Assurance volgens ISAE 3000, ISAE 3402 of SOC 2
Maak IT en privacy beheersing aantoonbaar en win de pitch
Wat is assurance?
Bedrijven focussen zich steeds meer op de kernactiviteiten en besteden processen en IT diensten steeds vaker uit. Mede ingegeven door de privacy regelgeving worden strengere eisen gesteld aan leveranciers, zeker als het gaat om beheersing van IT security en AVG risico’s. Een bedrijf blijft zelf immers eindverantwoordelijk voor adequate IT security en privacy. Is een leverancier in staat om de IT security en privacy beheersing aan te tonen, dan onderscheidt het zich in de markt. Dit kan gedaan worden door assurance rapportages in de vorm van ISAE 3000, ISAE 3402 of SOC 2.
ISAE 3000
ISAE 3000 is een internationale audit standaard waarmee een service organisatie (leverancier), de betrouwbaarheid van de dienstverlening kan aantonen. De ISAE 3000 standaard is bij uitstek geschikt om zekerheid te verschaffen over beveiliging en privacy voor IT managed services en cloud services.
Een ISAE 3000 verklaring, vaak een ISAE 3000 certificaat genoemd, is een oordeel van een onafhankelijke en gekwalificeerde auditor. In de audit wordt beoordeelt in hoeverre risico’s op het gebied van beschikbaarheid, integriteit en vertrouwelijkheid zijn beheerst. Het rapport kan worden verstrekt aan klanten en geeft hen zekerheid dat processen op orde zijn.
ISAE 3402
ISAE 3402 is een internationaal herkende standaard voor het verlenen van zekerheid over de beheersing van uitbestede bedrijfsprocessen die relevant zijn voor de jaarrekening van de klant. Het is geschikt voor leveranciers om aan hun klanten aan te tonen dat de dienst betrouwbaar is.
Een ISAE 3402-verklaring, vaak een ISAE 3402 certificaat genoemd, is een oordeel van een onafhankelijke en gekwalificeerde auditor. Deze verklaring wordt afgegeven na een type 1 of type 2 audit.
SOC 2
SOC 2 is erop gericht om zekerheid te verschaffen over de kwaliteit van uitbestede IT diensten, de structuur van een SOC 2 rapport is gelijk aan de ISAE 3402. Voor SOC 2 geldt geen verplichte relatie met de financiële verslaggeving van de klant, de inhoud van een SOC 2 wordt echter bepaald aan de hand van de Trust Services Criteria. Een SOC 2 rapport hanteert een verplichte set aan beheersdoelstellingen en gaat hiermee een stap verder dan ISAE 3000, waarin de service organisatie meer vrijheid heeft in het bepalen van de reikwijdte.
SOC 2 is dus geen ISAE 3000, maar onderdeel van de Amerikaanse assurance standaard AT-C 205 en vooral op de Amerikaanse markt een belangrijke rapport. Ook in Nederland wordt de SOC 2 rapportage steeds vaker aan IT leveranciers gevraagd.
Wat klanten vertellen over onze assurance verklaring:
De begeleiding voor de totstandkoming van de ISAE 3402 certificering is ons erg goed bevallen. Zowel qua procesbeheersing als IT security. Goed werk!
Door het ISAE 3402 traject zijn we in staat om onze processen aantoonbaar continu te evalueren en te verbeteren, waardoor we de kwaliteit van onze dienstverlening blijven verhogen!
Het ISAE 3402 project heeft het mogelijk gemaakt om gebruik te maken van ons bestaande kwaliteitsmanagementsysteem waarbij wij onze bestaande doelstellingen – waar nodig – hebben gedetailleerd om additionele waarborging te geven dat onze gestelde maatregelen structureel aantoonbaar zijn voor zowel onze ISAE verklaring als onze NEN/ISO certificaten, mooi resultaat!
Assurance rapportages
Aantoonbare IT- en privacy beheersing is voor je (potentiële) klanten steeds vaker een randvoorwaarde bij de selectie van een leverancier. Onze IT specialisten adviseren je bij het inrichten van IT-, privacy- en bedrijfsprocessen en geven ISAE 3000, ISAE 3402 en SOC 2 Assurance rapportages af om de beheersing aan je klanten aan te tonen.
Transformeer jouw IT. Bescherm je bedrijf.
Onze experts verbeteren jouw IT-infrastructuur, beveiligen je tegen hackers, en zorgen dat je voldoet aan de AVG. Toon je klanten dat je controle hebt – wij regelen het voor je.
Neem vandaag nog contact op en versterk je IT!