ISAE 3402 is de opvolger van de SAS 70 standaard en heeft zich vanaf 2004 ontwikkeld tot de standaard voor zekerheid bij outsourcing. Vanuit de Pensioensector tot cloud services en datacenter services is de standaard ontwikkeld tot een waarborg voor vertrouwen in diensten die geoutsourcet zijn. ISAE 3402 wordt gebruikt door banken, grote multinationals en minder grote organisaties om te vertrouwen op leveranciers.

Pensioenfondsen

Op 22 januari 2004 is de beleidsregel uitbesteding geïntroduceerd door de Nederlandse Bank voor pensioenfondsen. Deze beleidsregel was integraal onderdeel van de Pensioenwet en verplichtte pensioenfondsen om aan te tonen dat zij processen die zij uitbesteden voldoende beheersen. Binnen de toenmalige wet- en regelgeving in Nederland was geen normenkader beschikbaar dat voldeed. Daarom is door veel pensioenfondsen destijds de keuze gemaakt om hiervoor de SAS 70 standaard en het COSO 2013 framework te gebruiken. De SAS 70 standaard was uitgevaardigd door The American Institute for Certified Professional Accountants (AICPA) en standaard uit de VS.

Nederlandse 'ontwikkelingen'

Door deze ontwikkeling in de pensioensector is In Nederland vanaf 2004 een eigen 'practice' ontstaat waarbij de SAS 70-standaard door verschillende partijen op verschillende manieren is geïnterpreteerd. Een nederlands (en ook internationaal) ISAE 3402 rapport is zowel qua vorm als inhoud vaak anders dan een Amerikaans SOC 1 rapportage. Ook de PCAOB 5 standaard is door accountantskantoren vaak gebruikt als maatstaf voor de grootte van steekproeven. Deze standaard was gericht op SOx 404 en had feitelijk geen impact op SAS 70. Door ingezette toename van uitbesteding vanaf 2004 en de populariteit SAS70-standaard bij pensioenfondsen ontwikkelde SAS 70 zich als de standaard voor outsourcing.

Internationale Standaard

Vanuit diverse nationale- en internationale organisatie bestond de vraag naar een (inter)nationale standaard voor uitbesteding in plaats van een Amerikaanse standaard. Daarom is vanuit de International Federation of Accountants (IFAC) een internationale standaard ontwikkeld; de ISAE 3402-standaard. Deze standaard is feitelijk een verdere ontwikkeling van de SAS 70 standaard. De ISAE 3402-standaard is vanaf 15 juni 2011 van toepassing. De ISAE 3402-standaard is integraal opgenomen in de regelgeving van de Nederlandse Beroepsorganisatie voor Accountants (NBA) als standaard 3042. Deze standaard 3402 is een letterlijke vertaling van ISAE 3402 en in de praktijk wordt meestal verwezen naar een ISAE 3402 volgens standaard 3402.

Verschillende sectoren

De ISAE 3402 standaard vindt zijn oorsprong in de pensioensector. Doordat de pensioensector in Nederland vrij omvangrijk is, is ISAE 3402 in de afgelopen decennia in meerdere sectoren populair geworden. Deze populariteit wordt voornamelijk veroorzaakt doordat het vertrouwen in andere standaarden zoals ISO minder werd. En ISAE 3402 kon gebruikt worden door accountants. Vermogensbeheerders besteden processen uit aan vastgoedbeheerders, custodians en betalingsorganisaties. Deze organisaties besteden weer processen uit aan creditmanagement organisaties of leverancies van software vanuit de cloud (SaaS). Vooral in de laatste sector; de ICT sector heeft de populariteit van ISAE 3402 een belangrijke vlucht genomen.

ISAE 3402 in de IT sector

Toetsingskader

Feitelijk kent ISAE 3402 geen specifieke gedefinieerde vereisen voor maatregelen, zoals bijvoorbeeld ISO 27001 deze wel kent. De ISAE 3402 standaard geeft het kader; betrouwbaarheid van de jaarrekening en IT systemen. Dit is dus het toetsingskader is en gedetailleerde eisen worden hiervan afgeleid. De service auditor beoordeelt dus vanuit zijn specifieke expertise of het ingerichte control framework toereikend is; of de maatregelen zo zijn ingericht dat de betrouwbaarheid van de jaarrekening en systemen gewaarborgd is.

CoBiT en GITC's

Het is gebruikelijk om voor de beschrijving van de maatregelen ten aanzien van ICT het CoBit raamwerk te gebruiken. Deze maatregelen worden beschreven als general IT controls en application controls. De general IT controls zijn algemene informatie beveiligingsmaatregelen, zoals back up/ recovery, change management, logical access en uitwijk.

Application Controls

Steeds meer organisaties die uitbesteden vereisen door de wijdverbreide toepassing van ISAE 3402 en het solide interne beheersingsframework dat resulteert dat organisaties ISAE 3402 gecertificeerd zijn. Neem contact op met Risklane voor meer informatie.