Het valt mij al jaren op: wanneer organisaties assurance willen over hun IT processen, verschijnt opvallend vaak een ISAE 3402 rapport op tafel. Op het eerste gezicht lijkt het een logische keuze. Het is een bekende standaard, auditors herkennen het format en klanten zijn eraan gewend om ernaar te vragen.
Maar er zit een fundamentele verkeerde interpretatie in deze keuze. ISAE 3402 is namelijk nooit bedoeld als generieke standaard voor IT assurance. Het is ontworpen voor uitbestede processen die impact hebben op de financiële verslaggeving. Toch wordt de standaard gebruikt voor security processen, cloud beheersing, IT operations en incidentmanagement.
Waar komt deze verkeerde interpretatie vandaan?
Bij veel organisaties speelt een combinatie van drie factoren:
- Bekend maakt bemind
ISAE 3402 is vertrouwd terrein. Veel finance teams en auditors hebben jaren gewerkt met deze standaard, waardoor het de “standaard” is geworden, ook voor thema’s die buiten de oorspronkelijke scope vallen. - Gebrek aan interne expertise
Organisaties missen vaak specifieke kennis over welke assurance standaard het beste past bij het doel van de controle. Daardoor wordt gekozen voor wat men al kent, in plaats van voor wat inhoudelijk écht nodig is. Dit sluit nauw aan bij een breder probleem dat we in de markt zien: organisaties worstelen met complexiteit van regelgeving en tekort aan gespecialiseerde kennis. - Vragen vanuit klanten die geen alternatief kennen
Veel klanten vragen simpelweg een ISAE 3402 omdat zij óók niet precies weten welke standaard nodig is.
Het resultaat: een rapportage die er professioneel uitziet, maar inhoudelijk niet aansluit op het doel.
Waarom ISAE 3000 of SOC 2 vaak veel beter past
Wanneer je IT‑processen wilt laten beoordelen, zijn er twee standaarden die veel logischer zijn:
- ISAE3000: Geschikt voor allerlei vormen van assurance die niet puur financieel zijn.
Denk aan security‑beheersing, privacy controls, cloud governance of bredere operationele processen. - SOC 2: Gaat nog een stap verder, met specifiek uitgewerkte criteria voor Security, Availability, Processing Integrity, Confidentiality en Privacy. Met andere woorden: volledig afgestemd op IT‑beheersing.
Deze standaarden sluiten naadloos aan op wat de meeste organisaties vandaag de dag nodig hebben.
Wat betekent dit in de praktijk voor organisaties?
Wij zien bij klanten regelmatig dezelfde ontwikkeling:
- Ze beginnen met een ISAE3402 omdat “dat altijd zo gedaan is”.
- Tijdens interne assessments ontdekken ze dat cruciale IT‑risico’s onvoldoende worden afgedekt of dit wordt verzocht door hun klanten die dit inzicht ook hebben gekregen.
- Ze stappen over op ISAE3000 of SOC2.
- Het rapport wordt ineens veel waardevoller voor zowel interne governance als externe stakeholders.
En precies dat is waar assurance over zou moeten gaan: echte waarde toevoegen, niet alleen een vinkje zetten.
De kernvraag die iedere organisatie zichzelf zou moeten stellen
De eerste vraag zou moeten zijn: Waar wil je eigenlijk zekerheid over?
Gaat het om financiële processen?
Dan is ISAE 3402 perfect.
Gaat het om IT‑beheersing, security, cloud of privacy?
Dan is ISAE 3000 of SOC 2 simpelweg een betere keuze.
Het kiezen van de juiste standaard voorkomt ruis, versnelt het proces én verhoogt de kwaliteit van de assurance‑rapportage.
Wilt u weten welke standaard het beste bij uw organisatie past?
Bij ARC People brengen we helder in kaart wat het doel van de assurance is, welke risico’s relevant zijn en welke standaard daar het beste bij past. Dat doen we vanuit onze expertise in audit, risk en compliance; de drie kerngebieden waarin wij actief zijn.
Het levert organisaties drie dingen op:
- Een rapportage die wél aansluit op de risico’s.
- Stakeholders die de informatie direct kunnen gebruiken.
- Een assurance‑proces dat toekomstbestendig is.
Stuur me gerust een bericht. Ik denk graag mee.
