Skip to the content

ISAE 3402

ISAE 3402 verklaring

Wat is ISAE 3402?

Een ISAE 3402-verklaring is een onafhankelijk oordeel door een gecertificeerde IT-auditor (RE) over de kwaliteit van (financiële) processen, die zijn uitbesteed aan een derde partij. Organisaties besteden steeds meer non-core processen uit aan serviceorganisaties (outsourcing), waardoor kwaliteit en beheersing van deze uitbestede processen afhankelijk wordt van die serviceorganisaties.

Door hogere eisen in wet- en regelgeving en het moeten kunnen aantonen van interne beheersing, neemt de vraag naar meer zekerheden over de kwaliteit en de beheersing van uitbestede diensten toe. Financiële instellingen, beursgenoteerde organisaties en professionele bedrijven vragen daarom vaak van de serviceorganisatie een ISAE 3402-verklaring. 

ISAE 3402 is de internationaal erkende assurance standaard voor outsourcing. Met een ISAE 3402-rapport kunt u als serviceorganisatie aantonen dat de processen die aan u uitbesteed zijn, betrouwbaar worden uitgevoerd en dat de informatie voldoende beveiligd is.

ISAE 3402

Onze ISAE 3402 audit ondersteuning

2-Control bestaat uit een enthousiast team van geregistreerde IT-auditors (RE) die u op korte termijn kunnen helpen met een ISAE 3402-verklaring. We hebben jarenlange ervaring met het succesvol implementeren en beoordelen van ISAE 3402-trajecten bij serviceorganisaties.

Aangezien een ISAE 3402-rapportage vaak ook een relatie heeft met de processen van de jaarrekening is het van grote meerwaarde dat onze RE's kennis hebben van zowel financiële processen en IT-processen. 

Voordelen ISAE 3402 voor uw serviceorganisatie

  • U voldoet aan internationale eisen die herkenbaar zijn voor nationale én internationale opdrachtgevers. 
  • In veel aanbestedingen wordt een ISAE 3402-verklaring als vereiste gesteld. Bijvoorbeeld door accountants van gebruikersorganisaties. De uitbestede processen hebben namelijk vaak invloed op financiële en operationele processen die effect hebben op de jaarrekening van de gebruikersorganisatie.
  • De kwaliteit van uitbestede processen is gewaarborgd aan uw klanten.
  • U krijgt van een externe partij bevestigt dat uw organisatie goed wordt beheerst. 
  • De accountant van een gebruikersorganisatie kan steunen op deze rapportage voor de audit van een jaarrekening.
  • Het is niet langer noodzakelijk dat opdrachtgevers auditors bij u langs stuurt.
  • Uw organisatie is in-control en draagt dit uit naar (potentiële) klanten.

De ISAE 3402 aanpak van 2-Control

  1. Nulmeting:
    a. Afstemming van scope;
    b. Afstemming van normen.

  2. Beoordeling van beschrijving en opzet van beheersmaatregelen
    a. Controleren van getrouw beeld van de beschrijving van het systeem;
    b. Vaststellen van opzet van beheersmaatregelen door o.a. interviews, bestuderen documentatie en maatregelen, waarneming, testen en steekproeven;
    c. Vergelijken werkelijkheid met normen;
    d. Kwaliteitsbeoordeling en rapporteren over beschrijving en opzet.

  3. Beoordeling van effectieve werking van beheersmaatregelen
    a. Periodiek vaststellen van werking van beheersmaatregelen door o.a. interviews, waarneming, testen en steekproeven;
    b. Vergelijken werkelijkheid met normen;
    c. Kwaliteitsbeoordeling en rapporteren.

Verschillen ISAE 3402 en SOC 2

  • Een ISAE 3402-rapport is feitelijk hetzelfde als een SOC 2-rapport. Beide zijn een rapport, gecontroleerd volgens de ISAE 3000-standaarden.
  • Het grote verschil is dat een SOC 2-rapport zich vaak toespitst op de uitbestede IT-processen van IT-serviceorganisaties, terwijl een ISAE 3402-rapport gericht is op alle uitbestede processen van serviceorganisaties. Dus niet alleen IT-processen, maar ook bijvoorbeeld financiële dienstverlening, zoals de uitvoering van een pensioenregeling.
  • Bij ISAE 3402 zijn de beheersdoelstellingen vormvrij en worden gedefinieerd door de serviceorganisaties op basis van de klantvereisten. SOC 2 kent voor de IT-processen vast gedefinieerde beheersdoelstellingen m.b.t. beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy. 

Uiteindelijk is vaak de vraag van de opdrachtgever (gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel? Een assurance-rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.

Voor meer informatie over het verkrijgen van een ISAE 3402-verklaring kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens invullen in onderstaand contactformulier. Wij nemen dan zo spoedig mogelijk contact met u op.

Zekerheid over de inzet en kwaliteit van uw IT?

Wilt u een ISAE 3402 verklaring om bestaande en potentiële klanten inzicht te geven in de kwaliteit van uw IT-services. Neem dan vandaag nog contact met ons op!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.