IT uitbesteding

ISAE 3000 vormt een framework voor het inrichten van maatregelen over uitbestede IT-processen. Ontwikkelingen in de IT zorgen voor snelle afname van kosten en een toename van productiviteit bij bedrijven. Productie en administratieve processen worden steeds meer geautomatiseerd. Door deze ontwikkeling stijgt onze zelfstandigheid in de IT. Geautomatiseerde processen worden vaak aangeboden door SaaS-providers voor software, laaS-providers voor netwerken en hostingproviders voor Bare Metal Services. Deze toenemende afhankelijkheid van de IT zorgt ook voor een toenemende vraag in transparantie en het beheersen van de uitbestede processen.

IT-processen kunnen worden ingedeeld in overeenstemming met het Cobit 5.0 categoriseren van processen, dit zijn: Security, IT-handelingen, changemanagement en incidentmanagement. Als een applicatie uitbesteed naar en service provider dan wil de gebruiksorganisatie de volgende informatie vaak inzichtelijk hebben:

  • SLA management
  • Incident management
  • Change management
  • Access controls
  • Data integrity
  • Back-up and recovery
  • Escrow

Data die wordt verwerkt voor organisaties bij Cloud Service Providers kan kritieke data zijn voor een organisatie. Als er orders worden verwerkt door de Saas-Providers, of het klantrelatiemanagement (CRM) word gehost door de SaaS-providers dan hebben deze processen wellicht niet direct invloed op de jaarrekening. In deze situatie mag er dan gebruik worden gemaakt vanISAE 3000. Een gebruikersorganisatie wil zeker weten dat back-ups ook daadwerkelijk zijn uitgevoerd en dat data veilig is in het geval dat een service provider failliet gaat.

Waarom?

ISAE 3000 wordt geaccepteerd door alle auditors
ISAE 3000 is de erkende standaard voor uitbesteding
ISAE 3000 kent een echte set van criteria
ISAE 3000 is een internationaal geaccepteerd standaard

Drie componenten

Een ISAE 3000 rapportage bestaat uit drie componenten. Er zijn geen specifieke verplichtingen voor het indelen van een ISAE 3000 rapportage. De aparte elementen die verplicht zijn worden benoemd in het standaard. De indeling van de ISAE 3000 rapportage is de verantwoordelijkheid van de serviceorganisatie. De verantwoordelijkheid van de user service auditor is het aanleveren van assurantie van de rapportage. De service auditor zou geen gedetailleerde informatie mogen bieden voor de indeling en de inhoud van de rapportage. De algemene indeling van een ISAE 3000 rapportage is:

  • Een assurance rapport
  • Een algemene beschrijving van het control framework
  • Een Risk- en Controlmatrix
Audit

Voor een audit zijn er specifieke eisen opgesteld die toepasbaar zijn voor de service auditor. Deze vereisten staan in de ISAE 3000 standaard. Een ISAE 3000 assurance rapport kan ook uitgevoerd worden door professionele beoefenaars die niet CPA-geregistreerd zijn (Certified Public Auditors). In deze gevallen is de professionele beoefenaar verplicht om assurance aan te bieden met vergelijkbare vereisten als de professionele auditors, namelijk:

Ethische vereisten
Algemene kritische houding
Professionele standaarden
Kwaliteitscontroles

General IT Controls

Er worden geen specifieke eisen gesteld aan de IT controls die opgenomen zijn in het ISAE 3000 standaard. In het standaard is opgenomen dat information systems horen bij de scope van een ISAE 3000 audit. Hiermee wordt geïmpliceerd dat alle procedures die betrekking hebben tot het veilig verwerken en opslaan van informatie worden meegenomen in de scope.

  • Controls over SLA management
  • Incident management
  • Change management
  • Access controls
  • Data integrity controls
  • Back up en recovery
  • Escrow