Outsourcing

Organisaties besteden processen, die niet core zijn, uit aan service organisaties.  Deze serviceorganisatie kunnen SaaS-providers, vermogensbeheerders of bijvoorbeeld credit management organisaties zijn. Bij uitbesteding ontstaat de vraag hoe deze uitbesteding beheerst wordt; op welke wijze gaat de serviceorganisatie om met security? Wie heeft er toegang tot uw informatie? Zijn er voldoende maatregelen om fraude te voorkomen? ISAE 3402 geeft een antwoord op deze vragen.

Bijvoorbeeld. Een applicatie wordt geleverd door een Software-as-a-Service (SaaS) provider die deze applicaties host in een datacenter van een hostingprovider.  In deze keten van organisaties die outsourcen ontstaan vragen over security, interne beheersing en kwaliteit van uitvoering van  processen, zoals; Op welke wijze wordt data opgeslagen en zijn de backup procedures goed ingericht? Is er een uitwijkmogelijkheid? Heeft de organisatie rekening gehouden met frauderisico? Naast het ontstaan van deze vragen bij de gebruikersorganisatie (de organisatie de outsourcet) is er een wettelijke verplichting voor financiële instellingen dat zij processen die zij outsourcing beheersen. Deze wettelijke verplichtingen zijn vastgelegd in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD)

Wettelijke verplichting

Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden. Dat betekent dat een financiële instelling zoals een verzekeraar of bank altijd van haar leveranciers een Service Organisation Control (SOC) rapport zal vereisen voordat deze leverancier diensten kan leveren aan deze instelling. Internationaal is ISAE3402 de standaard voor SOC-rapporten. De financiële instelling toont doormiddel van het ISAE3402 rapport aan dat alle uitbestede processen beheerst zijn.

Daarnaast worden ISAE3402 rapporten in toenemende mate gevraagd door accountantskantoren. accountants bij outsourcing voor de jaarrekeningcontrole een isae3402 rapportage eisen. De accountant die de jaarrekening van de gebruikersorganisatie controleert zal ook de processen die geoutsourcet zijn moeten controleren.Processen die uitgevoerd worden door een service organisatie (organisatie die uitbestede processen uitvoert voor de gebruikersorganisatie) hebben vaak invloed op operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.

Outsourcing en accountant

Indien een service organisatie een ISAE3402 rapportage heeft dan is het niet noodzakelijk dat die accountant die processen controleert, aangezien deze al zijn gecontroleerd door een andere externe accountant, de service accountant .
Een accountant kan uitsluitend gebruikmaken van een ISAE3402 rapportage en niet van een ISO27001 rapportage, deze wordt door accountants niet erkend. Naast de operationele processen zijn voor de accountant ook de General IT controls (de algemene security maatregelen), zoals back up/ password-id beleid en change management van belang.

Toenemende vraag naar ISAE3402

Doordat steeds meer applicaties aangeboden worden als Cloud Services of via SaaS providers neemt de vraag naar ISAE3402 en de beheersing van processen toe. Hierbij hebben vooral aspecten zoals data protection, fraud prevention, bescherming van persoonsgegevens de aandacht. Organisaties hebben vaak beperkt inzicht in de security maatregelen van een service organisatie. Deze organisaties en hun accountants willen meer zekerheid bij deze uitbesteding. In het verleden (tot 2008) werden ISAE3402 rapporten voornamelijk gebruikt in de vermogensbeheer- en pensioenuitvoeringssector. De vraag naar ISAE3402 is in de volledige keten toegenomen, van vastgoedmanagement, tot hostingproviders en credit management organisaties. De Stichting Corporate Governance heeft diverse samenwerkingsverbanden met brancheorganisaties in deze sectoren om de kwaliteit van ISAE3402-rapporten te handhaven.

Outsourcing en ISAE3402

Doordat ISAE3402 verplicht is voor financiële instellingen en accountants bij jaarrekeningcontroles steeds vaker een ISAE3402 type II rapportage eisen, is ISAE3402 de internationale standaard geworden voor outsourcing. ISAE3402 geeft inzicht in alle processen, de beheersing van processen en security. De ISAE3402 standaard is per 15 juni 2011 uitgegeven door de International Federation of Accountants (IFAC). In de ISAE3402 standaard zijn onderwerpen als verwerking van processen, informatiesystemen en beheersing van rapportageprocessen opgenomen. Oorspronkelijk was de reikwijdte van ISAE3402 voornamelijk gericht op de jaarrekening, deze is inmiddels uitgebreid tot alle processen die geoutsourcet worden.

Bijvoorbeeld. Een organisatie die haar financiële administratie verwerkt via een SaaS applicatie of een organisatie die een belangrijk deel van haar processen verwerkt op servers in een datacenter aan haar klanten zal moeten kunnen aantonen dat deze processen voldoen aan de informatiebeveiligingseisen van hun leveranciers.

Inhoud ISAE3402 rapport

In principe is een ISAE3402 rapport vormvrij, vanuit de standaard is wel een toetsingskader voorgeschreven; alle processen die effect hebben op de jaarrekening. Een ISAE3402 rapport moet ook voldoen aan de ISAE 3000 standaard. Dit is de 'overkoepelende' standaard voor ISAE3402 en geeft richtlijnen over de uitvoering van de ISAE3402 opdracht.In de praktijk zijn wel 'best practices ontstaan'; ISAE3402 rapporten bestaan in het algemeen uit een informatief deel met een beschrijving van het risico management- en interne controle raamwerk. Daarnaast is dan een control matrix opgenomen. Een gedetailleerde beschrijving van beheersdoelstellingen, beheersmaatregelen en de testen van de externe accountant. Naast deze onderdelen is in een ISAE3402 rapport opgenomen hoe de accountant heeft getest en zijn uiteindelijke accountantsverklaring bij het ISAE3402-rapport. Meer informatie over de inhoud van een ISAE3402 rapportage en de gevolgen voor een organisatie vindt u hier: isae 3402