Voor het aantonen van bestaan en werking is een assurance-rapport van een extern accountant nodig. Deze ‘ISAE 3000A type 2 verklaring’ geeft een meerwaarde ten opzicht van de review werkzaamheden die de zorgverzekeraar als het gaat om de ITGC’s, complexe application controles en complexe beheersmaatregelen met een IT-component. Op dat gebied vult externe accountant de expertise van de representerende zorgverzekeraar aan.

Scope verklaring is maatwerk

De scope van de opdracht aan de externe accountant wordt gekozen op basis van de beheersing op de procesrisico’s. Dit hangt onder andere af van het EPD en het al dan niet gebruiken van externe IT ondersteuners. Er is dus sprake van maatwerk.

Controleprotocol Horizontaal Toezicht Zorg

Om te voorkomen dat elke zorgaanbieder in overleg met de representerende zorgverzekeraar het technische controlekader voor de externe accountant moet bepalen is een controleprotocol Horizontaal Toezicht Zorg opgesteld. Het controleprotocol geeft aanwijzingen aan accountants en IT-auditors die over de beheersing van risico’s binnen HT een assurance-rapport afgeven volgens Standaard 3000A.