Steeds meer serviceorganisaties krijgen van klanten de vraag om “een assurance-rapport”. Maar welk rapport? ISAE 3402 en SOC 2 worden vaak door elkaar gehaald, terwijl ze een ander doel dienen en een andere doelgroep aanspreken. Een verkeerde keuze kost tijd, geld en geloofwaardigheid.
Waar gaan ze over?
ISAE 3402 is de internationale standaard voor third-party assurance bij serviceorganisaties wier dienstverlening doorwerkt in de financiële verslaglegging van hun klanten. Denk aan payroll, payments, hosting of BPO. Het rapport is primair bedoeld voor je klanten én hun accountants.
SOC 2 is gebaseerd op de Amerikaanse Trust Services Criteria (Security, Availability, Confidentiality, Processing Integrity en Privacy). Het richt zich op de beheersing van data en systemen, los van de financiële cijfers, en is vooral gangbaar bij SaaS- en cloudleveranciers met internationale, vaak Amerikaanse, klanten.
Type I of Type II?
Beide rapporten kennen twee varianten:
- Type I beoordeelt de opzet van de beheersmaatregelen op één moment.
- Type II beoordeelt de werking over een periode (meestal 6 tot 12 maanden).
In de praktijk vragen klanten bijna altijd om een Type II: dat geeft zekerheid dat de maatregelen niet alleen op papier bestaan, maar ook daadwerkelijk werken.
Welke kies je?
Een paar vuistregels:
- Raakt je dienst de cijfers van je klant? Dan is ISAE 3402 meestal de juiste keuze.
- Bedien je (internationale) SaaS-klanten die om security-assurance vragen? Dan past SOC 2 beter.
- Twijfel je? Veel organisaties hebben uiteindelijk baat bij beide, of bij een ISAE 3000-rapport op een specifiek onderwerp.
Begin bij de scope, niet bij het rapport
De grootste fout is om te beginnen met de vraag “welk rapport moeten we hebben?” in plaats van “wat willen onze klanten zeker weten?”. Een goed scope-gesprek bepaalt de helft van het succes, en voorkomt dat je een duur traject ingaat dat uiteindelijk niet aansluit op de vraag.
Twijfel je welk rapport bij jouw situatie past? Plan een kennismaking, we denken graag vrijblijvend mee.