Misvattingen over standaard ISAE 3402

Hoek en Blok.IT

Alert-ISAE-3402

Dit bericht beschrijft een alert afgegeven door de beroepsorganisatie van Register IT auditors: Norea.

Na diverse persberichten en publiciteit is naar voren gekomen dat de 3402 verklaring niet altijd op de juiste wijze wordt toegepast en er duidelijke misvattingen hierover zijn. Hierdoor wordt er verkeerde informatie verstrekt en kunnen er klachten komen vanuit klanten. Veel voorkomende misvattingen zijn dat IT-auditors de 3402 standaard gelijk stellen aan een certificering of kwaliteitskeurmerk, of dat de 3402 richtlijn op de verkeerde reikwijdte wordt toegepast en niet meer in de juiste scope past. In dit bericht zullen deze misvattingen aangekaart worden en de risico’s die hier bij komen kijken zullen toegelicht worden.

Het idee van de 3402

De 3402 standaard is er voor serviceorganisaties om duidelijkheid en inzicht te verschaffen in rapportages die door een IT-auditor wordt samengesteld. Met behulp van de 3402 standaard krijgt een serviceorganisatie inzicht in hun processen, of deze betrouwbaar zijn en welke interne beheersmaatregelen er gebruikt worden. Dit alles is wel bedoeld in relatie tot de financiële verslaggeving. Een 3402-rapport is primair bedoeld voor de auditor of accountant van een organisatie die gebruik maakt van de dienstverlening van desbetreffende serviceorganisatie. Door middel van het rapport kan een serviceorganisatie aan de klantorganisatie tonen dat hun diensten wederom betrouwbaar en onderhouden zijn.

De 3402 standaard is een specifieke invulling, gericht op financiële verslaggeving, van de 3000 standaard. Wanneer een serviceorganisatie invulling zou willen krijgen op andere aspecten dan financiële verslaggeving, zou er naar de 3000 standaard gekeken kunnen worden.

Risico’s

Wanneer de 3402-rapporten verkeerd worden ingevuld, of misvattingen gemaakt worden, zijn er risico’s die zich mogelijk voor kunnen doen. Het voornaamste probleem ligt op het gebied van publiciteit. Bij een 3402 rapport liggen bepaalde verantwoordelijkheden. Deze dienen door de IT-auditor aan de desbetreffende auditor van een serviceorganisatie voorgelegd te worden. Hieronder valt de distributie verantwoordelijkheden die bij de serviceorganisatie ligt. Hiernaast worden samenvattingen van rapporten wel eens gebruikt en bestempeld als het hele verhaal. Het risico hiervan is dat niet alle aspecten van het rapport in acht genomen wordt, waardoor misvattingen ontstaan en informatie niet meer vertrouwelijk wordt. Ook kunnen er klachten komen vanuit klanten die gebruik maken van de rapporten.

Meer informatie over de misvattingen van het 3402 standaard en de bijkomende risico’s weten? Kijk dan bij de NOREA melding over dit onderwerp, zie www.norea.nl.

Lees meer over ISAE 3000, ISAE 3402 en SOC 2

Kies voor de aanpak van Hoek en Blok IT

Wij begeleiden klanten bij het inrichten van maatregelen rondom bedrijfs-, IT security- en privacy-processen en geven ISAE of SOC  Assurance rapportages af om beheersing voor jouw klanten aan te tonen.

Onze aanpak is gebaseerd op best practices, doelgericht, pragmatisch én betaalbaar. Maatregelen zoveel mogelijk belegd in de 1e lijn, geen onnodige administratieve last.

Aantoonbare IT-, privacy- en procesbeheersing is voor klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. ISAE en SOC geven zekerheid over de structurele uitvoering van maatregelen én AVG, in tegenstelling tot ISO 27001.

Meer informatie? Vul het formulier in en je ontvangt de ISAE assurance whitepaper.

  • Professionele begeleiding

  • Overtuig jouw klanten

  • Efficiënt en scherpe prijs

    NEEM CONTACT OP

    We begrijpen dat privacy belangrijk voor je is, daarom gebruiken we je gegevens uitsluitend om met je te communiceren. Zie onze privacyverklaring om te zien hoe wij met je gegevens omgaan.