|
De ISAE 3402 standaard eist dat de service organisatie verschillende onderdelen van hun derden-rapportage ('third party assurance reporting') moet beoordelen, zonodig opnieuw beoordelen. Dit betreft vooral service organisaties die hun uitgebreide beschrijving van hun beheersysteem nog moeten opstellen tezamen met de formele managementverklaring ('assertion statement').
Kortweg zijn dit ook de meest fundamentele verschillen tussen ISAE 3402 en de Amerikaanse norm SAS70. Daarnaast zijn er nog regionale verschillen, maar die zijn niet zo wezenlijk als deze verschillen.
Waar moet een migratie van SAS70 naar ISAE3402 zich dan op richten?
Allereerst moet de beschrijving van het eigen beheersysteem grondig opnieuw worden beoordeeld en herschreven. De SAS70 eis in deze is beperkt (Er wordt alleen gesproken over 'one's controls' .). Ten tweede moet er een op schrift gestelde formele management verklaring komen ('statement of assertion'). Dit was nooit een eis bij SAS70, maar is dat wel voor ISAE3402 (en nu ook SSAE16).
|