De Stichting Corporate Governance (SCG) streeft naar continue verbetering van ISAE 3402 rapportages. SCG verstrekt daarom informatie, verzorgt trainingen en draagt bij aan de kwaliteit van ISAE 3402 rapportages. Voor registratie in het ISAE 3402 register zijn diverse vereisten opgenomen in het reglement van SCG

De SCG biedt daarnaast de mogelijkheid om een ISAE 3402 rapportage te laten beoordelen door ervaren ISAE 3402 deskundigen. Rapportages met een hoge rating krijgen een hogere positie in het ISAE 3402 register. ISAE 3402 assurance verklaring worden verstrekt door accountants, SCG geeft geen oordeel over de verstrekte verklaring, maar uitsluitend over de inhoud van de ISAE 3402 rapportage op verzoek van de service organisatie op basis van gestelde criteria. Aan deze rating zijn geen rechten te ontlenen.

SCG stelt ten aanzien van alle rapportages die geregistreerd worden in het register vast of deze zijn voorzien van een assurance verklaring van een geaccrediteerde service auditor. De verantwoordelijkheid voor de inhoud van de ISAE 3402 rapportage blijft altijd bij de service organisatie en de service auditor die zekerheid heeft verstrekt bij deze rapportage.

Rating methodiek

De rating methodiek van de Stichting Corporate Governance is gebaseerd op de vereisten vanuit de ISAE 3402 standaard, overige regelgeving zoals COSO ICIF 2013, CObit 5.0 en ISO27001 alsmede de 'general practice' en interne standaarden die gebaseerd zijn op de ISAE 3402 best practice van SCG.

Aanvraag

Organisaties die geregistreerd zijn in het ISAE 3402 register kunnen hun rapportage laten beoordelen door de Stichting. Indien een organisatie zijn rapportage laat beoordelen dient dit te worden aangevraagd door middel van een 'rating abonnement'. Na aanvraag en betaling van het rating abonnement wordt door SCG deskundigen ingeschakeld voor de beoordeling van de ISAE 3402 rapportage.

De ratings van de stichting Corporate Governance variëren van één tot vier. De rating wordt uitgedrukt in 'Tickmarks'; het symbool opgenomen in het logo van de Stichting.

V-Rating

    Algemeen
  • Inhoudelijke goed ISAE 3402 rapport.
  • Rapport voldoet aan de ISAE 3402-vereisten
  • Bevindingen
  • In het rapport zijn in het afgelopen jaar maximaal vier niet-significante bevindingen opgenomen.
  • Bevindingen hebben niet geleid tot een beperking in of afkeuring van de assurance verklaring.
  • Formele- en inhoudelijke vereisten
  • Rapport voldoet aan de formele- en inhoudelijke level D vereisten van de Stichting Corporate Governance.
  • Rapport is maximaal twaalf maanden oud na registratie en heeft betrekking op minimaal twaalf maanden.

VV-Rating

    Algemeen
  • Inhoudelijke zeer goed ISAE 3402 rapport.
  • Rapport voldoet aan de ISAE 3402-vereisten
  • Bevindingen
  • In het rapport zijn in het afgelopen jaar maximaal twee niet-significante bevindingen opgenomen.
  • Bevindingen hebben niet geleid tot een beperking in of afkeuring van de assurance verklaring.
  • Risk framework
  • Risk management framework is beschreven in overeenstemming met het COSO framework
  • Formele- en inhoudelijke vereisten
  • Rapport voldoet aan de formele- en inhoudelijke level C vereisten van de Stichting Corporate Governance.
  • Rapport is maximaal zes maanden oud na registratie en heeft betrekking op minimaal twaalf maanden.

VVV-Rating

    Algemeen
  • Inhoudelijke uitstekend ISAE 3402 rapport.
  • Rapport voldoet aan de ISAE 3402-vereisten
  • Bevindingen
  • In het rapport zijn in het afgelopen jaar geen niet-significante bevindingen opgenomen
  • Er is geen beperking in- of afkeurende assurance verklaring opgenomen
  • Risk framework
  • Risk management framework is beschreven in overeenstemming met het COSO ICIF framework
  • General IT Controls
  • General IT Controls (GITC's) zijn beschreven in overeenstemming met het COBiT5 framework
  • Formele- en inhoudelijke vereisten
  • Rapport voldoet aan de formele- en inhoudelijke level B vereisten van de Stichting Corporate Governance.
  • Rapport is maximaal zes maanden oud na registratie en heeft betrekking op minimaal twaalf maanden.

VVVV-Rating

    Algemeen
  • Inhoudelijke excellent ISAE 3402 rapport.
  • Rapport voldoet aan de ISAE 3402-vereisten
  • Bevindingen
  • In het rapport zijn in het afgelopen jaar geen niet-significante bevindingen opgenomen.
  • Er is geen beperking in- of afkeurende assurance verklaring opgenomen.
  • Risk framework
  • Risk management framework is beschreven in overeenstemming met het COSO ICIF framework
  • Risk management framework is optimised, deze optimalisatie wordt gedocumenteerd en is auditable
  • General IT Controls
  • General IT Controls (GITC's) zijn beschreven in overeenstemming met het COBiT5 framework
  • Maturity level volgens het COSO framework is level 5 (optimised)
  • Formele- en inhoudelijke vereisten
  • Rapport voldoet aan de formele- en inhoudelijke level A vereisten van de Stichting Corporate Governance.
  • Rapport is maximaal drie maanden oud na registratie en heeft betrekking op minimaal twaalf maanden.