Het verschil tussen ISAE 3000 en 3402
ISAE 3000 en ISAE 3402: twee verschillende verklaringen. In dit artikel vertellen we daar alles over.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlOrganisaties besteden steeds meer cruciale (financiële) activiteiten uit aan externe partijen – ook wel serviceorganisaties genoemd. Het is dan wel belangrijk dat je als organisatie weet hoe het geregeld is met betrekking tot risicomanagement, interne beheersing en informatiebeveiliging van die activiteiten. Wanneer deze zaken niet geborgd zijn, kan dat immers veel impact hebben op de businesscontinuïteit en de vertrouwelijkheid van informatie. Om die reden willen organisaties zekerheid over de uitbestede activiteiten in de vorm van ‘assurance’. Er zijn verschillende assurance-verklaringen die deze zekerheid bieden, waaronder ISAE 3402 en ISAE 3000. In dit artikel zoomen we in op ISAE 3000 en 3402. We leggen uit wat ze betekenen en hoe ze verschillen van elkaar.
Assurance-verklaring
Zoals gezegd besteden organisaties steeds meer activiteiten uit. Denk daarbij aan:
- Loonverwerking;
- IT (cloudoplossingen/infrastructuur etc.);
- Vermogensbeheer;
- Backoffice;
- Etc.
Om zekerheid te hebben over de kwaliteit van die uitbestede processen kunnen zij van serviceorganisaties een assurance-verklaring eisen. Wanneer je – als serviceorganisatie – in het bezit bent van zo’n verklaring dan:
- Onderscheid je jezelf van de concurrentie;
- Toon je aan dat je structureel en vakkundig zowel je eigen processen alsmede die van opdrachtgevers borgt;
- Laat je zien dat je streeft naar continue verbetering en professionalisering van je organisatie.
ISAE 3000 versus 3402: de overeenkomst
ISAE staat voor International Standard on Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Voor zowel ISAE 3000 alsmede ISAE 3402 zijn er twee verschillende typen verklaringen, namelijk type 1 en type 2. Beide rapporten lijken sterk op elkaar. Het verschil zit hem echter in de controle (audit) die erop wordt uitgevoerd. Bij type 1 is dit een momentopname waar bij type 2 om een bewijs van minimaal zes maanden wordt gevraagd. Middels de audit wordt aangetoond dat de interne beheersprocessen ook daadwerkelijk worden uitgevoerd zoals beschreven en dat er dus sprake is van een ‘beheerst proces’.
Zowel ISAE 3000 alsmede ISAE 3402 zijn gericht op beheersingsmaatregelen bij serviceorganisaties. Voor beide verklaringen geldt ook dat het beheersingskader (beheersdoelstellingen en -maatregelen) zelf, op maat, mag worden samengesteld.
Het verschil tussen ISAE 3000 en 3402
Het verschil tussen ISAE 3000 en 3402 is grofweg dit:
- Voor diensten met een financieel aspect is er ISAE 3402;
- Voor security en overige niet (historische) financiële informatie is er ISAE 3000.
Simpel gezegd is er bij een ISAE 3402 verklaring een relatie met de jaarrekening van de klant, waar die relatie er bij ISAE 3000 niet hoeft te zijn.
Wanneer een verklaring niet specifiek gericht hoeft te zijn op informatiebeveiliging volstaat ISAE 3000, maar wanneer er wel specifiek focus op informatiebeveiliging dient te zijn kan er gekozen worden voor SOC 2. Wil je meer weten over SOC 2? Lees dan het artikel: ‘ISAE 3402 type 2 versus SOC 2: wat is het verschil?’.
ISAE 3000 is een internationale standaard die generiek toepasbaar is op een breed scala aan vraagstukken, zoals bijvoorbeeld zekerheid bij de beheersing van persoonsgegevens, en is daardoor een bekende en overkoepelende vorm van assurance. In Nederland kennen we ISAE 3000 als Standaard 3000 (NBA) en Richtlijn 3000 (NOREA). ISAE 3000 wordt met name toegepast door (cloud)technologiebedrijven en IT-serviceorganisaties ed., waarbij er geen sprake is van een directe relatie met de financiële verwerkingsprocessen.
ISAE 3402 is tevens een internationale standaard en wordt specifiek toegepast op uitbestede processen die een (indirect) verband hebben met de financiële verslaglegging van de uitbestedende organisatie. Een ISAE 3402 rapport is algemeen (h)erkend als middel om inzicht te verkrijgen in de beheersdoelstellingen en -maatregelen met betrekking tot administratieve processen die zijn uitbesteed aan derden.
ISAE 3000 versus ISO 27001
Hoe zit het dan met ISAE 3000 versus ISO 27001? ISAE 3000 gaat, net als ISO 27001, ook over informatiebeveiliging. ISO 27001 beschrijft echter een soort momentopname, terwijl ISAE 3000 een hele periode, van minimaal zes maanden bewijs, omvat. De audit van ISAE 3000 is om die reden ook intensiever dan de ISO 27001 audit.
Desalniettemin zijn ISAE 3000 en ISO 27001 op heel veel gebieden vergelijkbaar met elkaar. Om die reden is het logisch om de twee te combineren en tegelijkertijd te implementeren/uit te laten voeren. Op die manier kunnen audits efficiënter uitgevoerd worden, doordat je slechts één keer alle onderdelen hoeft toe te lichten. Dat scheelt weer werk en dus tijd!
Meer informatie: ISAE 3000 versus 3402?
In dit artikel hebben we wat meer informatie gegeven over het verschil tussen ISAE 3000 en 3402. De verschillen tussen beide assurance-verklaringen zijn niet groot, maar het is wel van belang dat je als organisatie de juiste verklaring kiest. Wil je meer weten over deze verklaringen? Neem dan gerust contact met ons op. Onze adviseur legt je graag meer uit over de mogelijkheden.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nl
Stap voor stap naar een ISAE 3402 verklaring?
Download het handige stappenplan!
- Concrete stappen
- Praktische informatie
