Eisen die ISAE 3402 aan een service-organisatie stelt
De ISAE3402 legt serviceorganisaties een aantal eisen op. Het zijn eisen waaraan de nodige tijd en moeite moet worden besteed, maar vormen dan ook een uitdaging om de service organisatie op een hoger plan te brengen en te laten voldoen aan deze wereldwijd geaccepteerde standaard.
Belangrijk is dat de relevante onderdelen goed begrepen worden, zoals in deze ISAE 3402 norm zijn uiteengezet. Het begin met een praktische , maar toch ook diepgaande beschrijving van het gebruikte beheersysteem.
De beschrijving van het beheersysteem kent een aantal eisen waaraan minimaal moet worden voldaan:
- Een op schrift gestelde beschrijving met toelichting van alle relevante diensten die de service organisatie biedt, bijvoorbeeld toegespitst op type processen of type transacties
- Een op schrift gestelde beschrijving met toelichting van alle relevante procedures voor de geleverde diensten, middels IT systemen of handmatige processen voor het initiëren, vastleggen, rapporteren en corrigeren.
- Een op schrift gestelde beschrijving met toelichting van alle gegevensbestanden met gebruikersstructuren en andere ondersteunende informatiebronnen die worden gebruikt ter ondersteuning van de (primaire) processen
- Een op schrift gestelde beschrijving met toelichting hoe de gebruikersorganisatie wordt geïnformeerd middels rapportages en andere informatiebronnen
- Een op schrift gestelde, gespecificeerde lijst van alle beheerdoelen (control objectives) binnen de context van de ISAE 3402 verklaring zonodig met een toelichting van eventuele afwijkingen binnen het geheel van alle beheerdoelen.
- Een op schrift gestelde beschrijving met toelichting van de onderdelen van het eigen beheersysteem (internal control) van de service organisatie, bijvoorbeeld gebaseerd op het COSO-model (1. Control Environment, 2. Control Activities, 3. Information and Communication, 4 Risk Assessment, 5. Monitoring).
Aanvullende eisen van de ISAE 3402 norm zijn verder nog:
- Een op schrift gestelde beschrijving met toelichting van alle wijzigingen in het (beheer)systeem van de service organisatie gedurende de gespecificeerde testperiode (in geval van een ISAE 3402 rapport type II).
- Een op schrift gestelde beschrijving en verklaring m.b.t. alle informatie gerelateerd aan de service organisatie die ontbreekt of incorrect is.
- Een op schrift gestelde verklaring (statement of assertion) van de service organisatie in samenhang met de systeembeschrijving en in geval van een ISAE 3042 type II rapport, dat het systeem op effectieve wijze heeft gefunctioneerd tijdens de testperiode.
- Het identificeren van risico's die de verwezenlijking van de beheerdoelen (control objectives) bemoeilijken, wat vooral een discussie is tussen de service organisatie en de service auditor.
Bedenk dat het samenstellen van een goede systeembeschrijving de nodige tijd en moeite vraagt. Bekijk de geleverde diensten maar ook alle ondersteunende processen, beleidsissues, procedure en alle andere operationele activiteiten die het dagelijks functioneren van de service organisatie ondersteunen en faciliteren.