Wat is het verschil tussen ISAE 3000 en ISAE 3402?

Hoek en Blok.IT

ISAE-3000-ISAE-3402

Organisaties richten zich steeds meer op de kernactiviteiten en besteden diensten als IT beheer of salarisverwerking steeds vaker uit. Mede ingegeven door de AVG privacy regelgeving worden strengere eisen gesteld aan leveranciers, zeker als het gaat om beheersing van IT security en privacy risico’s. Kan een leverancier de IT security en privacy beheersing aantonen, dan onderscheidt deze zich in de markt. Dat betekent een streepje voor bij aanbestedingen.

Een ISAE assurance rapportage geeft zekerheid aan klanten dat de service organisatie de relevante risico’s adequaat heeft afgedekt. Hiermee toont de service organisatie haar kwaliteit aan, een belangrijke selectiecriterium. Wat is het verschil tussen ISAE 3000 en ISAE 3402? Dat vertellen we je hier.

Wat is ISAE 3000?

ISAE staat voor de International Standard on Assurance Engagements en moet niet verward worden met ISO. De ISAE richt zich op risico’s in het uitbesteden van processen. Dit kan zijn op financiële aspecten zoals jaarrekeningen, maar ook niet financiële aspecten, bijvoorbeeld op het gebied van informatiebeveiliging of privacy. De ISAE 3000 richt zich op niet-financiële diensten, zoals beheer van IT systemen of een cloud applicatie. Tijdens de audit wordt beoordeeld in hoeverre risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid zijn beheerst. In de uitgebreide assurance rapportage wordt een assurance verklaring van de onafhankelijke auditor afgegeven. Het rapport kan vervolgens worden verstrekt aan klanten om aan te geven dat de processen op orde zijn en de dienstverlening betrouwbaar op het gebied van IT en Cloud services.

Op zoek naar een handig stappenplan?

Wat is ISAE 3402?

ISAE 3402 is de standaard voor het verlenen van zekerheid over de beheersing van uitbestede bedrijfsprocessen die relevant zijn voor de jaarrekening van de klant, zoals bijvoorbeeld salarisverwerking of vermogensbeheer. Kenmerkend hierbij is dat ISAE 3402 dus bedoeld is voor de dienstverlening met financiële aspecten.

De structuur  van een ISAE 3402 rapportage is bepaald in de standaard, zodat het rapport herkenbaar is voor een breed publiek. Op basis van gekozen beheersingsdoelstelling worden maatregelen gedefinieerd en door de onafhankelijke auditor beoordeeld.

Wat is het verschil tussen ISAE 3000 en 3402?

De ISAE 3000 en ISAE 3402 zijn beide verklaringen bedoeld voor serviceorganisaties die diensten bieden aan klantorganisaties. Allebei de verklaringen zijn dan ook internationaal erkend en zullen voor veel organisaties ook belangrijk zijn. In beide standaarden is sprake van twee verschillende soorten rapportages: namelijk type 1 en type 2. Het voornaamste verschil tussen de twee types is dat type 1 om een momentopname gaat (opzet en bestaan). In de type 2 rapportage wordt een audit over een langere tijd uitgevoerd, een periode van minimaal zes maanden. De werking van maatregelen wordt over deze periode beoordeeld, dit geeft klanten van de serviceorganisatie dus meer zekerheid.

Het verschil tussen ISAE 3000 en ISAE 3402 lijkt er dus haast niet te zijn, en toch is deze er. Namelijk, de ISAE 3000 richt zich op uitbestede diensten die niet te maken hebben met financiële aspecten. Denk hierbij aan IT dienstverleners of cloud leveranciers. Wanneer processen op dit gebied worden uitbesteed, dan wordt er een ISAE 3000 rapport samengesteld, die vaak gaat over risicobeheersing inzake IT security en privacy. De ISAE 3402 is bedoeld voor de financiële uitbestede dienstverlening, denk hierbij bijvoorbeeld aan salarisverwerkers of vermogensbeheerders.

Lees meer over ISAE 3000, ISAE 3402 en SOC 2

SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en je ontvangt de ISAE assurance whitepaper.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.