Wat is een assurance-verklaring?

Organisaties die processen uitbesteden willen dit doen bij gedegen serviceorganisaties. Het is belangrijk dat de serviceorganisatie, waaraan processen worden uitbesteed, voldoet aan de eisen en verwachtingen van de uitbestedende partij. Deze blijft immers verantwoordelijk voor de dienstverlening naar de uiteindelijke klant. Om aan te tonen dat u, als serviceorganisatie, in control bent over uw processen, zijn er assurance-verklaringen die afgegeven worden door onafhankelijke auditors. Met deze verklaring kunt u als service organisatie aantonen dat uw (potentiële) klanten met een gerust hart processen aan u kunnen uitbesteden.

Wat is een assurance-verklaring nu precies? En welke varianten zijn er? In dit blog vertellen we u daar meer over.

De assurance-verklaring

De naam verraadt het al; een assurance-verklaring heeft als doel om een bepaalde mate van zekerheid te bieden aan uw klanten. Om deze mate van zekerheid vast te kunnen stellen, wordt er een toetsing gedaan door een van onze Register EDP-auditors. Deze toetsing gebeurt aan de hand van een normenkader waarin u uw beheersdoelstellingen en beheersmaatregelen heeft geformuleerd.

Een voorbeeld van een beheersdoelstelling is:

Beheersmaatregelen bieden een redelijke mate van zekerheid dat gegevens tegen verlies worden beschermd.

Een voorbeeld van een beheersmaatregel die daarbij hoort:

Er worden wekelijks back-ups gemaakt.

Het is afhankelijk van het type assurance-verklaring of u vrij bent in welke beheersdoelstellingen en -maatregelen u kiest (dit wordt verderop verder uitgelicht). Naast het normenkader, dient u ook de toetsingsdatum (type I) of toetsingsperiode (type II) vast te stellen. In het geval van een type I, kiest u een moment in het jaar dat de beheersmaatregelen zijn vastgesteld en geïmplementeerd. In het geval van een type II, stelt u dat de beheersmaatregelen ook hebben gewerkt over een periode. Dit kan een periode van zes maanden tot een jaar zijn. Wanneer de toetsingsperiode begint en eindigt, bepaalt u zelf.

Nadat het normenkader en de toetsingsperiode bepaald zijn, gaan onze auditors toetsen of uw beheersmaatregelen effectief hebben gewerkt en of u dus aan uw beheersdoelstellingen heeft voldaan. Om dit vast te kunnen stellen, hebben onze auditors evidence nodig. Het is dus van essentieel belang dat u gedurende de toetsingsperiode evidence vastlegt zodat u aan kunt tonen dat uw beheersmaatregelen effectief gewerkt hebben. Te denken valt bijvoorbeeld aan de logs van de back-ups of de restoretest.

Nadat onze auditors voldoende evidence verzameld hebben, vellen zij een oordeel of de beheersmaatregelen effectief of niet effectief gewerkt hebben. Aan de hand hiervan wordt vastgesteld of u uw doelstellingen behaald of niet behaald heeft. Deze resultaten worden in de assurance-verklaring verwerkt waardoor u aan uw klanten kunt laten zien dat zij er goed aan doen om hun processen bij uw organisatie uit te besteden.

Welke assurance-verklaringen zijn er?

Er zijn verschillende soorten assurance-verklaringen waardoor het soms lastig is om te bepalen welke verklaring het beste is voor uw organisatie. Ook al zijn de verschillen tussen de verklaringen niet heel groot, het is van belang dat u de juiste verklaring voor uw organisatie kiest.

Hieronder wordt een korte toelichting gegeven over de verschillen tussen de drie meest voorkomende assurance-verklaringen.

ISAE 3000D

De ISAE 3000D is een algemene standaard die geen betrekking heeft op financiële informatie en niet specifiek gericht is op informatiebeveiliging. Bij deze standaard bent u vrij om zelf beheersdoelstellingen en -maatregelen op te stellen voor in het beheerkader. Anders dan de ISAE 3402- en de SOC 2-verklaring wordt de ISAE 3000D-verklaring alleen door onze auditors opgesteld en ondertekend en wordt geen beschrijving van uw organisatie in de rapportage opgenomen.

ISAE 3402

Een ISAE 3402-verklaring is gericht op de interne beheersingsmaatregelen met een focus op jaarrekening-gerelateerde informatie. U kiest deze verklaring als er een relatie is met de jaarrekening van de klant. Net als bij de ISAE 3000D, bent u bij een ISAE 3402 als serviceorganisatie vrij om zelf beheersdoelstellingen en -maatregelen te bedenken voor het normenkader. Anders dan bij de ISAE 3000D wordt een ISAE 3402-verklaring niet alleen opgesteld door onze auditors, maar ook door u als serviceorganisatie.

SOC 2

Een SOC 2-verklaring komt qua structuur het meest overeen met een ISAE 3402-verklaring. Ook hier wordt de verklaring opgesteld door zowel onze auditors, als u als serviceorganisatie. De SOC 2 onderscheidt zich doordat het geen specifieke standaard is, maar een implementatie van de Trust Service Principles. Deze principes zijn Security, Availability, Processing Integrity, Confidentiality en Privacy. Op basis van deze principes zijn de beheersdoelstellingen van het normenkader opgesteld. Anders dan bij de ISAE 3402 en ISAE 3000 bent u bij een SOC 2-verklaring niet vrij om zelf de beheersdoelstellingen van het normenkader op te stellen. Wel staat het u vrij om de beheersmaatregelen kiezen die horen bij de beheersdoelstellingen.

Welke verklaring past het best bij mijn organisatie?

Wij begrijpen als geen ander dat het kiezen van de juiste verklaring voor uw organisatie lastig kan zijn. Onze eerste tip is om altijd eerst na te vragen bij uw klanten welke verklaring zij van u verwachten. De tweede tip is om het te bespreken met een van onze auditors die vele jaren ervaring met de verschillende verklaringen hebben. Samen met een van onze auditors wordt aan de hand van uw organisatie en de verwachtingen van uw klanten bepaald welke verklaring het best past bij uw organisatie.

Meer informatie?

Wilt u meer informatie over assurance-verklaringen, wat wij hierin voor u kunnen betekenen en wat de waarde hiervan is voor uw organisatie? Bekijk onze website of neem contact met ons op!


0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *