De ISAE 3402-verklaring
ISAE 3402 staat voor International Standard for Assurance Engagements en is een auditstandaard voor rapportage over beheersing van uitbesteedde processen. Er zijn twee verschillende typen ISAE 3402:
- ISAE 3402 type 1: Hierbij wordt beoordeeld of beleid en/of processen zijn beschreven en geïmplementeerd omtrent de maatregelen die binnen de scope vallen. Hierbij beoordeelt de auditor of de beschreven situatie overeenkomt met de praktijk. Dit wordt getoetst aan de hand van één meetmoment.
- ISAE 3402 type 2: Hierbij wordt beoordeeld of de maatregelen dusdanig hebben gewerkt om de doelstellingen te behalen. Daarvoor is het van belang dat er over een periode van minimaal zes maanden bewijs wordt verzameld.
Met behulp van een ISAE 3402-rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst worden.
SOC-rapportages
SOC staat voor Service Organisation Control. Een SOC-rapportage is opgesteld volgens specifieke rapportagenormen en gaat in op de opzet, het bestaan en de werking van beheersmaatregelen die zijn getroffen voor uitbestede processen. Ook hier bestaan verschillende soorten rapportages. Het verschil hierin echter is niet de diepgang maar het rapportagegebied:
- SOC 1: Rapporteert over de opzet en werking van beheersmaatregelen met betrekking tot financiële verslaglegging van een organisatie.
- SOC 2: Rapporteert over de opzet, het bestaan en de werking van operational IT-controls met betrekking tot uitbestede processen. Hierbij worden vaste principes gehanteerd (Trust Services Criteria) op het gebied van beveiliging, beschikbaarheid, integriteit en privacy.
- SOC 3: Betreft een verkorte versie van een SOC 2-rapportage en rapporteert enkel de hoofdlijnen zonder technische maatregelen te benoemen. Deze rapportage kan alleen aangevraagd worden wanneer er een SOC 2-rapportage bestaat. SOC 3 is met name bedoeld om aan huidige en potentiële opdrachtgevers te laten zien dat er afdoende maatregelen zijn getroffen om risico’s met betrekking tot beveiliging, beschikbaarheid, privacy en vertrouwelijkheid van data te beperken. Een SOC 3 kunt u dus publiekelijk delen.
Het verschil
Zoals u hierboven wellicht al las lijken de ISAE 3402 type 2 en een SOC 2-rapportage lijken dus veel op elkaar. Het verschil is met name het toetsingskader.
Het toetsingskader van een ISAE-verklaring wordt gedefinieerd door de uitbesteding zelf en de financiële processen/relatie met de jaarrekening. Met name in de financiële wereld wordt gebruikelijk een ISAE 3042 assurance verklaring gevraagd. Tevens is het beheersingskader (beheersdoelstellingen en -maatregelen) zelf samen te stellen. De gedachte hierachter is dat de risico’s van uitbesteding van activiteiten afhankelijk zijn van de situatie.
Bij een SOC 2-rapportage wordt het toetsingskader niet gevormd door de uitbesteding zelf, maar juist door informatiebeveiliging. SOC 2-rapportages richten zich dus niet specifiek op financiële processen. Bij een SOC 2-rapport wordt de scope bepaald door vooraf gedefinieerde beheersdoelstellingen (Trust Service Criteria) op het gebied van beveiliging, beschikbaarheid, integriteit en privacy binnen een dienstverlenende organisatie. De opdrachtgevers willen voornamelijk weten of er op de juiste manier wordt omgegaan met informatiebeveiliging en privacy.
ISO 27001
ISO 27001 is een wereldwijd erkende standaard op het gebied van informatiebeveiliging en is ontwikkeld met als doel om richtlijnen te verstrekken (‘best practices’) voor de installatie en exploitatie van een Information Security Management System (ISMS). Het ISMS concentreert zich op de processen die nodig zijn voor de core business. De focus ligt niet op IT, maar op informatie. ISO 27001 kent geen toetsingskader en is om die reden voor een accountant van beperkte toegevoegde waarde. Na een succesvolle ISO-audit ontvangt u uiteindelijk een certificaat dat drie jaar geldig is, mits de jaarlijkse controles ook succesvol afgerond worden.
Het volgen van de ISO 27001 standaard ondersteunt bij het voldoen aan de NIS2-richtlijn. Meer informatie hierover kunt u vinden in ons artikel over de nieuwe NIS2-richtlijn.
Meer informatie
Onze specialisten kunnen u helpen bij het verkrijgen van een Assurance-verklaring. Daarnaast hebben we ervaring met het begeleiden van ISO-trajecten. Wilt u hier meer informatie over of heeft u nog vragen naar aanleiding van dit artikel? Onze specialisten helpen u graag. Neem contact op via onderstaande button of per e-mail: IT-Advies@vanoers.nl
