ISAE 3402

Third Party Assurance

ISAE3402:  Assurance rapportage financiële dienstverlening.

Organisaties en afdelingen besteden vaker diensten uit aan gespecialiseerde leveranciers, waaronder SaaS leveranciers en Service providers.

Externe toezichthouders eisen vaker dat de leveranciers zekerheid bieden over de geleverde diensten, inclusief alle onderaannemers. Dit kan d.m.v. van de uitvoering van een ISAE3402 audit bij de dienstverlener, waarna er een IAsssurance wordt afgegeven als een ISAE3402 statement.

Wij bij Cyberus beschikken over gecertificeerde Auditors en Consultants, en begrijpen hoe wij organisaties kunnen ontlasten en ontzorgen in het verkrijgen en behouden van een ISAE3402 statement. 

De Cyberus Consultants begeleiden organisaties, van MKB tot Corporates, met het behalen van de ISAE3402 assurance als een IT Audit en Compliance partner. Daarnaast zijn de Cyberus Auditors instaat om ISAE3402 audits uit te voeren en assurance statements af te geven.

Voor meer informatie neem gerust contact met ons op!

ISAE 3402 Statement behalen'


 Wij vanuit Cyberus ontzorgen in het behalen van een ISAE 3000 statement.


In de uitvoering van de daadwerkelijke IT Audit, biedt Cyberus transparantie en efficiëntie in de uitvoering van de de ISAE 3402 audit.


Cyberus hanteert 4 fases voor zowel audit als advies voor ISAE 3402


Fase 1

Scoping &
Planning

De eerste stap is de inventarisatie van de scope van het ISAE3402 rapport, op basis hiervan wordt een planning voor het audittraject opgesteld.


Het doel hierbij is de planning van de 'ISAE3402 audit' of ' ISAE3402 implementatietraject' vast te stellen.


Er dient een keuze gemaakt te worden of het advieswerk betreft of de daadwerkelijke audit.

Fase 2

Risicoprofiel &
doelstelling

Na de scope en planning bepaling wordt er een risicoanalyse uitgevoerd evenals de beheersdoelstellingen opgesteld.


Het doel hiervan is de verdere specificatie van de doelstelling van de audit te specificeren van de daadwerkelijk uitvoering of implementatie.




Fase 3

Pre-audit &
Mitigatie

Gedurende de derde fase zal de pre-audit worden uitgevoerd om het geïmplementeerde controle mechanismes. Middels de pre-audit, kunnen de mogelijke bevindingen worden gemitigeerd.


Het doel is het

identificeren van de mogelijke bevindingen en deze te mitigeren voordat de daadwerkelijke audit en zal plaatsvinden.

Fase 4

Audit &
Assurance

Gedurende de vierde en laatste fase zal de audit worden uitgevoerd of zal er ondersteuning worden geleverd, t.b.v. de uitvoering van de audit. Dit ten behoeve van ontzorging.


Het doel is hierbij is de uitvoering van de audit of ondersteuning in het verkrijgen van een ISAE3402 assurance report in Type 1 of Type 2.

Third Party Assurance Financiële dienstverlening

In de afgelopen jaren heeft de uitbesteding van delen van de activiteiten door (gebruikers)organisaties aan serviceorganisaties een grote vlucht genomen. Voorbeelden hiervan zijn het uitbesteden van financiële diensten naar derde partijen voor o.a. hypotheken, vermogensbeheer, pensioenen en payrolling.

Verstoringen van deze uitbestede diensten kunnen grote impact hebben op de gebruikersorganisaties en het goed functioneren van deze processen zijn daarom van levensbelang voor de gebruikersorganisaties. Juist om deze reden willen de gebruikersorganisaties periodieke rapportages over de kwaliteit van uitbestede diensen. Deze periode rapportages dienen te worden opgesteld door onafhankelijke auditors en worden ISAE rapportages genoemd.

Een ISAE 3402 (International Standard on Assurance Engagements) rapport voor IT service organisaties is geschikt voor de service organisaties die de gebruikende entiteiten zekerheid willen bieden over beheersmaatregelen die relevant zijn voor de financiële rapportages van deze gebruikersorganisaties. 

Aanvullende informatie: ISAE3402 Type 1/2

Een ISAE 3402 rapport betreft een door de onafhankelijke auditor opgesteld assurance rapport dat inzicht in de kwaliteit van de uitbestede activiteiten van een service organisatie aan de gebruikersorganisatie verschaft. De ISAE 3402 is specifiek ontwikkeld voor uitbestedingen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie. Een ISAE 3402 rapportage kenmerkt zich door de volgende eigenschappen:
  • Standaard structuur Service Organisatie Control rapporten
  • Oordeel met redelijke mate van zekerheid 
  • Mogelijkheid tot variant Type I en Type II (hieronder uitgelegd)
  • Minimale review periode bij een type II van 6 maanden
  • Bedoeld voor een publiek welke de inhoud en doelstelling van het rapport kunnen begrijpen (management van de Service Organisatie zelf, management gebruikersorganisatie, gebruikers bij selecteren van potentiële serviceorganisatie, accountants, auditors en toezichthoudende autoriteiten). 
In het geval van een type I Service Organisatie Control-rapport toetst de auditor de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast. De beheersingsmaatregelen worden vastgesteld zoals deze op een bepaald moment geïmplementeerd zijn. 
Een type II rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende een vooraf bepaalde gedefinieerde periode hebben gewerkt (minimaal 6 maanden). 

De scope van een ISAE 3402 audit en rapport wordt bepaald door de procesinrichting binnen uw organisatie: alle controls welke relevant zijn (direct of indirect) voor de financiële verslaglegging dienen hierbij opgenomen te worden. Dit kunnen naast financiële processen ook non-financiële processen betreffen. De scope van een ISAE 3402 audit wordt in samenspraak met u door onze specialisten samengesteld.

Kennismaking

Voor een kennismaking met Cyberus, met de consultants en IT auditors over SOC2 neem gerust contact met ons op. 


Dit kan via virtuele afspraak of gewoon bij ons bij op kantoor met een kop koffie.


Ons kantoor is gevestigd bij de HSD (the Hague Security Delta) in Den Haag naast station Den Haag Laan van NOI. Parkeren is mogelijk onder het pand.


In contact met Cyberus