SSAE16  SAS70  ISAE3402
Het klikte meteen goed. Hut&Co EDP Audit is een echte no nonsens auditor. Ze verliezen zich niet in punten die niet van belang zijn en houden de grote lijnen goed in de gaten. Lees verder..

Arie Koops, informatiemanager bij de Callas Group

Wat is ISAE 3402


De ISAE 3402 is een "internationale" standaard, die in ontwikkeling is en in Nederland naar verwachting in de loop van 2010 de SAS70 standaard zal vervangen. Deze standaard ziet toe op zogenaamde Third Party Assurance rapportages. Met zo’n derdenverklaring wordt aangegeven dat een serviceorganisatie, waar een gebruikersorganisatie activiteiten aan heeft uitbesteed, ‘in control’ is.

Steeds meer bedrijven besteden delen van hun activiteiten uit aan serviceorganisaties. Voorbeelden van deze uitbestede activiteiten zijn het beheer van rekencentra, de afhandeling van vragen via externe call centra of het uitbesteden van gegevensverwerkende geautomatiseerde processen.
Uitbesteding van deze activiteiten betekent niet dat de verantwoordelijkheid wordt ‘uitbesteed’. Het management van de gebruikersorganisatie blijft verantwoordelijk voor de beheersing van deze processen, ook al zijn de afspraken vastgelegd in een duidelijk Service Level Agreement (SLA).

De ISAE 3402 standaard kent een uitgebreidere scope dan de aloude SAS70 standaard waardoor deze voor een bredere scope aan beheersingsmaatregelen is toe te passen. De scope beperkt zich niet tot de beheersdoelen voor de richtlijnen van de financiele rapportage. In deze verschilt de ISAE 3402 standaard van de SAS 70 standaard. De belangrijkste overeenkomst is dat de standaard leidt tot een derdenverklaring (TPM - Third Party Mededeling); beide standaarden kennen 2 verschillende type rapportages, elk met een vergelijkbare opzet.
Een wezenlijk verschil met de SAS 70 verklaring is dat bij ISAE 3402 het management van de serviceorganisatie een formele verklaring (een zogenaamde'"management assertion") moet afgeven voor zijn verantwoordelijkheid voor de beheersmaatregelen uit deze verklaring.

De ISAE3402 standaard kent ook 2 type rapportages:
- Type I: voor de opzet en het bestaan van beheersmaatregelen
- Type II: Naast de opzet en het bestaan ook de effectieve werking van de beheersmaatregelen voor een bepaalde periode.

De verwachting is dat deze standaard in de loop van 2009 definitief wordt ("First adoption").

Share |