider. Zowel de ERP software als alle overige financiële applicaties werken vanaf dit netwerk. Effiiciente informatievoorziening is van cruciaal belang voor de organisatie, dus informatiebeveiliging ook. Omdat er financiële informatie wordt verwerkt op het netwerk wordt gekozen voor een ISAE 3402 | SOC 1 rapportage. Indien alleen de werkplekken uitbesteed zouden zijn, dan zou een SOC 2 rapportage van toepassing zijn. De volgende vraag is wat de reikwijdte of scope van de ISAE 3402 rapportage is.

De scope of reikwijdte is niet voorgeschreven. Er is wel een best practice ontstaan in de markt. Het is gebruikelijk dat altijd de maatregelen die een betrouwbaar en veilig netwerk waarborgen zijn opgenomen. Normaliteit zijn dit de volgende processen incident-, problem management, SLA management, change management, data integriteit en toegangsbeveiliging.

Ondanks dat de managed server provider geen  financiële informatie verwerkt, zal een netwerk storing mogelijk effect hebben op de jaarrekening. Een storing in het ERP systeem kan leiden tot onjuiste transacties. Om die reden zijn de zogenaamde IT General Controls (ITGC's) van belang; dit zijn beheersmaatregelen die een organisatie inricht om te zorgen dat IT-systemen betrouwbaar en integer zijn. In het SOC 1 (ISAE 3402) rapport van de managed server provider worden deze IT General Controls beschreven. Daarnaast is een beschrijving van de organisatie en een beschrijving van het risicomanagement opgenomen, zodat de klant deze controls binnen het juiste perspectief kan zien.

Om ISAE 3402 ‘gecertificeerd’ te worden moet een organisatie een Service Organization Control Report (SOC) hebben. Een SOC is vormvrij, de standaard geeft geen specifieke voorschriften voor de inhoud. Maar er zijn inmiddels diverse ‘practices’ ontstaan. Er zijn er ook vereisten aan rapportages vanuit bijvoorbeeld De Nederlandsche Bank, sectorinstituten, de gebruiker- of service-organisaties zelf. Een SOC rapport is meestal onderverdeeld in twee delen; een algemeen deel met een beschrijving van de organisatie, het risicomanagement- en interne beheersingssysteem en een ‘control matrix’. In de control matrix zijn de beheersdoelstellingen opgenomen en een beschrijving van de beheersmaatregelen die deze beheersdoelstellingen waarborgen. Het uiteindelijke toetsingskader voor de ISAE 3402 rapportage is de jaarrekening. Alle processen die een significant effect hebben op financiële processen moeten opgenomen worden. In het algemeen zijn dit alle operationele-, financiële processen en de IT General Controls.

U Kunt zelf een ISAE 3402 rapport opstellen, deze is namelijk vormvrij. U dient te bedenken dat het professioneel beschrijven van processen en de beheersing een inspanning van uw organisatie vraagt. Wij ervaren dat een ISAE 3402 rapport in samenwerking met een Risklane consultant eerder leidt tot een professioneel resultaat en uiteindelijk lagere kosten. Daarnaast is het verstandig om u door een externe partij over security- en interne beheersingsorganisatie te laten adviseren. Vanuit Risklane hebben wij ervaring met de inrichting en verbetering van de interne beheersing en zien wij mogelijkheden voor het efficiënter of effectiever inrichten van processen.

Er zijn twee soorten rapportages; een type I en een type II rapportage. Een type I rapportage geeft een beeld van de beheersorganisatie op één moment. Bij de audit door de accountant worden de beheersmaatregelen alleen getoetst op opzet en bestaan. Dit betekent dat de accountant het totale rapport (SOC) beoordeelt en de processen één keer doorloopt. Bij een type II wordt naast de opzet en het bestaan ook de effectieve werking van beheersmaatregelen door de accountant getoetst. Door de impact van ISAE 3402 op een organisatie wordt meestal gekozen voor eerst een type I rapport en een type II implementatie in de daaropvolgende periode.

Door een ISAE 3402 rapportage heeft uw klant (de gebruikersorganisatie) dus niet alleen inzicht in de betrouwbaarheid en daarmee ook kwaliteit van uw dienstverlening, maar heeft ook een externe bevestiging dat uw interne beheersing bestaat en effectief gewerkt heeft. Er zijn twee varianten van ISAE 3402 rapportages; een type I en een type II rapportage. Een type I richt zich op het bestaan van uw risicomanagement en interne beheersing, een type II rapportage bevestigt ook de effectieve werking gedurende een bepaalde periode.

ISAE 3402 is een internationale standaard die erkend is door accountants. Bij de meeste organisaties zorgt een implementatie traject voor professionalisering en het verbeteren van risico management. Dit ervaren klanten ook, waardoor zij uw organisatie zien als een professionele organisatie die risico's beheerst.

1. Internationaal erkend
2. Verbetering risico management
3. Minder audits door accountants
4. 'In control' uitstraling naar klanten
5. Ondersteunt bij professionalisering