ISAE 3000 is een internationale assurance standaard voor informatiebeveiling en overige niet-financiële informatie. ISAE 3000 is de 'overkoepelende' standaard voor ISAE 3402 (outsourcing) en ISAE 3410 (CO2 audits). ISAE 3000 wordt het meest toegepast voor informatiebeveiliging en is vergelijkbaar met een SSAE16 SOC 2 rapportage uit de Verenigde Staten. ISAE 3000 kan worden toegepast als er sprake is van outsourcing.

ISAE 3000 en outsourcing

Indien door een IT- of Cloud Service Provider diensten worden geleverd die geen effect hebben op de financiële rapportage van haar klanten dan is ISAE 3000 van toepassing. De diensten van een IT Service Provider die uitsluitend werkplekbeheer of CRM software vanuit de cloud levert, hebben waarschijnlijk geen effect op de jaarrekening van de klant van de dienstverlener: ISAE 3000 is dan van toepassing. Indien boekhoudapplicatie geleverd wordt vanuit de Cloud dan hebben de diensten wel effect op de jaarrekening van de klant en is ISAE 3402 van toepassing. Maar wat is opgenomen in een ISAE 3000 rapportage?

Rapportage SOC 2

De reikwijdte van een ISAE 3000 is normaliter informatiebeveiliging, beschikbaarheid van systemen, systeemintegriteit, vertrouwelijkheid en privacy. Een klant van een Cloud Service provider zal inzicht willen hebben in hoe er omgegaan wordt met informatiebeveiliging, of back-ups tijdig worden uitgevoerd of software zorgvuldig wordt ontwikkeld (change management). Dergelijke onderwerpen vormen dan mede de scope van de ISAE 3000 rapportage. Deze rapportage bestaat normaliter uit een algemeen deel, een managementverklaring, een assurance-mededeling van de service auditor en een control matrix.

Voorbeeld Outsourcing

Een SaaS (Software-as-a-Service) leverancier levert software voor het analyseren van websites. Deze software heeft geen effect op de jaarrekening van de klanten of op financiële processen. De Service Organization Control rapportage kan dan worden opgesteld en geaudit volgens de ISAE 3000 standaard. Dit gebeurt door een Register Accountant (RA) of Register EDP auditor (RE). De auditor stelt dan vast of de informatiebeveiliging -zoals deze beschreven is in de ISAE 3000 rapportage- bestaat (ISAE 3000 type I) en eventueel of deze effectief gewerkt heeft gedurende een periode van minimaal zes maanden (type II). Indien de informatie die in de software verwerkt wordt direct of indirect toch impact heeft op financiële processen dan is ISAE 3402 van toepassing.

Cloud diensten

Het aantal applicatie-, Cloud Service Providers en datacenters is exponentieel gegroeid in de afgelopen perioden. Software wordt aangeboden als SaaS (software-as-a-service) en cruciale bedrijfsgegevens worden steeds vaker in de Cloud opgeslagen. Het opslaan van data in de cloud is feitelijk het opslaan van data in datacenters. Door deze groei van de uitbesteding van software naar externe partijen neemt de vraag naar zekerheid en transparantie over deze dienstverlening ook toe. Gebruikersorganisaties vragen aan hun leveranciers informatie over toegang tot gegevens, business continuity of back-up procedures. In een ISAE 3000 rapportage is deze informatie opgenomen en heeft een externe auditor vastgesteld dat deze maatregelen ook bestaan en effectief gewerkt hebben (ISAE 3000 type II).

Datacenters

Doordat cruciale bedrijfsinformatie steeds vaker wordt opgeslagen in de Cloud wordt steeds vaker ook de vraag gesteld waar deze informatie wordt opgeslagen en of de informatiebeveiliging goed wordt beheerst. Het opslaan van informatie in de Cloud betekent dat deze informatie in datacenters is opgeslagen. Ten aanzien van deze datacenters is het van primair belang dat de fysieke toegang tot gegevens goed is beveiligd. Deze beveiliging vindt plaats door fysieke maatregelen zoals een beveiligd gebouw bijvoorbeeld. Naast fysieke beveiliging is het ook van belang hoe het datacenter omgaat met risico's. Worden deze risico's geanalyseerd en worden er voldoende maatregelen ingericht om deze risico's te beperken of te vermijden? Denk hierbij aan temperatuurregulatie, brandbeveiliging of flooddetection.

Voor zowel Cloud Service Providers als datacenterleveranciers is het bij de keuze tussen ISAE 3402 en ISAE 3000 cruciaal of er financiële data wordt verwerkt. In de meeste grote datacenters zijn vrijwel altijd servers waarop data wordt verwerkt die mogelijk effect heeft op de jaarrekening. In een dergelijke situatie is een ISAE 3402 rapportage eerder van toepassing dan een ISAE 3000 rapportage.

Voorbeeld datacenter

In een datacenter heeft een grote Nederlandse bank haar servers geplaatst van waaruit de hypotheekverstrekking plaatsvindt. Deze bank valt onder de Wet Financieel Toezicht en de data zal effect hebben op financiële processen (hypotheekverstrekking) en uiteindelijk de jaarrekening. In deze situatie is ISAE 3402 van toepassing. Een ander datacenter is gespecialiseerd in het hosten van game servers. In dit datacenter wordt waarschijnlijk geen data verwerkt die effect heeft op de jaarrekening, in dit geval kan worden volstaan met een ISAE 3000 rapportage.

Wat zijn de ISAE 3000 eisen?

De ISAE 3000 standaard kan worden gedownload van de IFAC website. In de standaard zijn de vereisten in verschillende categorieën opgenomen:

  • Ethische vereisten
  • De planning en uitvoering van de audit
  • Vereisten rapportage
  • Kwaliteitsbeheersing door de accountant
  • Professionaliteit

Geaccrediteerde auditors

ISAE 3000 vereist dat een accountant zich conformeert met ethische voorwaarden (de IESBA code) van het IFAC, de procedures inricht voor kwaliteitscontrole en in staat is om een ISAE 3000 audit opdracht uit te voeren. Geaccrediteerde accountantskantoren zijn bijvoorbeeld de Big Four of Conclude Accountant in Utrecht