Steeds meer organisaties besteden (delen van) hun processen uit (zgn. outsourcing). In veel gevallen van outsourcing betreft het de informatievoorziening (ICT).

Naast veel voordelen, brengt outsourcing risico’s met zich mee voor de gebruikersorganisatie. Een manier om die risico’s te beperken is om als gebruikersorganisaties van service organisaties te eisen dat zij transparant zijn over hun interne beheersing. Een mogelijkheid om hierover te rapporteren is door middel van een Service Organization Control Report dat opgemaakt wordt door een externe auditor conform de ISAE3402-standaard (voor bedrijven in de VS geldt een ‘afwijkende’ standaard (SSAE16-standaard)).

Rapportage Een ISAE 3402 rapportage rapporteert over de controls van een service organisatie welke relevant zijn voor de betrouwbaarheid, beschikbaarheid (continuiteit), de integriteit, de vertrouwelijkheid en privacy van de informatie die door het systeem verwerkt wordt. Een externe auditor voert vervolgens een audit op dit rapport conform de ISAE 3402-standaard.

Soorten rapportage Er zijn twee soorten ISAE 3402 rapporten: een Type 1- en een Type 2-rapportage. Een ISAE 3402 type 1-rapport heeft betrekking op de opzet en het bestaan en is uitsluitend gericht op het bestaan van interne beheersingsmaatregelen op een bepaald moment. Een ISAE 3402 type 2-rapport rapporteert over de effectieve werking voor een langere periode (deze dient minimaal zes maanden te bedragen).

Gebruik ISAE 3402-rapportage Het ISAE 3402-rapport kan door leveranciers van data-centra, maar ook door leveranciers van on-line software (SAAS-diensten), gebruikt worden om te rapporteren over haar interne beheersing aan de gebruikersorganisaties.Hoewel het gebruik van een ISAE 3402-rapportage in beginsel is beperkt tot bestaande gebruikers (het rapport doet immers alleen een uitspraak over de afgelopen periode), kunnen potentiele afnemers van de service-organisatie er natuurlijk wel uit afleiden dat de service-organisatie haar zaakjes goed op orde heeft. Steeds vaker stellen toekomstige (grote) klanten als eis dat de service-organisatie op voorhand al over een ISAE3402 verklaring beschikt.

Als het onderzoek met positief resultaat wordt afgesloten, kan de service-organisatie zich aanmelden voor inschrijving in het ISAE3402 register. Steeds vaker raadplegen toekomstige klanten van service-organisaties dit register om leveranciers te selecteren. Na verkrijging van het ISAE 3402 certificaat, mag de gecertificeerde service-organisatie ook het onderstaande logo op haar website publiceren.

Op de downloadpagina kunt u verschillende whitepapers over de IASE 3402 audit downloaden.

Meer informatie over Afgifte van TPM's