Wat is ISAE en wat zijn de verschillende soorten?

Als er een IT-onderneming wordt gestart, komt daar automatisch wet- en regelgeving bij kijken. Door de toegenomen internationale concurrentie en diverse ontwikkelingen, kiezen steeds meer bedrijven voor het outsourcen van bepaalde IT-processen. IT-outsourcing is het (deels) uitbesteden van ingehuurde diensten. Dit kan gaan over dataverwerking en -opslag in service-centra. Tegenwoordig gelden er hoge eisen voor IT-outsourcing. Organisaties en toezichthouders kregen ook meer behoefte aan inzicht in en beheersing van deze outsourcing, daardoor is ISAE ontstaan.

Wat is het doel van ISAE?

Organisaties die outsourcen hebben soms beperkt inzicht in de uitbestede processen. Om niet alleen de kwaliteit, maar ook de veiligheid van IT-outsourcing te behouden zijn de assurance rapporten in het leven geroepen. Deze rapporten staan ook wel bekend als de ISAE verklaringen. Het doel hiervan is objectieve informatie in kaart te brengen over de mate waarin de dienstverlening in overeenstemming is met de afgesproken eisen. Zeker op het gebied van informatiebeveiliging wil je hier grip op hebben. Bovendien eist ook de accountant hier een vorm van zekerheid over.

Wat is ISAE?

ISAE staat voor International Standard on Assurance Engagements. De assurance, oftewel zekerheid, wordt gegeven wordt door een assurance onderzoek te laten uitvoeren. Deze wordt uitgevoerd door een onafhankelijke IT-auditor die geregistreerd staat bij NOREA. Er zijn drie partijen betrokken bij een audit: een partij die zich verantwoordt, de toetsende IT-auditor en een derde partij die gebruikmaakt van de uitkomsten van het onafhankelijke oordeel. De beoordeling van de auditor wordt verwerkt in een ISAE rapport en dit rapport kan als ‘bewijsstuk’ dienen voor de kwaliteit van de dienstverlening. Hiermee garandeert een serviceorganisatie niet alleen dat alle maatregelen en processen op orde zijn, maar ook dat deze daadwerkelijk effectief waren.

Er zijn verschillende soorten ISAE verklaringen. Ze verschillen onder andere op het vlak van een vast of vrij toetsingskader, scope en risicobenadering. De klant is bepalend voor welke ISAE ze vragen. We zetten de meest voorkomende op een rij:

Verschillende soorten ISAE verklaringen

Deze richtlijn wordt gebruikt als een opdrachtgever een oordeel wenst te krijgen. Vaak wordt dit gebruikt wanneer er geen assurance nodig is en er een specifiek deelgebied of onderdeel beoordeeld moet worden. De scope is dan beperkt en de werkzaamheden dienen een bepaald doel. De auditor voert de specifieke werkzaamheden uit en rapporteert de feitelijke bevindingen, maar geeft geen oordeel.

Bij het uitbesteden van diensten die niét te maken hebben met financiële transactieverwerking kan een serviceorganisatie met behulp van een ISAE 3000-rapportage informatie en zekerheid aan derden verschaffen. Dit ISAE 3000-rapport gaat dan over de getroffen interne beheersmaatregelen. Diverse specifieke rapportages worden uitgebracht onder de ISAE 3000-richtlijn, zoals DigiD-audits en Suwinet-audits.

Bij het uitbesteden van diensten die wel te maken hebben met financiële transactieverwerking kan een serviceorganisatie gebruik maken van een ISAE 3402-rapportage. Deze zijn voor een accountant van belang voor de jaarrekeningcontrole. Er zijn twee varianten van ISAE 3402-rapportages; een type I- en een type II-rapportage. Een ISAE 3402 type I verklaring richt zich op het bestaan van risicomanagement en interne beheersing, een ISAE 3402 type II verklaring bevestigt ook de effectieve werking gedurende een bepaalde periode.

De ISAE 3000 | SOC 2 is een assurance rapport en niet een certificering zoals de ISO 27001. Echter zien veel eindgebruikers dit als hetzelfde. Het belangrijkste verschil is dat ISAE 3000 | SOC 2 een systeembeschrijving vereist die doormiddel van een scope, een beschrijving van de relevante processen, bedrijfspraktijken, de controles en auditorvalidatieprocedures beschrijft.

Kwaliteit en openheid staan bij Detron hoog in het vaandel

In onze jaarverslagen geven we graag openheid van zaken. We nemen je mee in onze ideeën, strategie en visie en tot op de laatste euro nauwkeurig lees je wat onze resultaten zijn. Ook kwaliteit, milieu en veiligheid nemen we zeer serieus. Daarom laten we onze ISO 9001, ISO 14001, ISO 27001 en NEN 7510 certificering én ons ISAE 3000A type 2 | SOC2 assurance rapport jaarlijks onafhankelijk toetsen. Een extra garantie voor kwaliteit!

Jaarverslagen

In onze jaarverslagen geven we graag openheid van zaken. We nemen je mee in onze ideeën, strategie en visie en tot op de laatste euro nauwkeurig lees je wat de resultaten van onze inspanningen zijn.

Download jaarverslagen

Certificeringen

Bij Detron nemen wij kwaliteit, milieu en veiligheid zeer serieus. Daarom laten we onze certificering jaarlijks onafhankelijk toetsen. Een extra garantie voor kwaliteit!

Bekijk certificeringen