ISAE 3402 / SOC 1 Audit
ISAE 3402 is een waarborg dat processen die uitbesteed zijn, aantoonbaar ‘in control’ zijn. In control’ betekent dat processen goed worden uitgevoerd, informatiebeveiliging toereikend is ingericht en dat er voldoende maatregelen om fraude te voorkomen zijn ingericht.
Een rapport op basis van Standaard 3402 is algemeen herkend en erkend als middel om inzicht te krijgen in de beheersingsmaatregelen ten aanzien van administratieve processen die zijn uitbesteed aan derden.
Er zijn twee soorten ISAE 3402 rapportages te weten:
ISAE 3402 type I
Een type I rapportage geeft een beeld van de serviceorganisatie op één specifiek moment, bijvoorbeeld op 31 december, per jaareinde. De auditor toetst dan het interne beheersingssysteem en beheersmaatregelen op bestaan en beoordeelt of het rapport voldoet aan het gestelde doel (toereikend is). De auditor stelt dan vast (door ‘lijncontrols’) of er wordt gewerkt volgens de beschreven processen of dit ook op de juiste wijze wordt vastgelegd (geparafeerd).
ISAE 3402 type II
In een type II rapportage wordt naast de opzet en bestaan van het interne beheersingssysteem ook de werking van de beheersmaatregelen door de auditor getoetst. Dat betekent dat de auditor naast bovenstaande werkzaamheden ook gedetailleerd controleert of de maatregelen die beschreven zijn ook effectief werken. De werking van maatregelen wordt getoetst gedurende een vooraf aangegeven periode van minimaal zes maanden. Door de grote impact die ISAE 3402 op een organisatie heeft, wordt vaak gekozen voor eerst een type I rapportage en een type II rapportage in de daaropvolgende periode.
Waarom een ISAE 3402 Audit
Vanuit een gebruikersorganisatie bestaat de behoefte aan informatie over beheersing van de door de service organisatie uitgevoerde processen. ISAE 3402 is een internationale standaard, dat betekent dat zowel nationale- als internationale organisaties kunnen ‘steunen’ op de ISAE 3402 rapportage. Een ISAE 3402 rapportage is een Service Organization Control report. Op het moment dat een service organisatie over een ISAE 3402 rapportage beschikt dan heeft de gebruikersorganisatie (uw klant) inzicht in- en zekerheid dat het risico management systeem toereikend is, voldoende informatiebeveiligingsmaatregelen zijn ingericht en er fraudepreventiemaatregelen zijn ingericht.