ISAE3402 type II Verklaring

ISAE3402 type II

Sinds 13 januari 2012 is elk jaar voor de ASP-oplossing van EuroSystems een ISAE3402 type II verklaring afgegeven door een onafhankelijke accountant. EuroSystems is de enige credit management softwareleverancier met ISAE 3402 type II verklaring.

Waarom ISAE3402

U kunt de ISAE3402 verklaring vergelijken met een bewijs van kwaliteit. Erik Koch, Directeur: ”We zijn in aanraking gekomen met ISAE3402 via een van onze klanten. Als een bedrijf de IT (deels) heeft uitbesteed is het logisch dat men dit wil toetsen op kwaliteit. ISAE3402 is een speciale kwaliteitsnorm voor IT voor financiële instellingen. We hebben nu het bewijs dat onze ASP oplossing een goede en veilige keuze is.”

Wat is ISAE3402

Steeds meer organisaties besteden in meerdere mate activiteiten uit aan serviceorganisaties, zoals EuroSystems Automatisering B.V. Deze uitbestede activiteiten kunnen van invloed zijn op de financiële verslaglegging van deze organisaties. Het management en de accountant van deze uitbestedende organisatie zal op enige wijze informatie moeten krijgen over de beheersing van de activiteiten die aan de Serviceorganisatie zijn uitbesteed.

Deze ISAE3402 rapportage type II is opgesteld ten behoeve van de opdrachtgevers (gebruikersorganisaties) van EuroSystems Automatisering B.V. (hierna EuroSystems) en haar (externe) accountants. EuroSystems geeft hiermee inzicht in de manier waarop de kwaliteit van de dienstverlening is gewaarborgd. Het oordeel van de externe accountant over de toereikendheid, opzet en het bestaan van de interne beheersing is toegevoegd.

Om aan de behoefte te voldoen om informatie te verkrijgen over de beheersing van de uitbestede activiteiten, is de internationale standaard ISAE3402 (International Standard on Assurance Engagements Nr. 3402), “Assurance Reports on Controls at a Service Organization” opgesteld.

Een ISAE3402 onderzoek richt zich op vooraf gedefinieerde interne processen en beheersmaatregelen binnen een dienstverlenende organisatie (´service organisation´). De reikwijdte van een ISAE3402 onderzoek, de zogenaamde scope, is tweeledig; alle processen die van invloed zijn op de jaarrekening van de gebruikersorganisatie (´user organisation´) zijn opgenomen in de scope, daarnaast kunnen door de serviceorganisatie zelf processen worden gedefinieerd die opgenomen worden in de scope. Een onafhankelijk accountantskantoor verricht onderzoek naar de opzet, het bestaan en eventueel de werking van deze procedures en rapporteert hierover. Er zijn twee soorten rapportages; het type I en type II statement.

In een ISAE3402 type I rapport is een assurance rapport opgenomen over de opzet en het bestaan van de beheersmaatregelen van een serviceorganisatie op één bepaald meetmoment. De externe accountant rapporteert over de toereikendheid van de beheersmaatregelen om de beheersdoelstellingen te realiseren en dat deze op de specifiek genoemde datum daadwerkelijk waren geïmplementeerd (opzet en bestaan).

De werkzaamheden van een externe accountant bij een ISAE3402 type II rapport hebben een ruimere scope dan bij een ISAE3402 type I rapport; naast de rapportering over de opzet en het bestaan, rapporteert de externe accountant over de effectieve werking van de beheersmaatregelen gedurende een vooraf gedefinieerde periode van minimaal zes maanden. Dit betekent dat een externe accountant alle gedefinieerde beheersmaatregelen test gedurende de desbetreffende periode en hij hierover rapporteert.

De reikwijdte van de ISAE3402 rapportage

Deze ISAE3402 rapportage heeft betrekking op de kern van de dienstverlening van EuroSystems als Application Service Provider (ASP), welke is vastgelegd in de Service Level Agreements (SLA´s/beheerscontracten) en onderhoudscontracten met haar klanten en het technisch beheer van haar applicaties EuroDossier en Credit Navigator. De General IT Controls zijn gericht op de continue en betrouwbare informatievoorziening en gelden uitsluitend voor de klanten die gebruik maken van de Application Service Provider (ASP) diensten. De consultancy diensten die EuroSystems biedt zijn geen onderdeel van deze primaire dienstverlening en vormen zodoende geen onderdeel van de scope van dit ISAE3402 rapport.

De belangrijkste onderdelen van de kernprocessen zijn bij EuroSystems de ontwikkeling en onderhoud van onze systemen en applicaties en de waarborging van de continuïteit van de systemen ten behoeve van haar klanten.

Naast beleidsmatige aspecten omtrent risicobeheersing en kwaliteit zijn ook de ITIL processen (Service Level-, Incident-, Problem- en Change Management) en de infrastructuur van de ASP oplossing, geaudit.

Vooruitkijken

EuroSystems hecht veel waarde aan kwaliteit en risicobeheersing. Gedurende het jaar vinden er meerdere interne en externe audits plaats om de nieuwste ISAE3402 type II verklaring te continueren. De certificering geeft aan dat afgelopen jaar de opzet en de beheersmaatregelen effectief hebben gewerkt voor onze organisatie en de door klanten uitbestede processen bij EuroSystems.

Het ISAE rapport zelf bevat vertrouwelijke informatie en kan door onze klanten schriftelijk worden aangevraagd. Het certificaat van inschrijving in het ISAE3402 register kunt u op deze pagina downloaden.

Kijk voor voor meer informatie over ISAE3402 en het register op de site van Stichting Corporate Governance.

Download het certificaat

Certificaat ISAE3402 Type II (Pdf)