Wanneer u diensten omtrent financiële verslaglegging uitbesteedt aan externe partijen is daar veel informatie bij betrokken. Informatie waarvan u wilt dat deze goed beveiligd wordt. Doordat de zaken uitbesteed zijn, is er niet altijd direct goed inzicht in de processen en is er geen directe invloed op de werkzaamheden. Om dit inzicht toch te verkrijgen en zekerheid te hebben over de juistheid van de processen is het ISAE 3402/SOC 1* rapport ontwikkeld.
*ISAE 3402 en SOC 1 zijn vergelijkbaar met elkaar. Een dergelijk rapport wordt in Europa ISAE 3402 genoemd en in de Verenigde Staten SOC 1.
Wat is ISAE 3402/SOC 1?
De ISAE 3402/SOC 1 standaard is ontstaan vanuit de wens van organisaties om meer inzicht en controle te hebben op uitbestede zaken. ISAE staat voor International Standards on Assurance Engagements. Alleen auditoren aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE verklaring afgeven. De standaard beschrijft waar een auditor op moet letten wanneer het uitbestede diensten beoordeeld. Er wordt gecontroleerd of de uitbestede processen daadwerkelijk ‘in control’ zijn; zijn er voldoende maatregelen om fraude te voorkomen?
In het ISAE 3402/ SOC 1 worden twee soorten bedrijven onderscheiden. De gebruikersorganisatie (opdrachtgever van de serviceorganisatie) en de service organisatie (de partij die uitbestede processen uitvoert). Na een ISAE 3402/ SOC 1 audit ontvangt de service organisatie het Service Organisatie Control-rapport (en dus geen certificaat). De service organisatie kan de rapportage verspreiden onder de gebruikersorganisatie(s) (de klant en haar accountants). Dit rapport is er in twee vormen; Type I en Type II. Deze twee rapportages lijken veel op elkaar, enkel is de audit bij ISAE 3402 Type II veel uitgebreider dan bij ISAE 3402 Type I. Type I geeft namelijk een beeld van een bepaald moment (bijvoorbeeld 31 december) en de interne beheersingssysteem en beheersmaatregelen worden getoetst op opzet en bestaan. Bij type II wordt gedurende een vooraf aangegeven periode van minimaal zes maanden de effectieve werking van maatregelen getoetst. Meestal wordt er voor Type II gekozen, men kiest voor Type I als er op korte termijn gerapporteerd moet worden, ze onder toezicht staan en verantwoording af moeten leggen over uitbestede processen of wanneer een organisatie dit zelf wil uit commercieel oogpunt.
De gebruikersorganisatie ontvangt altijd een rapport, ongeacht of er afwijkingen zijn geconstateerd. Dit staat dan uiteraard vermeld in het rapport. Het is aan de lezer van het rapport om te beoordelen of de processen van voldoende kwaliteit zijn.
Voor wie is ISAE 3402/SOC 1 geschikt?
ISAE 3402/ SOC 1 rapporten werden van origine met name gevraagd door financiële instellingen en grote bedrijven (vaak beursgenoteerd). De vraag is dan om de IT, financiële of credit management processen die uitbesteed zijn aan een controle te onderwerpen. ISAE 3402/ SOC 1 wordt dan vaak uitgevoerd voor de volgende gebruikerspartijen: IT-dienstverleners, software partijen, hosting bedrijven, salarisverwerkers en pensioenfondsen. Tegenwoordig is outsourcing standaard geworden voor meer bedrijven en is ISAE ook de outsourcing standaard die door kleinere organisaties wordt gevraagd en toegepast.
Wilt u diensten laten checken zonder financieel aspect, dan is daarvoor de ISAE 3000/ SOC 2. Deze standaard is voor security en overige niet financiële informatie.
Waarom ISAE 3402/ SOC 1?
Omdat ISAE 3402/ SOC 1 steeds meer wordt gevraagd door financiële instellingen en grote bedrijven, bent u met een ISAE 3402/ SOC 1 rapport goed voorbereid op deze vraag. Bijkomend voordeel van een ISAE 3402/ SOC 1 standaard is dat het een internationaal erkende standaard is, oftewel aan internationale partners kan dit rapport overlegd worden. Daarnaast krijgt u meer inzicht in de risico’s en wordt uw risicomanagement daarmee verbeterd. Door deze professionaliseringsslag geeft u een mooi visitekaartje af dat uw processen in control zijn.
Combinatie met ISAE 3402/ SOC 1 met ISO 27001
Omdat de ISO 27001 en ISAE 3402/ SOC 1 op veel vlakken vergelijkbaar zijn is het logisch deze te combineren en tegelijk uit te laten voeren. Dit heeft onder andere als voordeel dat u als klant efficiënter de audits ondergaat, maar één keer de diverse onderdelen hoeft toe te lichten en daardoor in totaal minder tijd kwijt bent.
ISAE 3402/ SOC 1 via TÜV NORD
Via TÜV NORD kunt u een ISAE 3402/ SOC 1 audit laten uitvoeren. Met onze ervaring met betrekking tot informatieprocessen, kunnen wij u een gedegen rapport overhandigen. Alleen auditoren aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE-verklaring afgeven. Door middel van een partnership met Conclude Accountants hebben wij deze verklaring in huis. Daarnaast is er dus een eventuele combinatie met ISO 27001 certificering te maken. Bepaalde aspecten uit de ISO 27001 norm, komen terug in de ISAE 3402/ SOC 1 standaard waardoor er een efficiëntieslag gemaakt kan worden door ze beide te combineren. En omdat TÜV NORD de planning voor zijn rekening neemt voor beide trajecten, heeft u ook nog eens één aanspreekpunt.
Waarom TÜV NORD voor jou een sterke partner is
Onafhankelijkheid
TÜV NORD Nederland is een technische en zakelijke serviceprovider in onafhankelijke beoordeling zoals certificering, keuring, inspectie en training. We bevorderen sinds 1981 veiligheid, kwaliteit, betrouwbaarheid en leefomgeving.
Expertise
Je hebt één van onze experts aan je zijde. TÜV NORD heeft een team van experts op het gebied van cybersecurity, die geaccrediteerd zijn voor certificering, testen en inspectiediensten.
Internationaal expertnetwerk
Wij zijn onderdeel van de TÜV NORD GROUP, met tienduizenden activiteiten in 70 landen en meer dan 10.000 werknemers (in FTE). Wij ondersteunen bij al je IT-vraagstukken, ook over de grens.
Industriële ervaring
In Nederland beoordelen onze ruim 300 vakmensen dagelijks producten, diensten, systemen, arbeidsmiddelen, transportmiddelen, machines en cybersecurity. Dat doen we in de meest uiteenlopende branches.
Praktisch en laagdrempelig
TÜV NORD Nederland onderscheidt zich door haar nuchtere, laagdrempelige en praktijkgerichte kijk op beoordelen. Wij maken aantoonbaar dat jouw organisatie voldoet aan de gestelde eisen voor betrouwbaarheid.
Gericht op verbetering
Tijdens onze beoordelingen identificeren we heel feitelijk risico’s en pijnpunten, om draagvlak voor verbetering te verkrijgen. We helpen bedrijfsrisico’s zoveel mogelijk te beperken en ondersteunen de continuïteit van jouw organisatie.