ISAE 3402
Organisaties besteden steeds meer bedrijfsprocessen uit aan serviceorganisaties. Voorbeelden van deze uitbestede activiteiten zijn het beheer van rekencentra, de afhandeling van vragen via externe callcenters en het uitbesteden van gegevensverwerkende geautomatiseerde processen. Hierbij wordt erop vertrouwd dat de serviceorganisatie voldoende maatregelen heeft getroffen om een onverstoorde en betrouwbare dienstverlening te garanderen. Het komt echter voor dat dit vertrouwen misplaatst is.
Als u zekerheid wilt over de geïmplementeerde maatregelen bij een serviceorganisatie of als u als serviceorganisaties aan klanten wilt tonen dat u de interne bedrijfsprocessen op orde heeft, kunt u een ISAE 3402 Audit laten uitvoeren. ISAE 3402 is een wereldwijd erkende kwaliteitsnorm voor uitbesteding.
De ISAE 3402 standaard kent 2 typen onderzoeken:
- Type I: Dit onderzoek is gericht op de in opzet ingerichte beheersmaatregelen en toetsing of deze ook in werkelijkheid bestaan;
- Type II: Dit onderzoek is gericht op de in opzet ingerichte beheersmaatregelen en of deze in de praktijk worden gevolgd. De werking wordt over langere termijn vastgesteld. Dit type onderzoek geeft meer zekerheid of op de dienstverlening van een serviceorganisatie kan worden vertrouwd.
Wanneer een u uw bedrijfsproces uitbesteedt, kunt u via de serviceorganisatie een ISAE 3402 Type I of II verklaring verkrijgen. Voor een Type I bepaalt een onafhankelijke auditorganisatie op basis van de door de serviceorganisatie op te leveren documentatie of de opzet en het bestaan van beheersmaatregelen goed zijn ingericht. Voor een Type II verklaring controleert de auditorganisatie of de serviceorganisatie de interne controleprocessen op orde heeft. Hierbij wordt de werking door middel van het nemen van steekproeven over een langere periode getest. In het merendeel van de gevallen is er sprake van gedeelde verantwoordelijkheid van bedrijfsprocessen en zullen er ook bij u organisatiecontroles worden uitgevoerd.
Voor wie is de ISAE 3402 Audit bedoeld
- U heeft uw IT-activiteiten en bedrijfsprocessen uitbesteed en wilt een redelijke mate van zekerheid hebben dat de serviceorganisatie de interne controle van deze processen op orde heeft en dat de (financiële) rapportages betrouwbaar zijn;
- U wilt aan uw afnemers tonen dat uw organisatie de interne controle van de processen op orde heeft;
- Uw organisatie valt onder de Sarbanes-Oxley-wetgeving.
De voordelen
- U krijgt een redelijke mate van zekerheid over de kwaliteit van de interne processen en controls van de serviceorganisatie;
- U krijgt een redelijke mate van zekerheid of de serviceorganisatie de contractuele afspraken over interne processen en controls nakomt;
- Door het verkrijgen van een Third Party Mededeling (TPM) vergroot u de betrouwbaarheid van uw organisatie in de richting van uw samenwerkingspartners.
De resultaten
- Indien er sprake is van een Type I onderzoek, ontvangt u een rapport waarin staat beschreven of een serviceorganisatie in opzet en bestaan de interne processen goed heeft gedocumenteerd en ingericht;
- Indien er sprake is van een Type II onderzoek, ontvangt u een rapport waarin staat beschreven of dat naast de opzet, de interne processen en controls ook in de praktijk daadwerkelijk over langere termijn worden gevolgd.