IT audits - ISAE 3402 audit en advies - AuditConnect

ISAE 3402 audit en advies

AuditConnect biedt experts die op korte termijn, professioneel, duidelijke en betaalbare ISAE 3402 kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA).

Bij een ISAE 3402 beoordeelt een onafhankelijke auditor de kwaliteit van de uitbestede activiteiten van een service organisatie aan de gebruikersorganisatie en het daardoor ‘in-control’ zijn over deze activiteiten door de gebruikersorganisatie.

Wilt u een ISAE 3402 laten uitvoeren of informatie over deze verklaring? Neem contact op, bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. AuditConnect helpt u graag verder!

Waarom een ISAE 3402

Veel (gebruikers)organisaties besteden delen van hun activiteiten uit aan serviceorganisaties. Het betreft steeds vaker activiteiten die bij verstoring een grote impact kunnen hebben op de gebruikersorganisatie. Daarom is het continue goed functioneren van de serviceorganisatie van essentieel belang voor de gebruikersorganisatie. Afspraken over de dienstverlening worden vaak vastgelegd in een Service Level Agreement (SLA). De SLA biedt over het algemeen echter niet voldoende zekerheid over de kwaliteit van de dienstverlening van de serviceorganisatie.

Dit is de reden waarom de gebruikersorganisatie periodiek gerapporteerd wil worden over de kwaliteit van de uitbestede activiteiten door een onafhankelijke auditor. De rapportage over uitbestede activiteiten heet een ISAE 3402-verklaring.
Met de ISAE 3402-verklaring toont de serviceorganisatie aan in hoeverre zij voldoet aan de kwaliteitseisen van de gebruikersorganisatie. Deze informatie is van belang voor de gebruikersorganisatie om vast te stellen in hoeverre zij in control zijn over de uitbestede activiteiten.

Officiële status van ISAE 3402

Op 18 december 2009 heeft de IAASB de TPA-standaard gepubliceerd: de ISAE 3402 (International Standard for Assurance Engagements). De ISAE 3402 heeft in 2013 de SAS70 standaard vervangen. De ISAE 3402-verklaring is een internationale standaard die door nationale beroepsorganisaties, zoals de Nederlandse Beroepsorganisatie voor Accountants (NBA) en Nederlandse Organisatie Register EDP-auditors (NOREA), is opgenomen in hun body of standards. Hierdoor mogen Register accountants (RA) en Register EDP-auditors (RE) de verklaring afgeven.

Meer dan alleen financiële processen

De ISAE 3402 kent een uitgebreidere scope dan de SAS70 waardoor deze voor een bredere soort activiteiten is toe te passen. De scope beperkt zich niet tot de beheersmaatregelen voor de financiële processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit kunnen worden opgenomen in een ISAE 3402-rapport. De nadruk ligt met name op de beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen.

Welke audit of onderzoek?

Specifiek op het gebied van audits is bijvoorbeeld de DigiD-audit of ISAE 3402 of meer algemene IT-audits zoals de Security audit en de Privacy audit. AuditConnect heeft een breed scala aan audits en onderzoeken die ze voor u kan verzorgen, TPM, SSAE 16, Pentesten, Ethical hacker, ISAE 3000, System audit, Continuïteits-audit, Informatiebeveiliging, EDP-audit, ISO 27001, ISO 27002, ISO 27005, Informatiebeleid, Implementatie en auditing van General IT Controls en IT-audit bij gemeenten. Hiernaast vindt u een overzicht van onze diensten met meer informatie per onderzoek/audit. AuditConnect adviseert u graag over welk type het beste geschikt is voor uw organisatie.

De ISAE 3402 type 1 versus de ISAE 3402 type 2

De ISAE 3402 kent twee typen rapportages, het type I-rapport betreft een momentopname. Hierin wordt beschreven hoe een het proces en de beheersingsmaatregelen zoals deze op een bepaald moment zijn geïmplementeerd. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. Een type I-rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

Het type II-rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming is met de beschrijving. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode gecontroleerd.

Welk type ISAE 3402 is voor onze organisatie van toepassing?

Welk type moet worden uitgevoerd wordt vaak bepaald door de uitbestedende organisatie. Zij stellen veelal in een overeenkomst welke type rapport zij willen ontvangen. Als de serviceorganisatie zelf de keuze heeft adviseren wij om bij een eerste ISAE 3402-traject te beginnen met een type I. Op basis daarvan kan worden vastgesteld welke beheersmaatregelen nog moeten worden ingericht of moeten worden verbeterd. Nadat de verbetering is gebruikersorganisatie doorgevoerd kan na minimaal 6 maanden een type II worden uitgevoerd. AuditConnect adviseert uw bedrijf graag over welk type het beste geschikt is voor uw organisatie.

Organisaties die de onderstaande diensten leveren komen in aanmerking voor een ISEA 3402:

  • Uitvoeringsinstanties voor hypotheken en pensioenen
  • Payroll organisaties
  • App leveranciers
  • Webbased software leveranciers
  • Managed BI leveranciers
  • Callcenters
  • Vastgoedbeheer
  • Hosting leverancier
  • Cloud leveranciers
  • SaaS leveranciers
  • Datacenters
  • Managed service leveranciers
  • Internet providers
  • Uitvoerings Instanties voor medische claims

Audit/onderzoek voorbereiden

AuditConnect kan ook een Pre-audit voor u verzorgen. Met een pre-audit kunnen we in kaart brengen in hoeverre uw organisatie voldoet aan de normen van een bepaald certificaat. AuditConnect voert bijvoorbeeld de pre-audits uit voor onder meer NEN 27001 (Informatiebeveiliging), NEN 7510/11 (Informatiebeveiliging in de zorg) en NEN 20000 (Service Management). De uitkomsten van onze pre-audit vormen de basis voor uw verbetertraject: ‘wat moet er nog gebeuren om te voldoen aan de norm’?

Ook kunt u na onze pre-audit beter inschatten of daadwerkelijke certificering een haalbare kaart is. Hiermee voorkomt u onnodige kosten. Wij kunnen naast de genoemde audits nog veel meer voor u betekenen. Zoals het uitvoeren van gegevens- en bestandsaudits, privacy audits in het kader van de Wet bescherming persoonsgegevens en due-dilligence (overname) onderzoeken.

Liever een algemene ICT-audit of advies? Dat doen we ook graag voor u. Dan voeren wij in een kort tijdsbestek in overleg met u een deskundig, onpartijdig en onafhankelijk onderzoek uit naar de kwaliteit van uw ICT. Hierbij kunt u denken aan onder andere betrouwbaarheid, beschikbaarheid en integriteit. Zo houden wij uw organisatie een spiegel voor op het gebied van automatisering en bieden we u de instrumenten voor betere prestaties. Een investering die zichzelf terugverdient

Wilt u een audit uit laten voeren?

Onze geregistreerde IT-auditors komen graag met u in contact, bel 055-3010100 of mail info@auditconnect.nl ons om vrijblijvend te praten over de mogelijkheden en oplossingen.

Audit trainingen

Wij geven ook trainingen op het gebied van audits waarin deelnemer via de hands-on oefeningen de essentials van de IT-audit en de werking van de verschillende onderdelen van
IT-governance leren. Onze uitgebreide praktijkervaring heeft geresulteerd in een programma
met de essentiële onderdelen van de IT-audit. De deelnemer is na de training IT-audit Essentials in staat om zelfstandig een IT-audit uit te voeren en te analyseren wanneer een
EDP-auditor moet worden ingeschakeld.

AuditConnect werkt onder andere voor de volgende bedrijven:

logo ActuIT - referentie ActuIT - AuditConnect
Logo Axxerion - Axxerion - AuditConnect
Logo Berkman Trading - Berkman Trading - AuditConnect
logo Connexys - referentie Connexys - AuditConnect
Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect
Gemeente Borne - Gemeente Borne - AuditConnect
Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect
Logo HR2day - HR2day - AuditConnect
INERGY - INERGY - AuditConnect
logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect
logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect
Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect
Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect
logo Caresharing - NEN7510 Caresharing - AuditConnect
Logo Parnassia - Parnassia Groepp - AuditConnect
Logo Progress - Progress - AuditConnect
logo Salure - Salure - AuditConnect
logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect
logo UNI-learning - UNI-Learning - AuditConnect
logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect
VSV Noorderpoort - VSV Noorderpoort - AuditConnect

Meer referenties Cases / referenties - AuditConnect