Wat is het en waarom zijn we zo ongelooflijk trots en blij zijn dat we het hebben
Als IT-dienstverlener die bedrijfskritische omgevingen van klanten beheert, wil je natuurlijk de hoogst mogelijke kwaliteit en veiligheid bieden. En daarvoor is het belangrijk om zaken op orde te hebben. Binnen ISO-normeringen wordt gekeken naar internationaal erkende normen voor kwaliteit en veiligheid. Hiervoor hebben we ISO 9001 en ISO27001. ISAE 3402 is een internationale standaard voor het beoordelen van de interne controlesystemen van dienstverleners. Kort gezegd, het is een manier om te checken of een bedrijf (de dienstverlener) zijn werk goed doet en de risico’s goed beheert. Bedrijven die diensten aanbieden, kunnen zichzelf laten auditen volgens hun opgestelde ISAE 3402 normen. Dit geeft hun klanten vertrouwen dat alles onder controle is, van beveiliging tot operationele processen. Lemontree heeft vorig jaar de ISAE3401 type I verklaring ontvangen. Nu hebben we ook de type II verklaring.
Wat is ISAE 3402?
ISAE 3402 staat voor “International Standard on Assurance Engagements” en is een internationaal erkende standaard die de effectiviteit van interne controlesystemen bij serviceorganisaties onder de loep neemt. Er zijn twee soorten rapporten onder deze standaard: Type 1 en Type 2.
Type 1: Dit rapport geeft een momentopname van de controlesystemen van een dienstverlener. De auditor kijkt of de systemen en processen die zijn opgezet daadwerkelijk bestaan en goed zijn ontworpen, op een bepaald moment in de tijd. Denk aan het vastleggen van een foto: het laat zien wat er op dat moment aanwezig is, maar niet of het werkt over een langere periode.
Type II: Dit is de grote broer van Type 1. Het gaat verder door niet alleen te kijken naar de opzet van de systemen, maar ook of ze daadwerkelijk effectief hebben gewerkt over een bepaalde periode (meestal zes maanden tot een jaar). Het is als een video-opname: je krijgt niet alleen de foto, maar ziet ook hoe het systeem zich gedraagt over de tijd. Dit biedt klanten meer zekerheid dat de processen echt robuust zijn.
Waarom is dit belangrijk voor klanten?
Stel je voor dat je een klant bent die zijn cruciale bedrijfsprocessen uitbesteedt. Het laatste wat je wilt, is dat je partner de boel niet goed geregeld heeft en dat jij uiteindelijk met de gebakken peren zit. Een ISAE 3402-verklaring geeft je het geruststellende idee dat je dienstverlener zijn zaakjes op orde heeft. Het helpt je om te vertrouwen op hun processen zonder dat je constant over je schouder hoeft te kijken. En laten we eerlijk zijn: wie heeft er tegenwoordig nog tijd om al die details zelf na te lopen?
Waarom we heel graag ISAE 3402 willen hebben?
- Onze zaken in orde: je kunt wel denken dat je intern alles goed op orde hebt, maar je weet het pas zeker als het door een kritische auditor uitgebreid en langdurig wordt bekeken. Door de verklaring weten we zeker dat zaken in orde zijn.
- Vertrouwen bij klanten: Klanten willen weten dat hun IT bij ons in veilige handen is. De ISAE 3402-verklaring is voor hen het bewijs dat wij interne controles serieus nemen en dat hun gegevens veilig zijn.
- Voordeel in commerciële trajecten: Door de ISAE 3402 verklaring kunnen we al direct aantonen dat we zaken onder controle hebben. Hiervoor is geen (accountants)verklaring meer nodig. Dit scheelt tijd en geeft ons een concurrentievoordeel.
- Efficiëntie en Verbetering: Het proces van het verkrijgen van een ISAE 3402-rapport heeft ons geholpen om onze interne processen en controles te beoordelen en te verbeteren.
Compliance: Voor sommige sectoren en klanten is een ISAE 3402-certificering zelfs een vereiste. Zonder dit rapport kun je bepaalde klanten of markten gewoon niet bedienen.
Blijvend onder de loep
Lemontree is ontzettend blij en trots dat we nu beschikken over de ISAE 3402 type II verklaring. Daarmee kunnen we niet achteroverleunen, want we worden nog steeds zowel intern als bij klanten doorlopend geaudit.
Scope op security en kwaliteit van managed services
In de opzet en aanpak van ISAE3402 hebben we ons met name gefocust op security en op de kwaliteit van IT-beheer bij klanten. Met de komst van NIS2, het stijgende aantal cyberaanvallen en een steeds groter wordend aantal bedrijven die IT uitbesteed, willen we met de ISAE 3402 verklaring anticiperen op deze trends. Door onszelf kritisch te (laten) challengen op deze onderwerpen willen we onze rol als ‘eerste keuze IT-dienstverlener voor bedrijven van enkele honderden tot enkele duizenden werkplekken’ bevestigen.
Conclusie: ISAE 3402 is een win-win voor dienstleverancier en klant
Voor dienstverleners is ISAE3402 om interne processen zichtbaar op orde te brengen en een manier om vertrouwen te wekken bij klanten en aan te tonen dat zaken serieus worden genomen. Voor klanten biedt het een geruststelling dat ze kunnen vertrouwen op de kwaliteit en veiligheid van de diensten die ze afnemen. En of het nu een Type 1- of Type 2-rapport is, beide geven inzicht in hoe goed je dienstverlener bezig is.
Kortom, ISAE 3402 is niet alleen een technisch document, maar belangrijke verklaring om de gemoedsrust te waarborgen in een wereld waarin we steeds meer afhankelijk worden van externe dienstverleners.
