ISAE 3402 voor zekerheid over outsourcing
De ISAE 3402 standaard is een internationaal erkende controlestandaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek door de auditor van een serviceorganisatie wordt algemeen geaccepteerd, omdat het een grondige beoordeling is van de interne controledoelstellingen en -activiteiten van een serviceorganisatie. Het auditraamwerk en de bijbehorende controlemaatregelen worden gedetailleerd beschreven in het System and Organization Report (SOC). De reikwijdte van een ISAE 3402/SOC-rapport Bestaat uit controles op informatietechnologie en operationele processen die de financiën van een organisatie beïnvloeden.
SOC 1 OF SOC 2
SOC-rapporten kunnen worden onderscheiden in SOC 1- en SOC 2-rapporten. Een ISAE 3402/SOC 1 richt zich op financiële overzichten en alle processen die daarop van invloed zijn. Een ISAE 3000 (of SOC 2) rapport is gericht op een breder scala aan gebruikersbehoeften, waaronder zorgen over privacy, vertrouwelijkheid en systeembeschikbaarheid. SOC 2-rapporten zijn modulair opgebouwd op basis van de Trust Services Principles en Criteria.
Type I en type II
Een ISAE 3402 Type I-rapport bevat een oordeel van een externe accountant over de controlemaatregelen die op een bepaald moment van kracht zijn. De externe accountant onderzoekt of de interne controlemaatregelen voldoende zijn opgezet om een redelijke mate van zekerheid te verschaffen dat de beweringen in de jaarrekening worden gerealiseerd en of er interne controlemaatregelen bestaan. In een ISAE 3402 Type II-rapport rapporteert de externe accountant ook over de werking van deze controlemaatregelen over een vooraf bepaalde periode. ISAE 3402-rapporten hebben doorgaans betrekking op het ontwerp en de werking van controles voor een periode van 12 maanden met een doorlopende dekking van jaar tot jaar. Een rapport kan betrekking hebben op een periode van minimaal zes maanden.
Externe vereisten afstemmen op interne risico-excellence
In uitbestedingssituaties kunnen veel vragen rijzen: Worden de diensten op een gecontroleerde manier uitgevoerd? Hoe wordt de beveiliging geregeld? Wie heeft toegang tot onze informatie? Zijn er adequate fraudepreventiemaatregelen genomen? ISAE 3402 biedt een oplossing voor deze problemen.
ISAE 3402 ondersteunt organisaties bij het meten en evalueren van risico’s en het afstemmen van het resulterende controleraamwerk op strategische doelstellingen en deze risico’s. Een eenmalige investering in het raamwerk betaalt zich terug door het vertrouwen in de markt en de uitmuntendheid van de organisatie te vergroten.