De eisen van een ISAE 3402 rapportage

Hoek en Blok.IT

Een ISAE 3402 rapportage is in eerste instantie niet verplicht. Het wordt niet verplicht zoals een jaarrekeningcontrole een wettelijke verplichting is. Wel kan het de jaarrekeningcontrole ondersteunen, aangezien een ISAE 3402 processen controleert die betrekking hebben op financiële aspecten en dus ook relevant zijn voor de jaarrekening. Toch worden bedrijven uiteindelijk toch nog wel verplicht om een ISAE 3402 verklaring aan te vragen aangezien dit vanuit klanten geëist wordt. Met een ISAE 3402 verklaring wordt dan duidelijk dat IT diensten die direct relevant zijn voor de financiële verslaggeving van de klant beheerst worden en voldoende maatregelen aanwezig zijn om o.a. fraude te voorkomen.

De ISAE 3402 rapportage

De eisen van de ISAE 3402 worden voornamelijk bepaald door de jaarrekeningcontrole. Alle processen die effect hebben op de financiële processen moeten worden opgenomen. Dit zijn vaak de operationele-, financiële processen en de General IT Controls. Echter zijn er wel een aantal verplichte onderdelen die in het rapport opgenomen moeten worden. Deze zijn:

  • Een beschrijving van het control raamwerk met een volledige risico raamwerk
  • De criteria waarop de rapportage getoetst is
  • Een control matrix waarin de relevante maatregelen zijn opgenomen om de risico’s te verminderen

Wat hier vaak aan toegevoegd wordt is een algemene beschrijving van de organisatie, waarin de organisatiestructuur wordt opgenomen en beschreven welke activiteiten zij uitvoeren. Hiernaast is er in Nederland een ‘best practice’ ontstaan voor het opstellen van een ISAE 3402 rapportage met een vastgestelde wijze van beschrijving van de beheersmaatregelen. Hiervoor is het handig om met een IT-adviseur te praten.

Voldoen aan de ISAE 3402

Om geschikt te zijn voor een ISAE 3402 verklaring wordt er van de organisatie verwacht dat zij hun processen op orde hebben en een goede aantoonbare beheersing hebben. Hiervoor zijn beheermaatregelen nodig. Enkele beheersmaatregelen die verwacht worden bij een ISAE 3402 certificering zijn:

  • Het hebben van een informatiebeveiligingsbeleid
  • Bewustwording van medewerkers
  • Maatregelen ter beheersing van applicaties en systemen
  • Maatregelen voor de beveiliging van fysieke locaties en apparatuur

Niet zeker of jouw organisatie voldoet aan de eisen van een ISAE 3402? Als je met Hoek en Blok.IT een audit wilt uitvoeren zullen wij je adviseren en ondersteunen om ervoor te zorgen dat jou bedrijf hier gegarandeerd aan voldoet!

Lees meer over ISAE 3402

privacy-en-IT-security-certificering

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en we nemen contact met je op.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.