ISAE 3402-verklaring

U wilt niet alleen uw jaarrekening laten controleren, maar ook een extra borging van uw (financiële) dienstverlening. U wilt immers aan uw klanten kunnen bewijzen dat u aantoonbaar in control bent over de dienstverlening die u aanbiedt. Onze specialisten kunnen deze waarborg onder andere geven door middel van een ISAE 3402-verklaring.

Portretfoto van Marc Santegoeds
Marc Santegoeds Manager Audit en Assurance

Wat is een ISAE 3402-verklaring?

U besteedt een deel van uw activiteiten uit aan serviceorganisaties, zoals het beheer van uw IT-diensten, afhandeling van vragen of gegevensverwerkende geautomatiseerde processen. Dit gebeurt omdat de capaciteit of kwaliteit niet of onvoldoende aanwezig is binnen uw organisatie of om de continuïteit van bepaalde activiteiten beter te waarborgen. Om verstoringen te voorkomen is het belangrijk dat uw serviceorganisatie continu goed functioneert. U blijft in deze gevallen zelf verantwoordelijk voor de beheersing van de processen, ook al zijn de afspraken vastgelegd in een Service Level Agreement (SLA). 

Een ISAE 3402-verklaring toont aan dat uw organisatie in control is. ISAE staat voor International Standard for Assurance Engagements. Een ISAE 3402 rapportage wordt ook wel een Service Organization Control (SOC) 1 rapport genoemd.

Audit ISAE 3402-traject

De scope van een ISAE 3402-traject beperkt zich niet tot de beheersmaatregelen voor de financiële processen. Ook zaken als betrouwbaarheid van het primaire proces, informatiebeveiliging en continuïteit kunnen worden opgenomen in een ISAE 3402-rapportage. De nadruk ligt met name op de beheersmaatregelen die de uitbestedende organisatie verwacht aan te treffen.

Een ISAE 3402-traject kan in theorie voor iedere organisatie die uitbestede diensten overneemt van toepassing zijn. Organisaties waar een ISAE 3402-traject in ieder geval waardeverhogend kan werken zijn onder andere makelaars en taxateurs, vastgoedbeheer, uitvoeringsinstanties voor hypotheken en pensioenen. Of de medische wereld, payroll organisaties, callcenters, software leveranciers van webbased applicaties, cloud leveranciers, datacenters, hosting leveranciers, internet providers en managed service organisaties.

Waardeverhogend voor uw organisatie

Het goed neerzetten van de ISAE 3402-norm betekent een kwaliteitsslag voor uw processen en interne beheersingsmaatregelen. Uw organisatie groeit gaandeweg naar een hoger volwassenheidsniveau, waardoor u niet alleen aantoonbaar in control bent, maar ook processen slimmer en effectiever in kan gaan richten. Dit leidt tot kostenbesparing en maximalisatie van uw rendement bij uw eigen organisatie, maar daarnaast resulteert een ISAE 3402-traject in tevreden klanten die kunnen vertrouwen op een aantoonbaar veilige, efficiënte en effectieve werking van beheersmaatregelen. Wij spreken uit ervaring dat een ISAE 3402-traject waardeverhogend werkt voor organisaties.

Twee soorten ISAE 3402 rapportages

De ISAE 3402-standaard kent twee soorten rapportages:

  • Type I : voor de opzet en het bestaan van beheersingsmaatregelen 
  • Type II: naast opzet en bestaan ook de werking van beheersmaatregelen voor een bepaalde periode

Een type I rapport is een momentopname. In dit rapport wordt beschreven hoe een proces en de beheersingsmaatregelen zijn ingeregeld op het moment van onderzoek. Wij toetsen de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stellen de implementatie ervan vast. 

Een type II rapport betreft een periode, meestal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. Wij toetsen de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stellen vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming is met de beschrijving. Daarnaast controleren wij de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode. Een type II rapport volgt vaak op een type I rapport.

Onze werkwijze

ABAB heeft gekwalificeerde registeraccountants en register EDP-auditors die professioneel, duidelijke en betaalbare ISAE 3402-trajecten kunnen uitvoeren. Wij denken gedurende het traject intensief en proactief met u mee over de set van beheersingsmaatregelen en -doelstellingen. Hierbij schuwen wij niet om u op basis van onze ervaring een spiegel voor te houden. 

Allereerst inventariseren wij samen met u waar uw behoefte ligt. In sommige gevallen kan een ISAE 3000-verklaring meer passend zijn. Vervolgens stellen wij aan de hand van uw activiteiten vast hoe de processen en interne beheersingsmaatregelen zijn ingeregeld en toetsen wij of de maatregelen aanwezig zijn. Voordat wij de rapportage opstellen en voorzien van een accountantsverklaring, hebben wij al diverse gesprekken met u gevoerd en met u afgestemd  waar verbeteringen mogelijk zijn. Wij blijven ook na het afgeven van de ISAE 3402-verklaring graag betrokken bij de ontwikkelingen in uw organisatie en denken graag mee over het verder finetunen van de beheersingsmaatregelen en -doelstellingen en zullen de blijvende werking ervan tijdens periodieke (bijvoorbeeld halfjaarlijkse of jaarlijkse) audits toetsen. 

Meer informatie over ISAE 3402?

Voor meer informatie over ISAE 3402 of over de dienstverlening van ABAB IT-audit en -advies kunt u contact opnemen met Marc Santegoeds, manager Audit en Assurance, via telefoonnummer 06-42339195 of stuur Marc een mail.

Wilt u meer weten over ISAE 3402? Onze specialist helpt u graag verder!

E-mail Marc
Aanmelden e-mailnieuwsbrief

Aanmelden nieuwsbrief

Blijf op de hoogte van het laatste nieuws en ontwikkelingen via onze maandelijkse e-mailnieuwsbrief
Meld u direct aan