Skip to main content
ISAE 3402 SOC1

ISAE 3402 voor zekerheid over outsourcing

De ISAE 3402-standaard is een internationaal erkende auditstandaard die is uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek van de auditor van een serviceorganisatie wordt algemeen aanvaard omdat het een diepgaande controle van de interne beheersingsdoelstellingen en -activiteiten van een serviceorganisatie vertegenwoordigt. Het controleraamwerk en de bijbehorende beheersmaatregelen zijn gedetailleerd opgenomen in het Systeem- en Organisatierapport (SOC). De reikwijdte van een ISAE 3402/SOC report bestaat uit controles over informatietechnologie en operationele processen die van invloed zijn op de financiën van een organisatie. 

 

SOC 1 OR SOC 2

SOC-rapporten zijn te onderscheiden in SOC 1- en SOC 2-rapporten. Een ISAE 3402/SOC 1 is gericht op de jaarrekening en alle processen die daarop van invloed zijn. Een ISAE 3000 (of SOC 2)-rapport is gericht op het voldoen aan een bredere reeks gebruikersbehoeften, waaronder zorgen over privacy, vertrouwelijkheid en beschikbaarheid van systemen. SOC 2-rapportages zijn modulair gebaseerd op de Trust Services Principles and Criteria.

 

Type I and Type II

Een ISAE 3402 Type I-rapportage bevat een oordeel van een externe accountant over de beheersingsmaatregelen die op een bepaald moment in werking zijn. De externe accountant onderzoekt of de interne beheersingsmaatregelen adequaat zijn opgezet om een redelijke mate van zekerheid te verschaffen dat de beweringen in de financiële overzichten worden verwezenlijkt en of de interne beheersingsmaatregelen aanwezig zijn. In een ISAE 3402 Type II rapportage rapporteert de externe accountant tevens over de werking van deze beheersingsmaatregelen gedurende een vooraf bepaalde periode. ISAE 3402-rapporten dekken meestal het ontwerp en de werking van controles voor een periode van 12 maanden met een continue dekking van jaar tot jaar. Een melding mag een periode van minimaal zes maanden beslaan.

 

Externe vereisten afstemmen op interne risico-excellentie

In outsourcingsituaties kunnen veel vragen rijzen: Worden diensten op een gecontroleerde manier uitgevoerd? Hoe wordt omgegaan met beveiliging? Wie heeft toegang tot onze informatie? Worden er voldoende fraudebestrijdingsmaatregelen genomen? ISAE 3402 biedt een oplossing voor deze problemen.

ISAE 3402 ondersteunt organisaties bij het meten en evalueren van risico's en het afstemmen van het resulterende beheersingsraamwerk op strategische doelstellingen en deze risico's. Een eenmalige investering in het raamwerk loont door het marktvertrouwen en de uitmuntendheid van de organisatie te verbeteren.