ISAE 3402-standarden är en internationellt erkänd revisionsstandard som utfärdats av International Auditing and Assurance Standards Board (IAASB). Revisorns granskning av en serviceorganisation är allmänt accepterad eftersom den utgör en grundlig genomgång av en serviceorganisations mål och aktiviteter för intern kontroll. Granskningsramen och tillhörande kontrollåtgärder beskrivs i system- och organisationsrapporten (SOC). Omfattningen av en ISAE 3402/SOC-rapport består av kontroller över informationsteknik och operativa processer som påverkar en organisations ekonomi.

SOC 1 ELLER SOC 2

SOC-rapporter kan delas upp i SOC 1- och SOC 2-rapporter. En ISAE 3402/SOC 1 fokuserar på finansiella rapporter och alla processer som påverkar dem. En ISAE 3000-rapport (eller SOC 2-rapport) syftar till att tillgodose ett bredare spektrum av användarbehov, inklusive frågor om integritet, sekretess och systemtillgänglighet. SOC 2-rapporterna är modulära och baseras på Trust Services principer och kriterier.

Type I och Type II

En ISAE 3402 Type I-rapport innehåller ett yttrande från en extern revisor om de kontrollåtgärder som finns vid en viss tidpunkt. Den externa revisorn granskar om den interna kontrollen är ändamålsenligt utformad för att ge en rimlig grad av säkerhet att påståendena i de finansiella rapporterna infrias och om det finns en intern kontroll. I en ISAE 3402 Type II-rapport rapporterar den externa revisorn också hur dessa kontrollåtgärder har fungerat under en förutbestämd period. ISAE 3402-rapporter täcker vanligtvis kontrollernas utformning och funktion under en 12-månadersperiod med kontinuerlig täckning från år till år. En rapport får omfatta en period om minst sex månader.

Anpassning av externa krav till intern riskkompetens

I outsourcing-situationer kan många frågor uppstå: Utförs tjänsterna på ett kontrollerat sätt? Hur hanteras säkerhetsfrågorna? Vem har tillgång till vår information? Finns det tillräckliga åtgärder för att förebygga bedrägerier? ISAE 3402 ger en lösning på dessa problem.

ISAE 3402 hjälper organisationer att mäta och utvärdera risker och att anpassa det resulterande kontrollramverket till strategiska mål och dessa risker. En engångsinvestering i ramverket lönar sig genom att marknadens förtroende och organisationens kompetens stärks.