Outsourcing

Organisaties besteden non-core processen uit aan serviceorganisaties. Deze serviceorganisatie kunnen SaaS providers, pensioenuitvoerders of bijvoorbeeld datacenters zijn. De organisaties die processen uitbesteden blijven eindverantwoordelijk voor de interne beheersing. Hierdoor ontstaat de vraag hoe een serviceorganisatie processen beheerst; hoe zij omgaat met risicomanagement, informatiebeveiliging en anti-fraude. ISAE 3402 geeft een antwoord op deze vragen.

Bijvoorbeeld. Een gebruikersorganisatie maakt gebruik van een applicatie die wordt geleverd door een Software-as-a-Service (SaaS) provider die ondersteund wordt door een managed service provider. De applicatie wordt gehost in een datacenter. In deze keten van organisaties die outsourcen ontstaan vragen over security, interne beheersing en compliance met wet- en regelgeving.

Service providers

De vragen van gebruikersorganisaties kunnen zijn; 'Op welke wijze wordt data opgeslagen?', 'Hoe wordt omgegaan met change management?', 'Voldoet mijn leverancier aan wet- en regelgeving op het gebied van privacy (AVG)?' Naast deze vragen is er vaak sprake van een wettelijke verplichting voor bedrijven en instellingen om processen die zij outsourcen te beheersen. ISAE 3402 geeft een antwoord op de risico's en uitdagingen die gerelateerd zijn aan outsourcing door assurance over risicomanagement en interne beheersing. Wettelijke verplichtingen ten aanzien van outsourcing zijn onder andere vastgelegd in de Wet Financieel Toezicht (Wft), de PensioenWet (PW) en de Alternative Investment Fund Managers Directive (AIFMD)

Toenemende vraag naar ISAE3402

Door de toegenomen internationale concurrentie, druk op kostenbesparingen en technologische ontwikkelingen sourcen meer organisaties processen uit. Applicaties worden voornamelijk aangeboden als SaaS oplossing die worden gehost in datacenters. Deze SaaS oplossingen worden in de meeste gevallen aangeboden vanuit een gevirtualiseerde omgeving. De organisaties die outsourcen hebben hierbij vaak beperkt inzicht in de informatiebeveiliging van service organisaties. Daarnaast eisen accountants bij outsourcing van processen die betrekking hebben op de jaarrekening zekerheid bij de juiste uitvoering van deze processen. Alle accountants in Nederland erkennen de ISAE 3402 standaard en kunnen hierop steunen voor hun jaarrekeningcontrole.

Wettelijke verplichting

Vanuit de wet (Art. 4.16 Wft) zijn financiële instellingen verplicht om in het geval van outsourcing te kunnen aantonen dat processen beheerst worden. Dat betekent dat een financiële instelling zoals een verzekeraar of bank altijd van haar leveranciers een Service Organisation Control (SOC) rapport zal vereisen voordat deze leverancier diensten kan leveren aan deze instelling. De financiële instelling toont doormiddel van het ISAE 3402 rapport aan dat alle uitbestede processen beheerst zijn.

Outsourcing en accountant

Daarnaast worden ISAE 3402 rapporten in toenemende mate vereist door accountants van gebruikersorganisatie. De accountant die de jaarrekening van de gebruikersorganisatie controleert zal processen die geoutsourcet zijn door deze organisatie moeten controleren. Processen die uitgevoerd worden door een serviceorganisatie hebben vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.


Indien een serviceorganisatie een ISAE 3402 rapportage heeft dan is het niet noodzakelijk dat de accountant van de gebruikersorganisatie (user auditor) processen controleert, aangezien deze zijn gecontroleerd door een andere externe accountant, de service auditor.

Voldoen aan ISAE 3402

De inhoud van een ISAE 3402 rapportage is in beginsel vormvrij, een aantal onderdelen moeten verplicht worden opgenomen, zoals een beschrijving van het risicomanagement framework, de criteria waarop de ISAE 3402 rapportage getoetst is en de maatregelen die waarborgen dat aan deze criteria is voldaan.

Het is gebruikelijk om een algemeen deel op te nemen in de rapportage met daarin opgenomen een beschrijving van de organisatie en de beschrijving van het risicomanagement framework. Naast het algemeen deel wordt een control matrix opgenomen, een beschrijving van de beheersdoelstellingen en de beheersmaatregelen die deze doelstellingen realiseren. De beheersdoelstellingen moeten afgestemd zijn op de jaarrekening van de gebruikersorganisatie.

ISAE 3402 implementatie

Naast de beschrijving van de financial controls (maatregelen die effect hebben op de jaarrekening), moeten ook de General IT Controls worden beschreven. In Nederland is een best practice voor het opstellen van ISAE 3402 rapportages ontstaan met een vastgestelde indeling en wijze van beschrijving van beheersmaatregelen (controls).

Het is daarom raadzaam om een gespecialiseerde adviesorganisatie in te schakelen om uw organisatie in dit proces te begeleiden. Aangezien een ISAE 3402 rapportage een relatie heeft met de processen van de jaarrekening is het van belang dat een adviesorganisatie zowel kennis heeft van financiële processen als IT processen, én een accountancy achtergrond heeft.