Skip to main content

Gavias Slider Slider wat is Isae3402?

WAT IS ISAE 3402?

Wat is ISAE 3402

 

ISAE 3402 en outsourcing

Organisaties besteden steeds meer uit, vooral op het gebied van IT. Organisatie die uitbesteden willen inzicht in onder andere de beveiliging van informatie (security), fraude preventie en risicobeheersing in het algemeen. Vooral omdat steeds meer cruciale bedrijfsprocessen worden uitbesteed en het daarom meer van belang wordt, om inzicht te hebben in wie er toegang heeft tot informatie en of er bijvoorbeeld voldoende functiescheidingen zijn om fraude te voorkomen. Een ISAE 3402 rapport geeft dit inzicht.

 

Inhoud rapportage

Naast het algemene inzicht moeten de processen die een mogelijk effect hebben op de jaarrekening (financiële processen) opgenomen worden. Hierbij gelden ook de IT processen, de zogenaamde General IT Controls. Daarnaast kan een ISAE 3402 rapport zekerheid geven dat processen die uitbesteed zijn, volgens gemaakte afspraken (SLA), uitgevoerd worden. De SOC rapportage bestaat uit een algemeen deel volgens de COSO 2013 standaard en een controlmatrix. Lees meer over de inhoud van het rapport en de twee typen rapportages; ISAE 3402 type I en type II.

Voorbeeld uitbesteding

Een pensioenfonds besteedt vermogensbeheer uit aan een vermogensbeheerder. Pensioenfondsen moeten voldoen aan de Pensioenwet (PW). De PensioenWet eist van het pensioenfonds dat zij kan aantonen dat de uitbestede processen beheerst worden.

 

Het pensioenfonds is in dit geval de gebruikers (user) organisatie en de vermogensbeheerder is de serviceorganisatie. Afspraken tussen het pensioenfonds en de vermogensbeheerder zijn vastgelegd in de vermogensbeheerovereenkomst en eventueel een SLA. Het pensioenfonds vraagt daarom van de serviceorganisatie een ISAE 3402 rapportage. Met deze rapportage toont het pensioenfonds aan dat de uitbeheersing 'in control' is en dat zij ook voor deze uitbesteding voldoet aan de PensioenWet.

 

 

Het pensioenfonds (de ‘user-organisatie’) wil in een dergelijke situatie inzicht in:

 

  1. Of beleggingen juist- en volledig verwerkt worden ten behoeve van de jaarrekening
  2. Het vermogensbeheer in overeenstemming met wet- en regelgeving gebeurt
  3. Er voldoende waarborgen zijn tegen fraude
  4. Security toereikend is ingericht bij de vermogensbeheerder
  5. Er wordt voldaan aan specifieke compliance voorschriften die zijn opgenomen in de PensioenWet.

 

Het pensioenfonds zal van de vermogensbeheerder eisen dat bovenstaande onderwerpen zijn opgenomen zijn in de reikwijdte van de ISAE 3402 rapportage.

 

De accountant van het pensioenfonds zal het ISAE 3402 rapport van de vermogensbeheerder raadplegen binnen het kader van de jaarrekeningcontrole van het pensioenfonds. De accountant hoeft niet nog afzonderlijk procedures te testen bij de vermogensbeheerder omdat hierover al gerapporteerd is door de service auditor.

Toegevoegde waarde

De belangrijkste toegevoegde waarde voor een gebruikersorganisatie is dat deze, op basis van het Service Organization Control rapport, kan vaststellen of bijvoorbeeld de informatiebeveiliging of fraudepreventiemaatregelen voldoende zijn. Voor de accountant van de gebruikersorganisatie is dit ook belangrijke informatie. De accountant van de gebruikersorganisatie kan vaststellen of de maatregelen bij de service organisatie voldoende zijn ingericht binnen het kader van de jaarrekeningcontrole van de gebruikersorganisatie. Daarnaast heeft een (erkende) andere accountant vastgesteld of deze maatregelen bestaan (type I) en effectief gewerkt hebben (type II). De accountant hoeft dan geen afzonderlijke controles meer te verrichten bij de serviceorganisatie.