ISAE 3402 audit

ISAE 3402 audit

28 januari 2022

Met een ISAE 3402 audit geven onze auditors antwoord op de vraag hoe ‘in control’ een serviceorganisatie is. Bedrijven besteden namelijk steeds meer non-core processen uit aan externe partijen. De vraag naar verantwoording over de procesbeheersing binnen serviceorganisaties neemt toe. Een ISAE 3402 verklaring geeft hier inzicht in en zekerheid over.

Wat is een ISAE 3402 rapportage?

Middels een ISAE 3402 audit kijken auditors naar procesbeheersing in een serviceorganisatie, bijvoorbeeld bij IT-dienstverleners, vermogensbeheerders, incassobureaus of andere dienstverleners waarvan de processen de financiële verantwoording van de gebruiker raken. De vraag ‘hoe beheerst de serviceorganisatie haar processen?’ staat centraal. Denk hierbij aan onderwerpen als risicomanagement, informatiebeveiliging en operational excellence. ISAE 3402 gaat meerdere slagen dieper dan bijvoorbeeld een ISO 27001.

 

Waar staat ISAE 3402 voor?

ISAE staat voor International Standard for Assurance Engagements en betreft een geaccepteerd format. De toevoeging 3402 geeft aan dat het een standaard is over de interne beheersing bij een serviceorganisatie, waarbij de processen van de serviceorganisatie impact hebben op de financiële verantwoording van de gebruiker.

 

Welke typen ISAE 3402 rapportages zijn er?

Er zijn twee verschillende typen ISAE 3402 opdrachten. Voor een ISAE 3402 type 1 rapport onderzoekt de auditor de processen inclusief beheersingsmaatregelen in opzet en bestaan. Het is een momentopname. De auditor kijkt op een bepaald moment of het proces, zoals opgeschreven, ook in de praktijk werkelijk zo plaatsvindt en beoordeelt of de getroffen maatregelen toereikend zijn om de bestaande risico’s te beheersen. Bij een ISAE 3402 type 2 rapport onderzoekt de auditor ook de werking van de omschreven maatregelen, ofwel de auditor gaat na of de beschreven beheersingsmaatregelen ook over een periode, meestal zes maanden tot een jaar, hebben gewerkt.

 

Waarom een ISAE 3402 audit?

Klanten van serviceorganisaties, ook wel gebruikersorganisaties genoemd, willen weten of ‘alles’ goed geregeld is. Een ondernemer besteedt processen uit en wil op deze externe partij kunnen vertrouwen. Voor serviceorganisaties is het dus een stuk compliance naar derden. Daarnaast geeft het rust en zekerheid voor ondernemers dat alles goed geregeld is.

 

Ook accountants van gebruikersorganisaties eisen in toenemende mate ISAE 3402 rapporten. Processen die zijn uitgevoerd door een serviceorganisatie hebben vaak invloed op de financiële processen en dus een effect op de jaarrekening van de gebruikersorganisatie.

 

Wat is het resultaat van een ISAE 3402 audit?

Het resultaat van een ISAE 3402 audit is een ISAE 3402 rapport inclusief een verklaring. Dit kan type 1 of type 2 zijn (zie hierboven toelichting van het verschil). Hiermee kan een serviceorganisatie verantwoording afleggen in de keten aan gebruikersorganisaties.

 

Voor wie is een ISAE 3402 audit?

Een ISAE 3402 audit voeren we uit bij serviceorganisaties. Het gaat om (delen van) processen met impact op financiële verslaggeving. Vaak krijgen serviceorganisaties van hun klanten meerdere verzoeken voor audits of aanvullende informatie over de beheersing van de geleverde dienst. Om niet al deze vragen apart te beantwoorden kan een serviceorganisatie een ISAE3402 audit uitvoeren. Het ISAE3402 rapport van een onafhankelijk auditor kan dan gebruikt worden om de vragen van klanten te beantwoorden. Om die reden geven serviceorganisaties ons de opdracht een ISAE 3402 audit uit te voeren.

 

Wanneer SOC 2 en wanneer ISAE 3402?

Een ISAE 3402 rapportage is de Europese versie van SOC 1 (Service Organization Control). Dit is van toepassing op processen die verband houden met financiële verantwoording. Is de zekerheid die de serviceorganisatie wil geven meer gericht op bijvoorbeeld beveiliging, beschikbaarheid, integriteit van processen, vertrouwelijkheid of privacy? Dan past een SOC2 mogelijk beter. Een SOC 2 volgt internationaal geaccepteerde beheersingsdoelstellingen (TSP = trust service principles). We helpen u graag bij het selecteren van de juiste rapportagestandaard.

 

Neem contact op met onze experts

Lucas Vousten | 040 240 9516 | lvousten@joanknecht.nl

Ties Meesters | 040 240 9459 | tmeesters@joanknecht.nl

 

Ook assessments op het gebied van IT security en forensic IT behoren tot onze expertise. Lees hier meer over wat ons IT-Assurance team voor u kan betekenen.