ISAE3402 TYPE II

 

 

isae_logo-diap

Sinds 13 januari 2012 is elk jaar voor de ASP-oplossing van Aryza in Nederland (voorheen Collenda Nederland) een ISAE3402 type II verklaring afgegeven door een onafhankelijke accountant.

Waarom ISAE3402?

U kunt de ISAE3402 verklaring vergelijken met een bewijs van kwaliteit. Erik Koch, Directeur: ”We zijn in aanraking gekomen met ISAE3402 via een van onze klanten. Als een bedrijf de IT (deels) heeft uitbesteed is het logisch dat men dit wil toetsen op kwaliteit. ISAE3402 is een speciale kwaliteitsnorm voor IT voor financiële instellingen. We hebben nu het bewijs dat onze ASP oplossing een goede en veilige keuze is.”

Wat is ISAE3402?

Steeds meer organisaties besteden in meerdere mate activiteiten uit aan serviceorganisaties, zoals Aryza. Deze uitbestede activiteiten kunnen van invloed zijn op de financiële verslaglegging van deze organisaties. Het management en de accountant van deze uitbestedende organisatie zal op enige wijze informatie moeten krijgen over de beheersing van de activiteiten die aan de Serviceorganisatie zijn uitbesteed.

Deze ISAE3402 rapportage type II is opgesteld ten behoeve van de opdrachtgevers (gebruikersorganisaties) van Aryza Nederland en haar (externe) accountants. Aryza geeft hiermee inzicht in de manier waarop de kwaliteit van de dienstverlening is gewaarborgd. Het oordeel van de externe accountant over de toereikendheid, opzet en het bestaan van de interne beheersing is toegevoegd.

Om aan de behoefte te voldoen om informatie te verkrijgen over de beheersing van de uitbestede activiteiten, is de internationale standaard ISAE3402 (International Standard on Assurance Engagements Nr. 3402), “Assurance Reports on Controls at a Service Organization” opgesteld.

Een ISAE3402 onderzoek richt zich op vooraf gedefinieerde interne processen en beheersmaatregelen binnen een dienstverlenende organisatie (´service organisation´). De reikwijdte van een ISAE3402 onderzoek, de zogenaamde scope, is tweeledig; alle processen die van invloed zijn op de jaarrekening van de gebruikersorganisatie (´user organisation´) zijn opgenomen in de scope, daarnaast kunnen door de serviceorganisatie zelf processen worden gedefinieerd die opgenomen worden in de scope. Een onafhankelijk accountantskantoor verricht onderzoek naar de opzet, het bestaan en eventueel de werking van deze procedures en rapporteert hierover.

De reikwijdte van de ISAE3402 rapportage

Deze ISAE3402 rapportage heeft betrekking op de kern van de dienstverlening van Aryza als SaaS aanbieder, welke is vastgelegd in de Service Level Agreements (SLA´s/beheerscontracten) en onderhoudscontracten met haar klanten en het technisch beheer van haar applicaties. De General IT Controls zijn gericht op de continue en betrouwbare informatievoorziening en gelden uitsluitend voor de klanten die gebruik maken van de SaaS diensten. De consultancy diensten die Aryza Nederland biedt zijn geen onderdeel van deze primaire dienstverlening en vormen zodoende geen onderdeel van de scope van dit ISAE3402 rapport.

De belangrijkste onderdelen van de kernprocessen zijn bij Aryza Nederland de ontwikkeling en onderhoud van onze systemen en applicaties en de waarborging van de continuïteit van de systemen ten behoeve van haar klanten.

Naast beleidsmatige aspecten omtrent risicobeheersing en kwaliteit zijn ook de ITIL processen (Service Level-, Incident-, Problem- en Change Management) en de infrastructuur van de SaaS oplossing, geaudit.

Vooruitkijken

Aryza Nederland hecht veel waarde aan kwaliteit en risicobeheersing. Gedurende het jaar vinden er meerdere interne en externe audits plaats om de nieuwste ISAE3402 type II verklaring te continueren. De certificering geeft aan dat afgelopen jaar de opzet en de beheersmaatregelen effectief hebben gewerkt voor onze organisatie en de door klanten uitbestede processen bij Aryza Nederland.

Het ISAE rapport zelf bevat vertrouwelijke informatie en kan door onze klanten schriftelijk worden aangevraagd. Het certificaat van inschrijving in het ISAE3402 register kunt u op deze pagina downloaden.

Kijk voor voor meer informatie over ISAE3402 en het register op de site van Stichting Corporate Governance.