RAC | Jouw IT Sparringpartner

ISAE 3000/ 3402/ 4401

Om de kwaliteit van uw data (en data van derden) te waarborgen, is de ISAE (International Standard for Assurance Engagements) in het leven geroepen. Steeds meer organisaties besteden namelijk hun processen uit aan serviceorganisaties. De organisaties die hun processen uitbesteden blijven eindverantwoordelijk voor de interne beheersing. Hierdoor ontstaat de vraag hoe een serviceorganisatie processen beheerst. De ISAE geeft hier antwoord op. Onze IT auditors hebben allen ervaring in het testen van het ISAE raamwerk en het opstellen van het oordeelrapport. 

Meer informatie nodig? Neem dan contact door het onderstaand formulier in te vullen of bel ons via 085 4000 737.

Bekijk hieronder de verschillende ISAE standaarden.

ISAE 3000

Veelal gebruikt voor uitbestede processen van een serviceorganisatie (opdrachtnemer) die geen impact hebben op de financiële processen van de gebruikersorganisatie (opdrachtgever), maar vooral een impact op de operationele processen van de gebruikersorganisatie. Wij kunnen ondersteunen bij het opstellen van een ISAE 3000 type 1 rapport (opzet en bestaan beheersmaatregelen) en een ISAE 3000 type 2 rapport (effectieve werking beheersmaatregelen).

ISAE 3402

Aan service providers wordt de vragen gesteld; ‘Op welke wijze wordt data opgeslagen?’, ‘Hoe wordt omgegaan met change management?’, ‘Voldoet mijn leverancier aan wet- en regelgeving op het gebied van privacy (AVG)?’ Naast deze vragen is er vaak sprake van een wettelijke verplichting voor bedrijven en instellingen om processen die zij outsourcen te beheersen. ISAE 3402 geeft een antwoord op de risico’s en uitdagingen die gerelateerd zijn aan outsourcing door assurance over risicomanagement en interne beheersing.

Daarnaast eisen accountants bij outsourcing van processen die betrekking hebben op de jaarrekening zekerheid bij de juiste uitvoering van deze processen. Alle accountants in Nederland erkennen de ISAE 3402 standaard en kunnen hierop steunen voor hun jaarrekeningcontrole.

Er zijn twee varianten van ISAE 3402-rapportages; een type I- en een type II-rapportage. Een type I richt zich op het bestaan van uw risicomanagement en interne beheersing, een type II bevestigt ook de effectieve werking gedurende de audit periode.

ISAE 4401

Soms heeft de organisatie geen behoefte aan het verkrijgen van een oordeel, maar wil het juis inzicht verkrijgen over de IT risico’s binnen het bedrijf. Er wordt dan geen assurance gevraagd waarbij een ISAE 4401 gepast is.  De ISAE 4401 is de richtlijn die een IT auditor toepast wanneer hij een opdracht krijgt tot specifiek overeen gekomen werkzaamheden met betrekking tot informatietechnologie. Zo’n opdracht kan dus over hele specifieke deelgebieden gaan en daarmee is de scope vaak beperkt en dienen de werkzaamheden een bepaald doel.