ISAE 3000A Type II: alles wat je erover moet weten

Wat is een ISAE 3000A Type II-verklaring?

Een ISAE 3000A Type II-verklaring is een onafhankelijke assurance-rapportage waarin een auditor beoordeelt of de beheersmaatregelen van een organisatie gedurende een bepaalde periode effectief hebben gewerkt. Denk bijvoorbeeld aan processen rond informatiebeveiliging, dataverwerking en operationeel beheer.

Met zo’n verklaring laat een organisatie aan opdrachtgevers zien dat ze belangrijke processen aantoonbaar beheerst.

ISAE staat voor International Standard on Assurance Engagements. Dit zijn internationale standaarden die bedoeld zijn om organisaties zekerheid te bieden over alle niet-financiële processen van leveranciers. De standaarden zijn ontwikkeld door International Auditing And Assurance Standards Board (IAASB).

Hoe helpt dit jou als klant?

In 30 seconden leggen we uit wat onze ISAE 3000A Type II-verklaring betekent en welke zekerheid dit biedt voor organisaties die met Indicia samenwerken.

In het kort

Direct bruikbaar bewijs bij uitbesteding en DORA-compliance
Minder auditvragen over uitbestede diensten
Extra zekerheid over beveiliging en bedrijfscontinuïteit

Hoe wordt een ISAE 3000A Type II-verklaring afgegeven?

Een organisatie ontvangt een ISAE 3000A Type II-verklaring na een audit door een onafhankelijke auditor. Tijdens deze audit worden processen en interne beheersmaatregelen beoordeeld op:

opzet (design)
bestaan (implementation)
werking (operating effectiveness)

Een auditor kijkt bij een Type II-audit niet alleen naar de inrichting van processen, maar ook naar hoe deze gedurende een langere periode functioneerden. Deze auditperiode bedraagt meestal minimaal zes maanden.

Wanneer de auditor concludeert dat de relevante beheersmaatregelen gedurende de auditperiode effectief hebben gewerkt, wordt een assurance-verklaring afgegeven.

Deze organisaties hebben er baat bij

01 Financiële instellingen (banken, verzekeraars, pensioenuitvoerders)

Deze organisaties opereren onder streng toezicht en moeten aantonen dat risico’s in hun uitbestedingsketen beheerst zijn. Een ISAE 3000A Type II-verklaring helpt hen om richting toezichthouders en auditors te laten zien dat een leverancier structureel gecontroleerde processen heeft.
02 Overheidsorganisaties en publieke instellingen

Overheden moeten transparant kunnen verantwoorden hoe zij publieke middelen en gegevens beheren. Een onafhankelijke assurance-verklaring verlaagt het risico bij uitbesteding en ondersteunt interne en externe audits.
03 Grote corporates met een zware audit- en compliance-structuur

Multinationals en beursgenoteerde bedrijven moeten hun interne controle-omgeving aantoonbaar beheersen. Als een leverancier een ISAE-verklaring heeft, hoeven auditors minder aanvullende controles uit te voeren bij die uitbestede processen.
04 Organisaties die gevoelige data laten verwerken

Wanneer een leverancier processen uitvoert waarbij gevoelige persoonsgegevens of bedrijfsdata betrokken zijn, ontstaat er afhankelijkheid van hun interne controles. De ISAE-verklaring geeft vertrouwen dat toegangsbeheer, wijzigingen en incidenten aantoonbaar onder controle zijn.
05 Organisaties in gereguleerde sectoren (zorg, telecom, energie)

Deze sectoren kennen vaak wettelijke verplichtingen rondom continuïteit, governance en ketenverantwoordelijkheid. Een ISAE-rapport helpt hen om aan te tonen dat kritische leveranciers voldoen aan controle- en beheersingsnormen.
06 Organisaties die kritische bedrijfsprocessen uitbesteden

Bij uitbesteding van processen zoals IT-beheer, betalingsverwerking of administratie ontstaat operationeel risico. Een ISAE Type II-verklaring geeft zekerheid dat de relevante controles niet alleen bestaan, maar ook effectief werken.
07 Organisaties met intensieve externe audits

Wanneer auditors de betrouwbaarheid van uitbestede processen moeten beoordelen, vormt een ISAE-rapport een belangrijke bron van assurance. Dit kan de audit-scope verkleinen en voorkomt dat de opdrachtgever zelf uitgebreide controles bij de leverancier moet uitvoeren.

Wat is het verschil tussen Type I en Type II?

Een Type I-verklaring betekent dat de opzet en het bestaan van processen en beheersmaatregelen is getoetst. Dit gebeurt op basis van een momentopname.

Een Type II-verklaring betekent dat, naast de opzet en het bestaan, ook de werking van de processen en beheersmaatregelen is getoetst. Dit gebeurt gedurende een langere auditperiode.

De ISAE 3000A Type II-verklaring van Indicia

Het volledige productieproces van de online software-, applicatie- en datamanagementoplossingen van Indicia is getoetst door een externe, onafhankelijke auditor. Dit vond plaats over een periode van zes maanden. Deze audit wordt nu jaarlijks herhaald.

“De verklaring heeft betrekking op het volledige productieproces van onze online software-, applicatie- en datamanagementoplossingen”, vertelt Eric ten Wolde, Manager Managed services van Indicia. “Dat betekent dat zowel ontwikkeling en implementatie als beheer, hosting en onze managed services-processen binnen de getoetste scope vallen. We bouwen daarbij voort op ons ISO 27001-managementsysteem voor informatiebeveiliging, dat we al jaren als fundament gebruiken.”

Veelgestelde vragen

Kan ik het ISAE-rapport van Indicia inzien?

Jazeker, onder voorwaarden kun je het rapport lezen. Neem contact met ons op en dan regelen we dat.

Hoe lang is een ISAE 3000A Type II-verklaring geldig?

Een Type II-rapport heeft betrekking op een specifieke auditperiode, meestal zes tot twaalf maanden. Organisaties laten de audit daarom doorgaans jaarlijks opnieuw uitvoeren.

Wat is het verschil tussen ISAE 3000 en ISO 27001?

ISO 27001 is een certificering voor een managementsysteem voor informatiebeveiliging. ISAE 3000 is een assurance-rapport waarin een auditor beoordeelt of specifieke processen en controles effectief functioneren.

Is een ISAE-rapport verplicht?

Nee. Organisaties kiezen er vaak voor omdat opdrachtgevers of toezichthouders extra zekerheid willen over uitbestede processen.