ISAE 3402 handelt over assurance-opdrachten die worden uitgevoerd bij een serviceorganisatie. Dit wordt gedaan om afnemers van diensten van deze serviceorganisatie en hun accountants een redelijke mate van zekerheid te verschaffen over de interne beheersingsmaatregelen van de serviceorganisatie. De reikwijdte van het onderzoek is beperkt tot processen en beheersmaatregelen, voor zover van belang voor de jaarrekeningcontrole van de dienstenafnemende entiteit.
Dit rapport is gericht op de online dienstverlening van AFAS, AFAS Online. Middels deze dienstverlening beschikken klanten 24/7 over een volwaardige versie van de AFAS Profit software. De AFAS Online dienstverlening betekent het continue beheren en verbeteren van de geboden online oplossing.
AFAS heeft in combinatie met de 27001-certificering ook besloten om een ISAE-rapportage uit te laten geven door Ernst & Young Accountants LLP.
Zodra de rapportage over het betreffende jaar beschikbaar is, is het hieronder mogelijk om de betreffende ISAE rapportage in te zien.
Let op! Deze rapportage is enkel ingelogd in te zien, zorg ervoor dat je ingelogd bent voordat je de link aanklikt.
ISAE rapportage over 2023 inzien
ISAE rapportage over 2022 inzien
ISAE rapportage over 2021 inzien
ISAE rapportage over 2020 inzien
ISAE rapportage over 2019 inzien
ISAE rapportage over 2018 inzien
ISAE rapportage over 2017 inzien
ISAE rapportage over 2016 inzien
ISAE rapportage over 2015 inzien
Wij gaan er van uit dat al onze klanten vertrouwelijk met deze rapportage om gaan.
Heb je een inhoudelijke vraag over een rapportage? Vraag dit dan hier.
Wil je de ISAE-rapportage van 2023 inzien in het Engels? Klik dan hier.
Wat is de volledige scope van de rapportage?
Dit rapport is gericht op de Saas-dienstverlening van AFAS, "AFAS Online". Middels deze dienstverlening beschikken klanten 24/7 over een volwaardige versie van de AFAS Profit software. De AFAS Online dienstverlening betekent het continue beheren en verbeteren van de geboden online oplossing.
Welke diensten die AFAS levert, vallen binnen de scope van deze rapportage?
- AFAS Online verzorgt systeem- en applicatiebeheer, een optimale beveiliging en een dagelijkse back-up. Dit wordt ook wel een cloud, Software-as-a-Service (SaaS) of Application Service Provider (ASP) oplossing genoemd;
- Applicatiebeheer is beperkt tot het installeren van AFAS Profit versies en patches binnen de AFAS Online omgeving. Waarbij een geautomatiseerde controle op de ‘desired state’ van de AFAS Online omgeving wordt uitgevoerd voor- en nadat een AFAS Profit versie of patch is geïnstalleerd in de productieomgeving van AFAS Online;
- Beveiliging van gegevens is voor AFAS een absolute prioriteit. Deze beveiliging is van toepassing op zowel de hostingleverancier, de dataverbinding en gegevensbeheer;
- Monitoring en controle door AFAS op de geleverde dienstverlening zoals gerapporteerd door de hostingleverancier met betrekking tot de fysieke hosting & housing en infrastructuur diensten.
- Uitvoering en monitoring van testwerkzaamheden op de AFAS Profit Software gewijzigde functionaliteit.
Welke diensten vallen er buiten?
- Ontwikkeling van de AFAS Profit software en gewijzigde functionaliteit;
- Parameteraanpassingen binnen de AFAS Profit software;
- De dienstverlening van de hostingleverancier met betrekking tot fysieke hosting, housing en infrastructuur diensten. (wel de monitoring hiervan)
Waarom valt de fysieke hosting, housing en infrastructuur diensten buiten de scope?
- Als AFAS hebben niet direct invloed op deze dienstverlening en rusten we volledig op de goede contacten en SLA die we met Leaseweb hebben. Tevens is deze dienstvelening volledig ISO27001 gecertificeerd en komen de beheersmaatregelen ook voor in de ISAErapportages van Leaseweb. Wij monitoren deze rapportages en de controle daarop is weer in de ISAE3402 van AFAS opgenomen.
Onze accountant wil graag de ISAE3402 / SOC1-Type II rapportage ontvangen van Leaseweb kan dat?
- Voor meer informatie over de certificeringen van Leaseweb verwijzen we graag naar de site van Leaseweb: https://www.leaseweb.com/security-certifications waarbij ook de SOC1 Type II staat vermeld. Het rapport zelf is alleen beschikbaar voor klanten van Leaseweb. AFAS heeft deze rapportage ontvangen maar mag deze niet doorgeven aan derden. Daarom hebben we in hoofdstuk 3.4 opgenomen dat wij de ‘monitoring’ van de dienstverlening van Leaseweb doen via de ISAE3402 rapportage. Zie ook daarvoor controle 7.4 van hoofdstuk 4.7 Service level management
Wanneer is de rapportage over 2023 beschikbaar?
- De volgende rapportage zal de rapportage over het gehele jaar 2023 zijn. Om een volledige rapportage te maken moet het jaar 2023 afgelopen zijn. Omdat de audits bij de accountant enige tijd in beslag kunnen nemen is de verwachting dat de volgende rapportage rond het eerste kwartaal van 2024 beschikbaar zal komen. Zodra de rapportage beschikbaar is zorgen wij dat dit in de nieuwsbrief vermeld wordt. Mocht de accountant dit eerder gereed hebben melden wij dit uiteraard. Wij hebben voor de tussentijd geen ‘Bridge letters’ beschikbaar.