Bossers & Cnossen behaalt ISAE 3402 type I verklaring
Onlangs ontving Bossers & Cnossen de ISAE 3402 type I verklaring. De scope van deze verklaring omvat de beheersorganisatie die nodig is voor een professionele IT-dienstverlening.
Wat is een ISAE 3402 verklaring?
Steeds meer organisaties besteden functies en activiteiten op het gebied van informatie- en communicatietechnologie uit aan IT-dienstverleners. Steeds vaker zijn dit functies en activiteiten die bij een verstoring een grote impact hebben op de bedrijfsvoering. Een continu goed functioneren van de IT-dienstverlening is dus van essentieel belang.
Afspraken hierover worden doorgaans vastgelegd in een Service Level Agreement (SLA) die periodiek geëvalueerd worden op basis van de geleverde prestaties. Echter een SLA biedt onvoldoende zekerheid over de kwaliteit van de dienstverlening. Dit is een reden waarom organisaties periodiek een onafhankelijk oordeel willen over de kwaliteit van de uitbestede functies en activiteiten. Een van de mogelijkheden is de uitvoering van een ISAE 3402 assurance opdracht.
Waarom ISAE 3402?
Wanneer een gebruikersorganisatie processen uitbesteed, blijft de gebruikersorganisatie echter zelf (eind)verantwoordelijk. Denk hierbij aan de verwerking van persoonsgegevens, beveiliging van data, encryptie en rechtmatige toegang tot applicaties. Daarom is het van belang dat een serviceprovider kan aantonen dat de aan haar uitbestede processen intern bewaakt worden. Dat kan bijvoorbeeld door het laten uitvoeren van een assurance opdracht door een onafhankelijke auditorganisatie.
Accountantseisen
Steeds vaker eisen accountants een ISAE 3402 rapportage van organisaties die hun IT-processen uitbesteden aan een serviceprovider. Voor sommige financiële instellingen is zelfs in de ‘Wet financieel toezicht’ vastgelegd dat zij moeten aantonen dat de serviceorganisatie de uitbestede processen intern beheerst. Als organisatie wil je zeker weten dat jouw (financiële) data integer is, veilig wordt opgeslagen en de vertrouwelijkheid ervan geborgd blijft. Met ISAE 3402 wordt dat aangetoond.
Foto én film
Ook certificaten (ISO 27001/27002, ISO 20000 e.d.) zijn belangrijke bewijsstukken voor kwaliteit en dat aan (inter)nationale standaarden en best practises worden voldaan. Echter veel certificaten zijn een momentopname (een foto) van de kwaliteit die op het moment van de audit is geconstateerd.
Bossers & Cnossen was op zoek naar een ‘onafhankelijk oordeel’ over de kwaliteit van dienstverlening gedurende een langere periode. Niet alleen een foto, maar een film!
Volgende stap: type II
ISAE 3402 kent twee varianten: type I en type II. Een type I-rapportage (“de foto“) heeft betrekking op een specifieke datum waarop door de auditor is vastgesteld of het risicobeheersingsmodel en de beheersmaatregelen het normenkader afdekken. Dit wordt aangeduid als de ‘opzet en bestaan’ en is op 12 juni jl. vastgesteld. Het doel is om in december de type II verklaring (“de film“) te verkrijgen. Hiermee wordt aangetoond dat naast opzet en bestaan, de werking van de processen en beheersingsmaatregelen gedurende een periode van 6 maanden heeft voldaan aan beheersingsdoelstellingen en kwaliteitscriteria.
