In onze blog ‘Assurance-verklaringen hebben we een korte schets gegeven van de inhoud en het doel van een assurance-verklaring en welke verklaringen er zijn. Hierin hebben we het beheerkader, de toetsingsperiode en de verklaring kort besproken. Dit zijn essentiële aspecten om uiteindelijk een assurance-verklaring op te kunnen stellen. Hiernaast zijn er nog enkele andere belangrijke stappen die u dient nemen om voor de totstandkoming van een assurance-verklaring. In dit blog vertellen we u meer over deze stappen en lopen we het gehele proces door zodat voor u duidelijk is wat u dient te doen voor het verkrijgen van een assurance-verklaring.

1. Bepaal welke verklaring u wilt

Het is allereerst belangrijk om te bepalen welke verklaring (bijvoorbeeld ISAE 3402, ISAE 3000D, SOC 2, etc.) het best past bij uw organisatie en de behoeften van uw klanten. Zorg ervoor dat u weet welke verwachtingen uw klanten hebben en ga aan de hand hiervan in gesprek met een van onze auditors om uw wensen te bespreken. Voor meer informatie kunt u de whitepaper ‘Welke verklaring?‘ aanvragen.

2. Bepaal welk type verklaring u wilt

Er zijn twee soorten verklaringen: een type I- en een type II-verklaring. Bij een type I-verklaring worden uw beheersmaatregelen alleen getoetst op opzet en bestaan en toetsen wij nog niet op de werking. Dit houdt in dat wij documentaties en registraties reviewen, interviews houden en on site waarnemingen doen.

De type I-verklaring is een logische opstap naar de type II-verklaring, maar deze is niet verplicht. U kunt namelijk ook direct voor een type II-verklaring gaan of ervoor kiezen om een GAP-analyse door ons uit te laten voeren. Wij onderzoeken dan in hoeverre u al klaar bent voor een type II-verklaring.

In tegenstelling tot een type I-verklaring toetsen wij bij een type II-verklaring uw beheersmaatregelen, naast opzet en bestaan, ook op de werking. Dit houdt in dat wij in plaats van 1 steekproef, meerdere steekproeven nemen over de gehele populatie. In de vorige blog hadden we als voorbeeld de volgende beheersmaatregel:

Er worden wekelijks back-ups gemaakt en deze worden maandelijks getest.

Dit betekent dat wij bij een type II-verklaring als steekproef een aantal willekeurige back-up jobs en willekeurige tests opvragen als evidence. Bij een type I-verklaring vragen wij één willekeurige back up job en één willekeurige test op.

3. Het vaststellen van de scope

Om de scope van uw verklaring te bepalen, beschrijft u welke dienst(en) u levert aan uw klanten en welke beheeractiviteiten daaronder vallen. Hierin beschrijft u ook waar uw verantwoordelijkheden en die van de uitbestedende partij beginnen en ophouden. Een voorbeeld van een scope is:

Het implementeren en beheren van digitale werkplekken.

4. Voer een risicoanalyse uit

Voer een risicoanalyse uit op de beheerprocessen – en maatregelen van de interne organisatie en identificeer mogelijke gebeurtenissen die nadelige gevolgen kunnen hebben voor de kwaliteit van dienstverlening naar de opdrachtgever, zoals fouten, vergissingen, verstoringen, fraude, sabotage en/of overmacht. Documenteer deze risico’s zo concreet mogelijk. Gebruik de uitkomsten van de risicoanalyse om te bepalen welke aspecten, onderdelen en processen van de interne organisatie aandacht behoeven. Op basis van de risicoanalyse formuleert u de beheersdoelstellingen, die kwaliteitswaarborgen bieden aan diverse aspecten van de dienstverlening, om de geïdentificeerde risico’s terug te brengen tot een acceptabel niveau.

5. Beheerkader

Bij de zojuist geformuleerde beheersdoelstellingen horen ook beheersmaatregelen. Dit zijn maatregelen die zijn getroffen om de beheersdoelstellingen te behalen waardoor de risico’s tot een acceptabel niveau beperkt worden. Dit zijn uiteindelijk de maatregelen die opgenomen worden in uw beheerkader en waartegen uw organisatie getoetst wordt door onze auditors. Om te bepalen welke set aan maatregelen uw organisatie nodig heeft om de risico’s te adresseren, begint u met uw huidige maatregelen te inventariseren en te onderzoeken of deze maatregelen afdoende zijn om uw beheersingsdoelstellingen te behalen. Indien blijkt dat er extra maatregelen moeten worden toegevoegd, zal uw organisatie deze moeten beschrijven en implementeren. Onze auditors testen of de beheersmaatregelen, indien ze werken, ook leiden tot het bereiken van de beheersdoelstellingen. Deze maatregelen moeten minstens 6 maanden draaien binnen uw organisatie om getoetst te kunnen worden. Uit onze ervaring blijkt dat in veel gevallen er al voldoende maatregelen aanwezig zijn. Daarnaast toetsen wij of de opzet van het beheerkader passend is voor uw organisatie en de verwachtingen van uw klant meegenomen worden.

6. Documenteren

Nadat het beheerkader is vastgesteld, is het vooral een kwestie van documenteren, implementeren en bewaken van de beheersmaatregelen. Deze stap vergt de meeste tijd en inspanning. Alle maatregelen dienen te zijn beschreven in bijvoorbeeld beleidsdocumenten, procedures, procesbeschrijvingen, werkinstructies of in de gebruikte tools, bijvoorbeeld via workflows. Hoeveel werk dit is, hangt af van de hoeveelheid maatregelen en reeds beschikbare documentatie. Daarnaast moet worden zorggedragen voor de registraties. Bij stap 2 is de volgende beheersmaatregel als voorbeeld genomen:

Er worden wekelijks back-ups gemaakt en deze worden maandelijks getest.

Dit betekent dat er conform de procedure 52 keer moet worden vastgelegd dat de back-ups gemaakt zijn en 12 keer dat de test is uitgevoerd. Of de back-ups foutloos of niet foutloos zijn gemaakt is niet van belang, zolang er maar passende opvolging is gegeven aan geconstateerde fouten. In beide gevallen moeten wij er vastlegging van zien. Onze auditors kunnen aan de hand hiervan namelijk vaststellen of de beheersmaatregel daadwerkelijk is uitgevoerd conform de opzet. Dit vergt enige discipline van de gehele organisatie. Iedere medewerker draagt dan ook bij aan de assurance-verklaring.

7. Bewaken

Na implementatie van de maatregelen in de organisatie moet worden gezorgd dat de maatregelen ook standhouden en dat ze worden uitgevoerd conform de opzet. Als de bewaking hiervoor ontbreekt, kan het voorkomen dat de auditor uiteindelijk constateert dat maatregelen onvoldoende aanwezig zijn. Veel organisaties stellen dan ook een interne monitorings- of auditfunctie aan, die bijvoorbeeld eens per kwartaal controleren of er wordt gewerkt conform de afspraken.

8. Systeembeschrijving

Tot slot dient uw organisatie een systeembeschrijving op te stellen. De systeembeschrijving is een verplicht onderdeel van een ISAE 3402- of een SOC 2-verklaring en dient aan bepaalde eisen te voldoen. De interne organisatie, de dienstverlening, beheersmaatregelen en beheersdoelstellingen dienen op hoofdlijnen beschreven te worden. Wij hebben diverse templates beschikbaar die u kunnen helpen bij het opstellen van de systeembeschrijving.

9. De verklaring

Nadat u de systeembeschrijving van uw organisatie heeft beschreven en onze auditors klaar zijn met de toetsing van de effectiviteit van uw beheersmaatregelen, wordt de verklaring door een van onze auditors opgesteld. De ISAE 3402- en SOC 2-verklaring worden zowel door uw organisatie als door onze Register EDP-auditor ondertekend. De ISAE 3000D-verklaring bevat geen systeembeschrijving en wordt alleen door onze Register EDP-auditor ondertekend.

Meer informatie?

Wilt u meer informatie over het stappenplan en hoe wij uw organisatie kunnen helpen bij de totstandkoming van een assurance-verklaring? Bekijk ons aanbod op onze website of neem contact met ons op!


0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *