Organisaties die processen uitbesteden aan externe dienstverleners willen zekerheid. Ze willen weten of hun data veilig is, of financiele processen betrouwbaar verlopen en of er voldoende maatregelen tegen fraude zijn getroffen. Die zekerheid kan niet op basis van beloftes. Er is een onafhankelijk oordeel nodig van een gekwalificeerde auditor. Precies daarvoor bestaat de ISAE 3402 standaard.

ISAE 3402 is een internationale assurance standaard die specifiek is ontwikkeld voor serviceorganisaties. Denk aan partijen die administratie, salarisverwerking, vermogensbeheer, IT hosting of pensioenbeheer verzorgen voor andere organisaties. De standaard beoordeelt of de interne beheersingsmaatregelen van die dienstverlener goed zijn opgezet en effectief functioneren. Het resultaat is een rapport dat opdrachtgevers en hun accountants kunnen gebruiken als onderbouwing bij de jaarrekening.

Er zijn twee varianten. Een Type I rapport beoordeelt of beheersingsmaatregelen op een specifiek moment goed zijn ingericht. Een Type II rapport gaat verder en toetst of die maatregelen ook daadwerkelijk effectief hebben gewerkt over een periode van minimaal zes maanden. Voor opdrachtgevers is dat tweede type het meest waardevol, omdat het niet alleen de opzet maar ook de werking bewijst. Een ISAE3402 audit van 2-control richt zich op beide varianten en wordt uitgevoerd door geregistreerde IT auditors met kennis van zowel financiele als technische processen.

Het verschil tussen ISAE 3402 en SOC 2

Beide standaarden bieden assurance, maar ze richten zich op verschillende domeinen. ISAE 3402 is primair bedoeld voor processen die invloed hebben op de financiele verslaggeving van de opdrachtgever. SOC 2 richt zich breder op informatiebeveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy. Bij SOC 2 worden de zogenaamde Trust Service Criteria als beoordelingskader gebruikt, terwijl ISAE 3402 vormvrije criteria hanteert. Welk rapport een organisatie nodig heeft, hangt af van wat de opdrachtgever vraagt en waarvoor het rapport wordt ingezet.

Wat een serviceorganisatie moet voorbereiden

Een ISAE 3402 traject begint niet bij de auditor, maar bij de organisatie zelf. Er moet een beschrijving liggen van het interne beheersingssysteem, inclusief de relevante processen, risico's en beheersingsmaatregelen. In de praktijk betekent dit dat de organisatie haar AO/IC documentatie op orde moet hebben. Daarnaast moet duidelijk zijn welke subserviceorganisaties betrokken zijn en of hun beheersing wordt meegenomen in het rapport via de inclusive methode of wordt uitgesloten via de carve out methode. Die keuze heeft directe gevolgen voor de bruikbaarheid van het rapport voor de opdrachtgever.

Waarom opdrachtgevers steeds vaker om dit rapport vragen

De vraag naar ISAE 3402 rapporten groeit, vooral vanuit financiele instellingen, beursgenoteerde bedrijven en overheidsorganisaties. Dat heeft te maken met strengere regelgeving en toenemende aandacht voor de keten van uitbesteding. Accountants van opdrachtgevers hebben dit rapport nodig om hun eigen controle op de jaarrekening te kunnen onderbouwen. Zonder een dergelijk rapport moet de accountant zelf aanvullende werkzaamheden uitvoeren bij de serviceorganisatie, wat kostbaar en tijdrovend is.

Voor serviceorganisaties die structureel diensten verlenen aan meerdere opdrachtgevers is een ISAE 3402 rapport daarom geen luxe. Het voorkomt dat iedere opdrachtgever afzonderlijk om inzage vraagt in processen en beheersing. Een enkel rapport dient als bewijs richting alle betrokken partijen en hun accountants. Dat bespaart tijd aan beide kanten en maakt de samenwerking efficienter.