ISAE 3402 & ISAE 3000
Het belang van ISAE 3402 en ISAE 3000 voor outsourcing
'Service Organization Control reports' zoals ISAE 3402 en ISAE 3000 scheppen extra waarde voor leveranciers van outsourcingdiensten (service-organisaties) en voor hun klanten:
- Service Organization Control reports scheppen meer vertrouwen bij (potentiële) klanten van service-organisaties en zijn daardoor een krachtig marketinginstrument voor service-organisaties;
- Service Organization Control reports ondersteunen de governance, risks management & compliance activiteiten van klanten van service-organisaties en zijn daardoor een toegevoegde waarde.
Veel service-organisaties beschikken daarom over Service Organization Control reports. Denk aan cloud computing en IT-leveranciers, vermogensbeheerders, financiële dienstverleners, logistieke dienstverleners en salarisverwerkers. De internationaal bekendste typen Service Organization Control reports zijn ISAE 3402 en ISAE 3000.
Wat zijn ISAE 3402 en ISAE 3000?
ISAE 3402 en ISAE 3000 zijn standaarden van de International Federation of Accountants (IFAC). Deze standaarden worden gebruikt om zekerheid te geven over outsourcing, meer specifiek:
-
ISAE 3000
International Standard on Assurance Engagements 3000 - Assurance engagements other than audits or reviews of historical financial information. -
ISAE 3402
International Standard on Assurance Engagements 3402 - Assurance reports on controls at a service organization.
ISAE 3402 (voorheen SAS 70) is alleen bedoeld om te rapporteren over de interne beheersing van een service-organisatie voor de financiële verslaggeving van klantorganisaties. Als de uitbesteding geen verband houdt met financiële verslaggeving, dan wordt de ISAE 3000 standaard gebruikt. Bijvoorbeeld voor zekerheid over continuïteit, beveiliging en privacy.
Wat zijn Service Organization Control (SOC) reports?
De Amerikaanse beroepsorganisatie van accountants (AICPA) hanteert het begrip Service Organization Control (SOC) reports. De ISAE 3402-variant duidt men aan met SOC1. De ISAE 3000-variant die gaat over security, availability, processing integrity, confidentiality of privacy duidt men aan met SOC2. De Amerikanen bieden ook de optie van een zegel op de website van de service-organisatie, die SOC3 wordt genoemd. Vele cloud computing leveranciers verstrekken zekerheid aan hun klanten op basis van SOC2 of SOC3.
ISAE 3402 & ISAE 3000 diensten van ITegrity
Voor Service Organization Control reports is een grondige kennis en ervaring vereist. Hierdoor is het schaars specialisme, zelfs binnen de gemeenschap van auditors. ITegrity biedt dit specialisme met de volgende diensten:
-
Projectmanagement
De complete regie en projectmanagement voor de realisatie van een Service Organization Control report, inclusief de coaching van de interne organisatie en de aansturing van de externe auditor. -
Readiness / Risk consulting
ITegrity begeleidt uw organisatie, zodat u de audit met vertrouwen tegemoet kunt zien. We ondersteunen met de keuze van de juiste rapportagevorm, scoping, risico-analyse en gap-analyse. Maar ook met advies over aan te brengen internal controls en met het opstellingen van de vereiste beschrijvingen van uw operatie. -
Auditing
ITegrity treedt op als externe auditor die de ISAE 3402 / ISAE 3000 rapportage verstrekt.
De voordelen van ITegrity
-
Deskundig
ITegrity is gespecialiseerd in Service Organization Control reports. -
Betrokken
Uw organisatie wordt ondersteunt door ervaren professionals. -
Value-for-money
Door een beperkte overhead kan ITegrity werken met aantrekkelijke tarieven. En nog belangrijker: door onze deskundigheid en betrokkenheid werken we heel efficiënt. Dat bespaart u kosten.
Lees ook verder over onze expertise van Outsourcing Assurance.
Wilt u meer weten over de dienstverlening van ITegrity? Neem dan vrijblijvend contact op.
21 Mrt: Conferentie
ITegrity presenteert op Aruba en CuraƧao over security en privacy assurance.
Lees meer
15 Okt: Nieuwe website
ITegrity lanceert haar nieuwe website met informatie over haar diensten en expertise.
Lees meer
