ISAE 3000 in relatie tot ISAE 3402

De meest recente ISAE 3000 standaard is uitgegeven in december 2013. Deze meest recente ISAE 3000 standaard is meer gedetailleerd en beschrijvend dan de vorige meer “conceptuele” standaard. ISAE 3402 is wereldwijd meer gegroeid in populariteit als gevolg van een toegenomen uitbesteding van serviceorganisaties. In de ISAE 3402 standaard, wordt er gerefereerd naar de ISAE 3000; alle ISAE 3402 dienstverbanden moeten in overeenkomst zijn met de ISAE 3000 standaard. ISAE 3402 concentreert zich op de beheersmaatregelen in een serviceorganisatie, specifiek de maatregelen die betrekking hebben op de financiële informatie van een gebruikersorganisatie. Gebruikersorganisaties die alleen IT-processen uitbesteden naar serviceorganisaties, zoals Cloud Service Providers, zouden kunnen rapporteren in overeenstemming met alleen ISAE 3000. Voor een ISAE 3402 rapportage wordt er in Amerika naar een SOC 1 rapportage gerefereerd; voor een ISAE 3000 wordt er gerefereerd naar een SOC 2 rapportage als de (AICPA) Trust Service Principles zijn ingericht.

Voorbeeld I | Datacenter

Een hosting provider biedt rackspace en een aantal basis securitymaatregelen aan zoals toegangsbeveiliging tot het datacenter, maatregelen tegen stroomuitval en brandbeveiliging. Gebruikersorganisaties die de servers hosten in het datacenter kunnen inzicht in de relevante beveiligingsmaatregelen opvragen en zouden een externe accountant kunnen inhuren op de procedures te auditen. Als de dienst die wordt aangeboden alleen betrekking heeft op het verwerken van data en het uitbesteden van gegevens zou de serviceprovider een ISAE 3000 rapport kunnen opstellen over het security framework.

Voorbeeld II | SaaS provider

Een Cloud and Software-as-a-Service (SaaS) provider biedt Microsoft Office 365 en andere hosting applicaties aan. Als financiële informatie wordt verwerkt en opgeslagen in hun datacenter, dan zou ISAE 3402 relevant zijn. De auditors van de gebruikersorganisaties moeten onderzoeken of de General IT Controls (inclusief security) afdoende zijn voor de serviceorganisatie. In dit voorbeeld moet de rapportage geaudit worden in overeenstemming met de ISAE 3402 standaard. Een consequentie hiervan is de relatie tussen ISAE 3402 en ISAE 3000: de audit moet ook uitgevoerd worden in overeenstemming met ISAE 3000.


Service Organisatie Control-rapportages die een beschrijving van de General IT Controls bevatten zouden alleen in overeenstemming met ISAE 3000 moeten worden ingericht wanneer er financiële data wordt verwerkt. In het assessment zou verwerkt moeten worden waarom ISAE 3000 of ISAE 3402 relevant is. Ook zou de vraag gesteld moeten worden of de diensten die aangeboden worden, betrekking hebben op de financiële processen van de serviceorganisatie.

Wanneer er alleen Office wordt gebruikt in bijvoorbeeld de vorm van Office 365, dan is het erg waarschijnlijk dat er geen financiële gegevens verwerkt worden en dat de diensten geen impact hebben op de financiële processen van de serviceorganisatie; alleen ISAE 3000 is hier dus relevant. Als diensten zoals PaaS (Platform-as-a-Service) worden aangeboden, dan is het mogelijk dat de gebruikersorganisatie data verwerkt op het platform. De organisatie moet bepalen of een ISAE 3402 of een ISAE 3000 rapportage wordt aangeboden. Als er financiële data wordt verwerkt dan heeft een ISAE 3000 rapportage geen toegevoegde waarde voor de gebruikersorganisatie.

In het algemeen, als de controls alleen betrekking hebben op de General IT Controls, zou een ISAE 3000 rapportage het meest relevant zijn. Als financiële data verwerkt wordt dan is ISAE 3402 relevant. Als ISAE 3402 relevant is dan kunnen financial controls en application controls ook relevant zijn.

De inhoud van de ISAE 3000 standaard bevat:

Regulatie en generieke richtlijnen voor de auditor:
  • Ethische voorwaarden
  • Kwaliteitscontroles
Richtlijnen voor de performance van de assurance opdracht:
  • Acceptatie van de opdracht
  • Planning
  • Het gebruik van een expert
  • Het verzamelen van bewijs
Gedetailleerde beschrijving van de ISAE 3000 rapportage:
  • Documentatie
  • Voorbereiden van het assurancerapport

ISAE 3000 auditopdrachten kunnen worden verdeeld in twee dimensies; in redelijke mate een assurance opdracht (audit) en een beperkte assurance opdracht (review). De opdracht kan worden geclassificeerd als verklarend als een andere partij dan de auditor het desbetreffende onderwerp toetst tegen bepaalde criteria. Bij een directe opdracht toetst de professional het desbetreffende onderwerp tegen de toepasbare criteria.