Skip to the content

Richtlijn 3000: wat is dat en waarom heb ik het nodig?

TPM, ISAE3000, ISAE3402 en SOC 2, wat houdt het in en waarom heeft u het nodig?

Tegenwoordig hoor je steeds vaker termen als TPM, ISAE3000, ISAE3402 en SOC 2. Sterker nog, als u een IT-dienstverlener bent is de kans groot dat klanten u zelfs vragen of u dergelijke certificeringen heeft. Maar wat is dit nu eigenlijk en waarom is het nodig?

Adviesrapport versus assurance

Laten we bij het begin beginnen: alle termen hierboven genoemd zijn uiteindelijk terug te herleiden naar Richtlijn 3000. En alle termen hierboven genoemd hebben te maken met assurance, een ander woord voor zekerheid. En dan specifiek: zekerheid voor derden. Dat is een belangrijk kenmerk, als IT-auditor kun je een onderzoek uitvoeren voor een interne lezer (vaak een adviesrapport genoemd) of voor een externe lezer (assurance).

Richtlijn 3000 heeft als doel om een standaard voor assurance-opdrachten te definiëren en is afgeleid van de Standaard 3000 van de Nederlandse Beroepsorganisatie van Accountants (NBA) en de ISAE 3000 van de International Federation of Accountants (IFAC).

Assurance wil in dit geval dus expliciet zeggen dat een “derde” behoefte heeft aan zekerheid over processen of diensten die u uitvoert. Denk bijvoorbeeld aan het voeren van de beleggingsadministratie voor grote pensioenfondsen, het hosten van hardware ten behoeve van grote bedrijven of het leveren van Software-as-a-Service (SaaS) applicaties zoals een online boekhoud- of salarispakket. In al deze gevallen komt het (steeds vaker) voor dat de “klant”, zoals het pensioenfonds, het grote bedrijf dat hosting uitbesteedt of de klant van het online salarispakket, vraagt: hoe weet ik nu dat het goed is?

Type assurance

Nu we helder hebben wat assurance is, kunnen we ingaan op de verschillende vormen van assurance-rapportages waarmee een antwoord kan worden gegeven op die vraag. Het meest simpele antwoord is: binnen richtlijn 3000 kan vrijwel alles. Essentieel is dat bij het uitvoeren van een assurance-opdracht twee zaken op voorhand heel goed worden afgestemd: wat is de precieze vraag (behoefte) van de klant en welk normenkader wordt gehanteerd. Gelukkig hoeft hier het wiel niet altijd opnieuw uitgevonden te worden, in veel voorkomende gevallen zijn aanvullende standaarden gedefinieerd waarmee assurance kan worden verschaft. We noemen hieronder de bekendste:

  1. Richtlijn 3402: dit betreft (volgens de richtlijn) assurance over de interne beheersingsmaatregelen van een serviceorganisatie die aan de gebruikersorganisaties een dienst verleent die waarschijnlijk relevant is voor de interne beheersing van de gebruikersorganisaties in relatie tot de financiële verslaggeving. Oftewel: dit gaat over uitbestede processen met impact op de jaarrekening van de klant (bijvoorbeeld het pensioenfonds dat beleggingsadministratie uitbesteed). De lezer van dit rapport is in dit geval dus vaak de accountant van de klant;
  2. Richtlijn 3000: dit betreft (volgens de richtlijn): assurance-opdrachten anders dan opdrachten tot controle of beoordeling van historische financiële informatie. Simpel gezegd dus eigenlijk alles wat niet onder Richtlijn 3402 valt. Hier zijn vele voorbeelden van te bedenken, waaronder een aantal veel voorkomende standaarden:
    a. ENSIA: specifieke richtlijn waarmee gemeenten zich jaarlijks moeten verantwoorden aan toezichthouders;
    b. DigiD: een zeer specifieke assurance-opdracht die veel voorkomt in Nederland is de DigiD TPM. Hiervoor is een losse richtlijn opgesteld. Jaarlijks moet iedere houder van een DigiD-aansluiting zich laten toetsen conform deze richtlijn;
    c. Privacy Control Framework (PCF): richtlijn gericht op het toetsten van beheersingsmaatregelen gericht op privacy en bescherming van persoonsgegevens;
    d. Wet politiegegevens (Wpg): richtlijn gericht op het toetsen of voldaan wordt aan de eisen van deze wet;
    e. Zie ook NOREA – Handreikingen voor een overzicht van alle handreikingen;
  3. System and Organization Controls (SOC): SOC is van origine een Amerikaanse standaard vergelijkbaar met richtlijn 3000 en onderkent drie type rapporten:
    a. SOC 1: assurance over interne beheersing bij dienstverleners in relatie tot financiële verslaggeving. Dit is eigenlijk de Amerikaanse variant van ISAE3402 en wordt in Nederland zelden gebruikt;
    b. SOC 2: richtlijn bedoeld voor IT serviceorganisaties die zekerheid willen bieden over de beheersingsmaatregelen op het vlak van Beveiliging, Beschikbaarheid, Integriteit van processen, Vertrouwelijkheid en/of Privacy. Hier valt bijvoorbeeld de leverancier van een SaaS-applicatie onder die assurance wil bieden aan haar klanten. Deze richtlijn wordt steeds meer toegepast in Nederland. Deze richtlijn is in Nederland overigens ook weer gebaseerd op Richtlijn 3000;
    c. SOC 3: dit is een verkorte versie van een SOC 2 rapport, bedoeld voor algemeen verkeer.

En dat woordje TPM? En dat heb ik dus nodig?

Het resultaat van een assurance-opdracht wordt in de volksmond vaak een Third Party Memorandum (TPM) genoemd. Als men dus verzoekt om een TPM wordt eigenlijk bedoeld een assurance-rapport uitgevoerd tegen een van bovengenoemde standaarden.
En dan uiteindelijk de vraag of u het nodig heeft: dat hangt helemaal af van uw situatie, uw dienstverlening, wat u zelf wilt met uw organisatie en wat uw klanten vragen. In sommige gevallen is die laatste leidend: als grote klanten of toezichthouders eisen dat u een assurance-verklaring heeft dan heeft u meestal weinig keus. Als dat niet zo is, dan is het nog steeds te adviseren om na te denken over een assurance-verklaring omdat het ook een kwaliteitsstempel op uw organisatie is én het doorlopen van een assurance-traject zorgt ook voor groei (maturiteit) in uw organisatie.

Verschil tussen 3000A en 3000D

Als we helemaal de vaktechniek in duiken komt naar voren dat er binnen de richtlijnen ook nog onderscheid gemaakt wordt tussen attest en direct reporting opdrachten. Dit is een belangrijk onderscheid: bij een attest opdracht toetst de IT-auditor een “bewering” van het management (management statement), bij direct reporting toetst de IT-auditor zelf het stelsel van beheersingsmaatregelen. Bij een attest opdracht wordt dus verlangd van de organisatie dat zij zelf toetsen of zij voldoen aan de beheersingsmaatregelen, daar een oordeel over vellen en dat opnemen in een verklaring. De IT-auditor toetst dan vervolgens of die verklaring een getrouw beeld van de werkelijkheid geeft. Voorbeelden van veel voorkomende attest opdrachten zijn ISAE 3402, ENSIA, en SOC 2.

Type 1 of type 2?

Nog een belangrijk kenmerk van assurance-opdrachten is dat een IT-auditor type 1 of type 2 assurance kan afgeven. Type 1 wil zeggen dat alleen opzet en bestaan wordt getoetst, bij type 2 wordt ook de werking over een periode gecontroleerd. Opzet wil zeggen: de beschrijving (de papieren werkelijkheid), vaak vastgelegd in beleid, systeemdocumentatie en procedures. Bestaan wil zeggen dat u kunt aantonen dat de opzet daadwerkelijk geïmplementeerd is, bijvoorbeeld met voorbeelden. Werking wil zeggen dat u kunt aantonen dat de opzet gewerkt heeft over een hele periode (bijvoorbeeld een jaar), waarbij steekproeven en deelwaarnemingen worden genomen.

Waarom geen ISO27001?

Wij zien in de praktijk dat organisaties vaak schermen met een ISO27001 certificaat. Hoewel het ISO27001 normenkader een goed uitgangspunt is en het uiteraard een hele goede zaak is als uw organisatie ISO27001 gecertificeerd is, is dit niet te vergelijken met een assurance-verklaring. ISO27001 is feitelijk een set van best practices die u kunt implementeren, maar dat verhoudt zich niet tot specifieke assurance over uw daadwerkelijke dienstverlening. Daarnaast gaat ISO altijd alleen over opzet en (beperkt) bestaan terwijl assurance meer zekerheid verschaft door ook werking te toetsen. Niettemin is ISO27001 een goede eerste stap op weg naar een assurance-verklaring. Wij zien in de markt echter wel de beweging dat ISO27001 steeds minder geaccepteerd wordt en dat men een diepgaande assurance-verklaring vereist.

Wat kunnen wij doen?

Ik hoop dat ik u wegwijs heb kunnen maken in het spinnenweb van assurance-richtlijnen en dat u hiermee handvatten hebt om de juiste keuzes te maken mocht u de vraag krijgen of u een assurance-verklaring kunt verstrekken.

Uiteraard kunnen wij vanuit 2-Control ook meedenken in wat de meest passende vorm van assurance is. Wij hebben ruime ervaring met alle hierboven genoemde standaarden en kunnen vanuit een pragmatische invalshoek adviseren. Dus mocht u vragen hebben, neem contact op!

 

Over de auteur

Rogier Haest

RE CISA IT-auditor
T: 076-5019470
Stel uw vraag

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Microsoft Dynamics?
Wij beantwoorden ze graag.