ISAE 3402 voor zekerheid over outsourcing

SOC 1 OF SOC 2

SOC-rapporten kunnen worden onderscheiden in SOC 1- en SOC 2-rapporten. Een ISAE 3402/SOC 1 richt zich op financiële overzichten en alle processen die daarop van invloed zijn. Een ISAE 3000 (of SOC 2) rapport is gericht op een breder scala aan gebruikersbehoeften, waaronder zorgen over privacy, vertrouwelijkheid en systeembeschikbaarheid. SOC 2-rapporten zijn modulair opgebouwd op basis van de Trust Services Principles en Criteria.

Type I en type II

Een ISAE 3402 Type I-rapport bevat een oordeel van een externe accountant over de controlemaatregelen die op een bepaald moment van kracht zijn. De externe accountant onderzoekt of de interne controlemaatregelen voldoende zijn opgezet om een redelijke mate van zekerheid te verschaffen dat de beweringen in de jaarrekening worden gerealiseerd en of er interne controlemaatregelen bestaan. In een ISAE 3402 Type II-rapport rapporteert de externe accountant ook over de werking van deze controlemaatregelen over een vooraf bepaalde periode. ISAE 3402-rapporten hebben doorgaans betrekking op het ontwerp en de werking van controles voor een periode van 12 maanden met een doorlopende dekking van jaar tot jaar. Een rapport kan betrekking hebben op een periode van minimaal zes maanden.

Externe vereisten afstemmen op interne risico-excellence

In uitbestedingssituaties kunnen veel vragen rijzen: Worden de diensten op een gecontroleerde manier uitgevoerd? Hoe wordt de beveiliging geregeld? Wie heeft toegang tot onze informatie? Zijn er adequate fraudepreventiemaatregelen genomen? ISAE 3402 biedt een oplossing voor deze problemen.

ISAE 3402 ondersteunt organisaties bij het meten en evalueren van risico’s en het afstemmen van het resulterende controleraamwerk op strategische doelstellingen en deze risico’s. Een eenmalige investering in het raamwerk betaalt zich terug door het vertrouwen in de markt en de uitmuntendheid van de organisatie te vergroten.