Wat is een ISAE 3402 verklaring?

Zekerheid over uw jaarrapportage

Veel leveranciers worden tegenwoordig geconfronteerd met het verzoek van klanten omtrent een TPM verklaring (TPM = Third Party Memorandum) of, specifieker, een ISAE 3402 verklaring.

De klant wil namelijk graag dat de kwaliteit van de dienstverlening, en dan vooral de integriteit en vertrouwelijkheid van gegevens zoals die door de leveranciersorganisatie beheerd en verwerkt worden, gewaarborgd zijn.

Een ISAE 3402 verklaring

Reden voor deze soms dwingende vraag van klanten is dat met betrekking tot de financiële jaarrapportage de accountant van de klant zekerheid wil hebben dat de jaarrapportage is gebaseerd op betrouwbare gegevens. Het is dan ook met name de accountant die er bij de klant op aandringt de TPM verklaring of ISAE 3402 verklaring bij haar leveranciers te bewerkstelligen.

Indien geen TPM of ISAE 3402 verklaring beschikbaar is, zal u als leverancier mogelijk elk jaar opnieuw een audit krijgen waarbij er een diepgravend onderzoek wordt uitgevoerd. Dit is veel werk voor zowel u als uw klant en leidt tot veel frustratie. Verschillende klanten kunnen daarnaast verschillende audits uitgevoerd willen hebben.

Door het hebben van een ISAE 3402 verklaring vermindert u het werk als gevolg van de verschillende audits, bij uzelf maar vooral bij uw klanten. Het hebben van een ISAE 3402 verklaring levert u dus een belangrijke meerwaarde op voor uw klanten.

Verschillende typen ISAE 3402

Een ISAE 3402 rapportage bestaat in twee vormen / typen:

  • Type I (of type 1):  Opzet en bestaan
    Middels deze rapportage wordt de opzet en het
    bestaan van maatregelen voor het waarborgen van met name de integriteit maar ook vertrouwelijkheid en beschikbaarheid van de financiële gegevens. Dit type rapport heeft betrekking op een bepaalde vaststellingsdatum/peildatum waarop e.e.a. is beoordeeld.
  • Type II (of type 2): Opzet, bestaan en werking
    Hiermee wordt het
    opzet, bestaan en werking van de genoemde maatregelen bevestigd. Dit type rapport heeft altijd betrekking op een bepaalde periode – typisch een boekjaar – en wordt achteraf opgesteld.

Voor een accountant – en dus ook uw klanten – is met name type II gewenst aangezien dit een daadwerkelijke waarborg biedt voor de juistheid van de jaarrapportage.

ISAE 3402 type 2

De inhoud van een ISAE 3402 rapportage (type II) bestaat uit:

  1. Een beschrijving van het systeem / processen m.b.t. de financiële gegevens binnen de aangeboden dienst/product;
  2. Beheersdoelstellingen en – maatregelen gebaseerd op een risicoanalyse;
  3. Verslag van uitgevoerde interne audits (indien van toepassing); en
  4. Een managementverklaring over de juistheid met betrekking tot de beschrijving van het systeem / processen, en in hoeverre het systeem effectief heeft gewerkt gedurende de gespecificeerde verslagperiode;
  5. Aanvullende informatie:
    1. Het gebruikte risico-inschattingsproces;
    2. Relevante monitoring/logging informatie;
    3. Een overzicht van alle wijzigingen in het systeem gedurende de gespecificeerde verslagperiode; en
    4. Andere (relevante) aspecten van de beheersingsomgeving.

Merk op dat een type I rapport ongeveer dezelfde informatie bevat maar alleen het bestaan benoemt en geen periode betreft (en dus ook geen overzicht van wijzigingen of uitgevoerde interne audits bevat).

Verlies niet uw grip op de vele en vaak complexe aspecten van informatiebeveiliging. Krijg eenvoudig ondersteuning via e-mail.

Meld je aan en ontvang direct het whitepaper ‘De 7 principes van Privacy by Design’ gratis .

1. Beschrijving van de dienst

Als leverancier dient u inzicht te verschaffen in alle zaken rondom de opzet van het systeem en bijbehorende processen die de integriteit van de gegevens beïnvloeden binnen de dienst of het product dat u aanbiedt.

De beschrijving geeft daarom weer op welke wijze het systeem / processen is opgezet en geïmplementeerd:

  1. De soorten diensten die worden verleend, inclusief eventuele verwerkte transactiestromen;
  2. De procedures op basis waarvan diensten worden verleend, inclusief eventuele, procedures waardoor transacties worden geïnitieerd, vastgelegd, verwerkt, gecorrigeerd (voor zover noodzakelijk) en overgebracht naar de rapportages die voor klanten en/of eindgebruikers worden opgesteld;
  3. De daarmee verband houdende vastleggingen en ondersteunende informatie;
  4. Op welke wijze het systeem significante gebeurtenissen en omstandigheden, anders dan de transacties, behandelt;
  5. Het proces dat wordt gehanteerd om rapportages (en overige informatie) voor klanten en/of eindgebruikers op te stellen;
2. Beheersdoelstellingen en -maatregelen

Als leverancier dient u vervolgens aan te geven welke beheersdoelstellingen u nastreeft en welke maatregelen om die doelstellingen te bereiken u getroffen heeft. Daarbij dient u aan te geven welke risico’s er zijn en hoe de maatregelen deze risico’s oplost of tot een acceptabele impact reduceert.

Deze beschrijving bevat daarom:

  1. De beheersdoelstellingen en maatregelen om die doelstellingen te bereiken;
  2. De geïdentificeerde risico’s die het bereiken van de doelstellingen in gevaar brengen;
  3. Hoe de maatregelen een redelijke mate van zekerheid verschaffen dat die risico’s het bereiken van de doelstellingen niet verhinderen en waarbij een duidelijke koppeling van maatregelen aan genoemde risico’s gegeven is; en
  4. Aanvullende maatregelen voor/bij de klant en/of eindgebruikers.

Ook uw klant of de eindgebruiker moet aan bepaalde voorwaarden voldoen om de integriteit van de gegevens te kunnen waarborgen. Denk bijvoorbeeld aan het vertrouwelijk behandelen van wachtwoorden.

De maatregelen dienen tenminste invulling te geven aan:

  1. Incident- / probleemafhandeling;
  2. Wijzigingsbeheer;
  3. Logische toegangscontrole;
  4. Waarborgen m.b.t. data-integriteit (backup / uitwijk); en
  5. Uitbesteding.

De doelstellingen en een beschrijving van de maatregelen worden opgenomen in een zogeheten control matrix waarin ook de status (effectiviteit) kan worden opgenomen.

3. Interne audit

Als leverancier dient u gedurende de verslagperiode regelmatig de effectiviteit van de maatregelen te controleren. Deze interne controle heet ook wel de interne audit.

U kunt ervoor kiezen deze interne audit niet zelf uit te voeren maar bijvoorbeeld aan de IT auditor van de accountant over te laten. Deze zal dan achteraf een diepgravend onderzoek uit gaan voeren wat u en de auditor alsnog veel tijd en mogelijke frustratie kosten.

Kiest u voor de eigen interne audit dan dient deze aan de volgende voorwaarden te voldoen:

  1. Objectiviteit van de interne auditfunctie;
  2. Technische competentie van de interne auditor(s);
  3. De werkzaamheden van de interne auditor(s) waarschijnlijk met voldoende professionele zorgvuldigheid worden uitgevoerd;
  4. De werkzaamheden naar behoren is uitgeoefend en of ze naar behoren werden beoordeeld en gedocumenteerd;
  5. Adequate informatie is verkregen om de interne auditor(s) in staat te stellen redelijke conclusies te trekken;
  6. Bereikte conclusies onder de gegeven omstandigheden passend zijn en of alle rapportages opgesteld door de interne auditor(s) consistent zijn met de uitkomsten van de uitgevoerde werkzaamheden; en
  7. Uitzonderingen die voor de opdracht of ongebruikelijke aangelegenheden die door de interne auditor(s) naar voren zijn gebracht naar behoren worden opgelost.

Met andere woorden; de interne auditor moet onafhankelijk en adequaat te werk kunnen gaan en de resultaten dienen een serieuze opvolging te krijgen. Voldoet u aan deze voorwaarde dan kan de IT auditor van de accountant hierop terugvallen bij het opstellen van de ISAE 3402 rapportage.

4. Managementverklaring

Het management (van u als leverancier) dient een verklaring af te geven met betrekking tot de beschrijving van haar systeem, en in hoeverre het systeem effectief heeft gewerkt gedurende de gespecificeerde verslagperiode.

Deze verklaring is redelijk dwingend voorgeschreven en vormt de tegenhanger van de verklaring van de auditor. Voor een geldende/bruikbare ISAE 3402 rapportage dienen beide verklaringen in hoge mate overeen te stemmen. Dus ook de auditor dient een positief oordeel af te geven om uiteindelijk de ISAE 3402 verklaring vast te stellen.

5. Aanvullende informatie

De overige aanvullende informatie die aangeleverd dient te worden betreft:

  1. Een beschrijving van het gehanteerde risico-inschattingsproces;
  2. De beheeractiviteiten en de monitoring die relevant zijn voor de diensten die worden verleend;
  3. Alle wijzigingen in het systeem gedurende de gespecificeerde verslagperiode; en
  4. Andere (relevante) aspecten van de beheersomgeving.


Voor gedetailleerde informatie over de ISAE 3402 standaard verwijzen wij u naar de Nederlandstalige versie van NOREA.

Bekijk wat wij voor u kunnen betekenen

Interesse in onze oplossing?