Skip to main content

Gavias Blockbuider ISAE 3402 additional

METHODIEK

De methodiek van Risklane is primair resultaatgericht, effectief, professioneel en gericht op beheersing van kosten.

ANALYSE EN INRICHTING

Tijdens de impactanalyse bepalen wij in overleg met u de reikwijdte van de rapportage; risico’s worden in kaart gebracht en GAP’s bepaald. Na deze fase wordt het interne beheersingssysteem en de beheersmaatregelen in de ISAE 3402 rapportage beschreven.

PRE-AUDIT

Wanneer de volledige ISAE 3402 geschreven is wordt een ISAE 3402 pre-audit verricht; de readiness assessment; een soort generale repetitie.

PROCESVERBETERING

Na de pre-audit worden herstelmaatregelen doorgevoerd en adviseren wij over de verbetering van uw interne beheersing en risicomanagement.

AUDIT

Nadat processen effectiever zijn ingericht, begeleiden wij het audit proces zodat dit efficiënt verloopt binnen de door u gestelde deadlines.

TOENAME OUTSOURCING

Organisaties besteden steeds meer processen uit. Dit wordt voor een belangrijk deel veroorzaakt door de continue en snelle ontwikkeling van informatietechnologie. Organisatie eisen inzicht in informatiebeveiliging en risico management voordat zij cruciale bedrijfsprocessen uitbesteden. Een ISAE 3402 rapportage geeft dit inzicht. Daarnaast eisen accountants van hun klanten dat uitbestede processen beheerst worden. Dat betekent dus dat 'het mes aan twee kanten snijdt'; klanten ervaren uw organisatie als betrouwbaar en er hoeven minder audits te worden uitgevoerd.

FINANCIËLE INSTELLINGEN

Naast deze ontwikkelingen waren alle financiële instellingen vanaf 2004 verplicht om alle uitbestede processen te beheersen, dat betekent concreet: inzicht hebben in de werking van het risico management van leveranciers. Is het risico management en de interne beheersing effectief ingericht bij de organisatie die de processen uitvoert? Zijn er voldoende maatregelen om fraude of handel met voorkennis te voorkomen? Zijn de processen ten aanzien van informatiebeveiliging voldoende ingericht?

TOEZICHTHOUDERS

Door het toegenomen risicobewustzijn wordt door toezichthouders vaker geëist dat de volledige bedrijfskolom beheerst wordt. Dat betekent de instelling zelf en ook toeleverende partijen, zoals de leverancier van een applicatie of bijvoorbeeld het datacenter waarin alle informatie wordt opgeslagen. Financiële instellingen zullen dus altijd een ISAE 3402 rapportage vragen van leveranciers. Instellingen kunnen de ISAE 3402 rapportage dus voor meerdere doeleinden toepassen. De ISAE 3402 standaard is vergelijkbaar met de SSAE16 standaard die vereist is vanuit Sarbanes Oxley (SOx 404), dus ook internationaal wordt deze standaard gevraagd of geëist.

TOETSINGSKADER

Een belangrijk verschil tussen ISO 27001 en ISAE 3402 is dat ISO 27001 een certificering is en geen toetsingskader kent. Voor een ISAE 3402 audit is de jaarrekening het uitgangspunt en het toetsingskader. Bij een ISO 27001 audit dient een organisatie te voldoen aan een aantal aspecten die zijn beschreven in de standaard. ISO 27001 is rule based.

ISO 27001 IS 'RULE BASED'

ISO 27001 kent voorschriften en richtlijnen voor informatiebeveiliging, ISO 27001 is gebaseerd op regels; 'rules based'. Dat betekent dat in theorie de informatiebeveiliging niet op orde zou kunnen zijn, terwijl wel voldaan wordt aan de eisen, omdat bijvoorbeeld een informatiebeveiligingsbeleid is vastgesteld, back recovery etc., etc. is ingericht. De centrale vraag voor ISO 27001 zou eigenlijk moeten zijn; wanneer is het ISMS kwalitatief goed. ISO 27001 geeft daar geen expliciet antwoord op.

Een organisatie moet bijvoorbeeld een informatiebeveiligingsbeleid hebben. In de ISO 27001 standaard is niet opgenomen waaraan dit beleid moet voldoen of wat het uitgangspunt is voor de beleid. Het risico management en de interne beheersing bij ISAE 3402 moet altijd toereikend zijn voor de verwerking van financiële processen en uiteindelijk de jaarrekening.

Een ander belangrijk aspect is dat de relatie tussen de risico’s die een onderneming loopt en de interne beheersing inzichtelijk worden vanuit een SOC rapportage. Bij een ISO 27001 certificering wordt alleen een certificaat afgegeven, hoe dit certificaat tot stand komt, wat de exacte reikwijdte is en hoe risico's beheerst worden is niet inzichtelijk. Een organisatie heeft alleen de zekerheid dat een aantal aspecten geïmplementeerd zijn. Ook de certificering van ISO 27001 is minder uitgebreid en intensief dan een ISAE 3402 audit.

Op het moment dat een organisatie over een ISAE 3402 assurance rapport beschikt, dan is het uiteindelijke normenkader (waardoor zekerheid kan worden ontleent aan de rapportage) de jaarrekening van de gebruikersorganisatie. Een accountant heeft geen concrete richtlijnen, maar wel een normenkader waarbinnen hij toetst. De controls van de user organisatie die effect hebben op de jaarrekening staan centraal. Daarom zijn voor ISAE 3402 gedetailleerde controledoelstellingen, zoals juistheid, tijdigheid en volledigheid, te bepalen. ISAE 3402 kent uitsluitend een ‘conceptueel’ normenkader; de jaarrekening van de gebruiker. Er worden in de praktijk wel normen gehanteerd, dit zijn dan eigenlijk altijd interne normen van een accountantskantoor.

NOODZAKELIJK BIJ DE JAARREKENINGCONTROLE

Wanneer een accountant een jaarrekening controleert van een (gebruikers)organisatie dan is het van belang dat er voldoende beveiligingsmaatregelen zijn ingericht bij de serviceorganisatie die de uitbestede processen voor de gebruikersorganisatie uitvoert. De beveiligingsmaatregelen bij de service organisatie worden ook wel de General IT Controls (GITC of ITGC) genoemd. Naast deze IT maatregelen zal een accountant ook altijd een certificering eisen als financiële processen door de leverancier verwerkt worden.

MINDER EXTERNE AUDITS

De service organisatie kan dan een ISAE 3402 rapportage verstrekken aan de gebruikersorganisatie om aan te tonen dat er voldoende informatiebeveiligingsmaatregelen zijn ingericht en dat risico's geïdentificeerd en gemanaged worden. Het is dan niet meer noodzakelijk dat de externe accountant nog een afzonderlijke audit uitvoert bij de service organisatie. De reikwijdte (scope) van de ISAE 3402 rapportage is vaak ‘breder’ dan alleen informatiebeveiliging (security), bijvoorbeeld service level management en of een deel van de verwerking van financiële gegevens is opgenomen in de reikwijdte van de rapportage, zoals bijvoorbeeld het geval zal zijn bij een pensioenuitvoerder of vastgoedbeheerder.

WETTELIJKE VEREISTEN

Naast de vraag van accountants kan de vraag naar ISAE 3402 ook voortkomen uit wettelijke vereisten, zoals de Wet Financieel Toezicht (Wft) of de PensioenWet (PW). Als een financiële instelling processen uitbesteedt dan vereist deze wetgeving dat de uitbestede processen ‘beheerst’ worden; dat de instelling die uitbesteedt (gebruikersorganisatie) voldoende waarborgen heeft ingericht om fraude te voorkomen of de informatiebeveiliging te waarborgen. In een dergelijke situatie zal de financiële instelling een ISAE 3402 rapportage eisen van de serviceorganisatie. ISAE 3402 wordt door alle internationale accountants en toezichthoudende instellingen erkend omdat het een internationale standaard is die wordt uitgedragen door alle internationale beroepsorganisaties.

UITBESTEDING DOOR SERVICE ORGANISATIE

Een serviceorganisatie zal mogelijk processen uitbesteden aan een andere organisatie. Een vermogensbeheerder kan bijvoorbeeld vastgoedbeheer uitbesteden of een Application Service Provider kan bijvoorbeeld processen uitbesteden aan een datacenter (back-up/ fysieke beveiligingsmaatregelen). Op het moment dat hier sprake van is, spreken we van een subservice organisatie.

TWEE MOGELIJKHEDEN

Een service organisatie heeft hierin twee keuzes; of de beheersmaatregelen bij de subservice organisatie worden integraal in het ISAE 3402 rapport van de service organisatie beschreven (de zogenaamde inclusive-benadering) of er wordt gebruik gemaakt van een carve-out. Een carve-out betekent dat er verwezen wordt naar het rapport van de subservice organisatie in het rapport van de service organisatie.

ICT MAATREGELEN VEREIST VANUIT DE STANDAARD

De relevante maatregelen ten aanzien informatiebeveiliging dienen opgenomen te worden in een ISAE 3402 rapportage. Dat betekent dat de General IT Controls; de algemene IT beheersmaatregelen, zoals back up/ uitwijk e.d. en de application controls (maatregelen in applicaties) beschreven dienen te worden in de ISAE 3402 rapportage.