Seadot cybersecurity
EN

Vad är skillnaden mellan ISAE 3402 och ISAE 3000?

Vad är skillnaden mellan ISAE 3402 och ISAE 3000?

ISAE 3402 och ISAE 3000 är olika typer av granskningar. Vilka är skillnaderna, likheterna och vilken standard ska användas för att visa kontroll och trygghet?

 

Varför pratar man om ISAE 3402 och ISAE 3000?

Allt fler företag behöver bevisa att de har kontroll över sina processer, system och risker.
För att skapa förtroende används internationella granskningsstandarder som ISAE 3402 och ISAE 3000.

 

Vad är ISAE 3402?

ISAE 3402 (International Standard on Assurance Engagements 3402) är en internationell revisionsstandard framtagen av IFAC (International Federation of Accountants). Den används när ett företag tillhandahåller tjänster som påverkar kunders finansiella rapportering.

Exempel:

  • Outsourcing av lönehantering, redovisning eller bokföring
  • IT-tjänster som påverkar eller erbjuder ekonomiska system
  • Leverantörer till banker, finansbolag och försäkringsaktörer

Syftet med ISAE 3402 är att säkerställa att interna kontroller inom processer och IT fungerar så att kundernas finansiella rapportering är korrekt.

 

Vad är ISAE 3000?

ISAE 3000 är ett mer övergripande ramverk som används för granskningar av icke-finansiell information.
Det kan handla om områden som:

  • Informationssäkerhet
  • GDPR och dataskydd
  • Hållbarhet och ESG-rapportering
  • Regelefterlevnad

ISAE 3000 är alltså inte begränsad till den finansiella rapporteringen, utan kan användas för att intyga att organisationen har tillförlitliga kontroller inom olika affärsområden.

Det finns två typer av de båda rapporterna:

 

  • Type I: Beskriver kontroller vid en specifik tidpunkt.
  • Type II: Testar kontrollerna under en viss period, ofta 6–12 månader.

När används de olika standarderna?

 ISAE 3402:

  • Dina tjänster påverkar kunders finansiella rapportering.
  • Du arbetar med outsourcing inom ekonomi, lön eller transaktionshantering.
  • Dina kunder behöver visa sina revisorer att du har effektiva kontroller.

Exempel: Payroll-tjänst, pension, försäkringar eller bankoutsourcingspartner.

 

ISAE 3000:

  • Du vill visa kontroll och efterlevnad inom områden som IT, GDPR eller hållbarhet.
  • Du behöver en bredare assurance-rapport som inte är begränsad till ekonomi.
  • Du vill bygga förtroende hos kunder eller myndigheter kring säkerhet och styrning.

Exempel: IT-leverantör, SaaS-bolag, data center, ESG-rapportör.

 

Fördelar med att ha en ISAE-rapport

  • Bevisar att ni har strukturerad kontrollmiljö.
  • Underlättar kundrelationer och upphandlingar.
  • Minskar risker och ökar trovärdigheten.
  • Skapar intern ordning och dokumentation.
  • Visar förtroende mot externa parter och revisorer.
  • Underlättar internt arbete inför nya kunder (säkerhetsbilaga).

 

Vanliga frågor om ISAE 3402 och ISAE 3000

Är ISAE en certifiering?

Nej, det är en granskningsrapport, inte ett certifikat. En oberoende revisor verifierar och intygar att företaget har fungerande kontroller.

Kan man ha både ISAE 3000 och ISAE 3402?

Ja större organisationer med både finansiella och icke-finansiella processer har ofta båda. Till exempel kan en bank ha ISAE 3402 för ekonomi och ISAE 3000 för IT-säkerhet.

Är ISAE 3000 mer flexibel än ISAE 3402?

Ja, en ISAE 3000 kan anpassas till olika områden, medan ISAE 3402 alltid fokuserar på ekonomirelaterade processer och it miljön relaterad till dessa processer.

Vem utfärdar en ISAE-rapport?

Det är alltid en auktoriserad revisor (oftast från en revisionsbyrå) som utfärdar rapporten.

Hur ofta bör man göra en ISAE-granskning?

Det beror lite på om man utför en typ 1 eller typ 2 granskning. En ISAE typ 2-granskning täcker in den specifikt valda perioden som granskats. För att fortsätta visa att man har effektiva kontroller behöver detta upprepas. En ISAE-granskning täcker oftast in en period på 6–12 månader, efter detta behöver en ny rapport utfärdas som träder i kraft när den tidigare slutade. Detta gör att om den senaste rapporten täcker perioden januari till december, bör nästa granskning täcka januari till december året därpå.

 

Sammanfattning

ISAE 3402 och ISAE 3000 har samma grundidé, att skapa tillit genom oberoende granskning.
Men de riktar sig till olika områden:

ISAE 3402 → finansiell rapportering

ISAE 3000 → icke-finansiell information och styrning

För många organisationer är den bästa lösningen att kombinera båda, särskilt om man hanterar både ekonomiska data och IT-relaterade risker. Oavsett vilken standard du väljer visar du att ditt företag tar kontroll, transparens och förtroende på allvar.

Seadot cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Vasagatan 16, 111 20 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.