ISAE 3402 staat voor International Standard on Assurance Engagements 3402 en is de internationale norm voor het afgeven van assurance-rapporten over de interne beheersing bij serviceorganisaties. Het is de standaard die aantoont dat jouw organisatie de processen die je voor klanten uitvoert, beheerst en beveiligd hebt.
Wanneer organisaties bedrijfsprocessen uitbesteden aan een dienstverlener, blijft de uitbestedende partij verantwoordelijk voor de beheersing van die processen. De accountant van de uitbestedende organisatie moet kunnen steunen op de controls bij de dienstverlener. Een ISAE 3402 rapport biedt precies die zekerheid.
Een ISAE 3402 verklaring is formeel een assurance-rapport afgegeven door een onafhankelijke auditor. Het rapport beschrijft het systeem van de serviceorganisatie, de ingerichte controls en het oordeel van de auditor over de opzet en het bestaan van die controls (Type I) of de opzet, het bestaan en de werking gedurende een periode (Type II).
Het rapport kent drie onderdelen. Sectie 1 bevat het oordeel van de auditor. Sectie 2 is de systeembeschrijving opgesteld door het management van de serviceorganisatie. Sectie 3 bevat de beschrijving van controls, de testwerkzaamheden van de auditor en de resultaten.
ISAE 3402 Type I is een momentopname: de auditor beoordeelt of controls op een specifieke datum adequaat zijn ingericht. ISAE 3402 Type II gaat verder en toetst of controls gedurende een periode van minimaal zes maanden effectief hebben gewerkt. Type II biedt aanzienlijk meer zekerheid en wordt door de meeste klanten en hun accountants gevraagd.
De standaard is met name relevant voor salarisverwerkers, hostingproviders, SaaS-bedrijven, financiële dienstverleners, pensioenbeheerders en andere organisaties die processen uitvoeren die relevant zijn voor de jaarrekening van hun klanten.
In Nederland wordt een ISAE 3402 rapport vaak aangevraagd door de accountant van jouw klant. Zij willen steunen op jouw controls in het kader van de jaarrekeningcontrole. Zonder ISAE 3402 rapport moet de accountant alternatieve werkzaamheden uitvoeren, wat kostbaar en tijdrovend is voor jouw klant.
Het verschil met SOC 2 zit vooral in de focus. ISAE 3402 richt zich op controls die relevant zijn voor de financiële verslaggeving. SOC 2 richt zich op operationele controls rondom de vijf Trust Services Criteria. Veel internationale organisaties kiezen voor beide.
Secure Audit levert ISAE 3402 Type I en Type II rapporten voor serviceorganisaties in Nederland en daarbuiten. Neem contact op voor een scopebepaling en offerte.
Over de auteur
Partner | IT-auditor