U moet door wet- en regelgeving aan steeds meer eisen voldoen. Het goed inrichten van processen, risicomanagement en IT-beheer zijn ontzettend belangrijk en als dit niet zelfstandig kan worden ingevuld, zoekt u naar een betrouwbare samenwerkingspartner. Dit ontslaat u echter niet van uw verantwoordelijkheid. Om garantie te krijgen dat uw samenwerkingspartner kwaliteit levert en bedrijfsprocessen op orde heeft, kan een ISAE 3000-rapportage uitkomst bieden. Onze specialisten kunnen met een onafhankelijke audit vaststellen dat uw samenwerkingspartner voldoet aan de vereiste normen. 

Wat is een ISAE 3000-verklaring?

Een ISAE 3000-verklaring is een in control statement. Hierbij wordt getoetst of de samenwerkingspartner de interne processen ook daadwerkelijk uitvoert, zoals deze zijn beschreven. Het is belangrijk om goed te beschrijven om welke processen en informatiebehoefte het gaat. In tegenstelling tot de ISAE 3402 rapportage ligt bij ISAE 3000 de nadruk vooral op de niet financiële processen in een organisatie. Een ISAE 3000-verklaring is daarom vooral van toepassing als data worden bewerkt of gehost die geen direct effect hebben op uw jaarrekening. 

Een ISAE 3000 biedt u zekerheid over de algemene proces- en bedrijfsvoering. Het geeft een waarborg dat de IT general controls met betrekking tot de processen die zijn uitbesteed, adequaat zijn ingericht. Hierbij wordt specifiek aandacht besteed aan de web trust principles ofwel inrichting op het gebied van beschikbaarheid, vertrouwelijkheid, veiligheid, integriteit en/of privacygevoeligheid van data en informatie.

De ISAE 3000 is een internationale standaard. Een ISAE 3000-verklaring kan feitelijk voor iedere organisatie worden uitgevoerd. 

Audit ISAE 3000  

Mogelijke items waarop de ISAE 3000 audit plaats kan vinden zijn:

•    beheer van bedrijfsmiddelen

•    beheer van communicatieprocessen,

•    beheer van informatiebeveiligingsincidenten 

•    change management 

•    service level management 

•    continuïteitsbeheer 

•    ontwikkeling en onderhoud van IT systemen en applicaties 

•    (fysieke) toegangsbeveiliging 

Deze onderdelen kunnen indien gewenst aangevuld worden met eigen geformuleerde maatregelen. Hierbij kunnen ook (onderdelen uit) control frameworks als ISO 27001 of COBIT worden gebruikt. In de ISAE 3000-standaard zijn geen specifieke voorschriften opgenomen voor de interne beheersing. Deze onderdelen zijn dan ook niet verplicht opgenomen in een ISAE 3000-rapportage. Uiteraard worden voor ISAE 3000-certificering wel vereisten gesteld aan de auditor, zoals ethische vereisten, kwaliteitseisen voor de uitvoering van de audit en formele procedures die gevolgd moeten worden. Onze IT- auditors hechten veel waarde aan het voldoen aan deze vereisten.

Voordelen ISAE 3000-verklaring

Door een ISAE 3000 verklaring kunt u zich positief onderscheiden in de markt. Het toont aan dat uw organisatie een kwalitatieve, structurele borging van de eigen processen en gegevens, maar ook van de processen en gegevens van uw klanten heeft. Dit biedt zekerheid en rust. Ook wordt een ISAE 3000-certificering gezien als een continu streven naar verbetering en professionalisering van IT oplossingen en diensten. Daarom is het bezitten van een dergelijk in control statement voor steeds meer IT dienstverleners een must.

Onze werkwijze

Onze gekwalificeerde IT-auditors voeren professioneel duidelijke en betaalbare audits gebaseerd op ISAE 3000 uit. Wij zijn aangesloten met de Nederlandse Orde van Register EDP-auditors (NOREA). Bij een ISAE 3000-traject denken wij intensief en proactief met u mee over het referentiekader (control framework), de set van beheersingsmaatregelen en de beheersingsdoelstellingen. Vervolgens beoordelen wij onafhankelijk of de beheersingsmaatregelen ook daadwerkelijk worden uitgevoerd zoals ze zijn beschreven.

Meer informatie over ISAE 3000?

Voor meer informatie over ISAE 3000 of over de dienstverlening van ABAB IT-audit en -advies kunt u contact opnemen met Marco van der Voorden, directeur Audit & Assurance, via telefoonnummer 013-4647259 of stuur Marco een e-mail.