ISAE 3402

Assurance (zekerheid) over je dienstverlening aan klanten

ISAE 3402 (International Standard on Assurance Engagements 3402) is een internationale standaard voor assurance-rapportages over de interne beheersing van service-organisaties. Je krijgt geen certificaat, maar een assurance-verklaring: een rapport opgesteld door een onafhankelijke registeraccountant of EDP-auditor, met daarin zijn oordeel over de beheersing van je processen. Die verklaring gebruik je om klanten aan te tonen dat de processen waarmee je hun dienstverlening uitvoert, aantoonbaar beheerst zijn. 

Praktisch voorbeeld: een salarisverwerker verwerkt elke maand de loonstroken van honderden bedrijven. Die bedrijven kunnen niet zelf controleren of de salarisverwerker zijn processen op orde heeft, maar hun accountant wil dat wel weten voor de jaarrekeningcontrole. Een ISAE 3402 Type II-verklaring geeft die zekerheid, zonder dat elke klant apart een audit hoeft uit te voeren. 

ISAE 3402 is relevant voor elke organisatie waarbij klanten of hun accountants formele zekerheid willen over de interne beheersing van uitbestede processen. Typisch in de financiële dienstverlening, pensioenadministratie, salarisverwerking, IT-beheer en cloudhosting. 

Plan een kennismaking
Man in een grijs pak en witte overhemd zit aan een houten tafel met een open laptop voor hem, achtergrond is effen lichtgrijs.

Voor wie is ISAE 3402 relevant?

  • Service-organisaties die werkzaamheden uitvoeren die de jaarrekening van hun klanten raken (zoals pensioen- of salarisadministratie). 

  • IT-dienstverleners en cloudleveranciers met enterprise-klanten die assurance over IT-controls vragen. 

  • Financiële dienstverleners waarbij toezichthouders of klanten formele assurance verlangen. 

  • Organisaties wier klanten in hun eigen audit moeten aantonen dat de uitbestede processen beheerst zijn. 

Hoe kom je tot een assuranceverklaring? 

Er zijn twee soorten ISAE 3402 verklaringen:  

  • Een beschrijving van het beheersingssysteem op een bepaald moment, plus een oordeel van de accountant of de opzet van de beheersmaatregelen geschikt is. In Nederland is dat een registeraccountant (RA) of een EDP-auditor (RE).

  • Hetzelfde als Type I, maar dan met een oordeel over de effectieve werking van de beheersmaatregelen over een periode van meestal zes tot twaalf maanden. Dit is wat de meeste klanten uiteindelijk willen zien. 

    Het traject naar een Type II-verklaring vraagt om een gestructureerd intern beheersingssysteem: beheersmaatregelen identificeren en beschrijven, ze implementeren en in werking laten zijn over een observatieperiode, bewijs verzamelen, en uiteindelijk een onafhankelijke auditor laten toetsen. In Nederland is dat een registeraccountant (RA) of een EDP-auditor (RE). 

    ISAE 3402 staat niet op zichzelf; het sluit goed aan op een ISO 27001-managementsysteem. Veel organisaties die ISO 27001 al hebben, gebruiken dat als basis voor hun ISAE 3402-verklaring. 

Hoe helpt Rethink bij ISAE 3402?

We begeleiden service-organisaties bij de voorbereiding van een ISAE 3402-traject volgens ons vijf-fasenmodel: van strategie en assessment via inrichting en implementatie tot de assurance-verklaring en doorlopend beheer. Concreet betekent dat: het beheersingsraamwerk inrichten, bewijsverzameling opzetten, meedraaien tijdens de observatieperiode en de externe accountantscontrole begeleiden. De externe assurance-werkzaamheden voert een onafhankelijke registeraccountant of EDP-auditor uit; wij zorgen dat je daarvoor goed voorbereid bent. Reken op een doorlooptijd van 9 tot 12 maanden voor een Type I, langer voor Type II vanwege de observatieperiode. 

Voor het structureel beheer van de beheersmaatregelen na de eerste verklaring zetten we onze CISO of Security Officer in. 

Meer over Advies & Begeleiding
Meer over Advies & Begeleiding
Meer over CISO as a Service
Meer over CISO as a Service
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • Beide zijn assurance-standaarden, maar verschillen in focus en herkomst. ISAE 3402 is een internationale standaard met focus op de interne beheersing van financiële processen bij service-organisaties. SOC 2 komt uit de VS en focust specifiek op security, beschikbaarheid, vertrouwelijkheid, integriteit en privacy. Welke je nodig hebt, hangt af van wat je klanten vragen. 

  • Nee. ISAE 3402 levert een assurance-verklaring op, geen certificaat. De accountant stelt daarvoor een rapport op en geeft daarin zijn oordeel over de opzet en (bij Type II) de werking van je beheersmaatregelen. 

  • Een Type II-verklaring beschrijft de werking over een specifieke periode, vaak zes tot twaalf maanden. Daarna verwachten klanten een nieuwe verklaring over de volgende periode. ISAE 3402 is dus een doorlopende cyclus, niet een eenmalige certificering. 

  • Ja, en dat is een verstandige route. ISO 27001 biedt het managementsysteem en de structurele beheersing van informatiebeveiliging. ISAE 3402 voegt daar de externe assurance aan toe voor klanten die dat verlangen. Veel beheersmaatregelen kunnen voor beide worden hergebruikt. 

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om te beginnen?

In een eerste gesprek kijken we samen welk traject (Type I of Type II) bij je past en hoe we de aanpak slim inrichten. 

Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.
Man met bril, glimlach, is aan het bellen op een telefoon, zit op gele bank, binnen, moderne kantooromgeving. Neem contact op met Rethink.