ISAE 3402 / SOC 1 Audit

ISAE 3402 is een waarborg dat processen die uitbesteed zijn, aantoonbaar ‘in control’ zijn. In control’ betekent dat processen goed worden uitgevoerd, informatiebeveiliging toereikend is ingericht en dat er voldoende maatregelen om fraude te voorkomen zijn ingericht.

Een rapport op basis van Standaard 3402 is algemeen herkend en erkend als middel om inzicht te krijgen in de beheersingsmaatregelen ten aanzien van administratieve processen die zijn uitbesteed aan derden.

Er zijn twee soorten ISAE 3402 rapportages te weten:

ISAE 3402 type I

Een type I rapportage geeft een beeld van de serviceorganisatie op één specifiek moment, bijvoorbeeld op 31 december, per jaareinde. De auditor toetst dan het interne beheersingssysteem en beheersmaatregelen op bestaan en beoordeelt of het rapport voldoet aan het gestelde doel (toereikend is). De auditor stelt dan vast (door ‘lijncontrols’) of er wordt gewerkt volgens de beschreven processen of dit ook op de juiste wijze wordt vastgelegd (geparafeerd).

ISAE 3402 type II

In een type II rapportage wordt naast de opzet en bestaan van het interne beheersingssysteem ook de werking van de beheersmaatregelen door de auditor getoetst. Dat betekent dat de auditor naast bovenstaande werkzaamheden ook gedetailleerd controleert of de maatregelen die beschreven zijn ook effectief werken. De werking van maatregelen wordt getoetst gedurende een vooraf aangegeven periode van minimaal zes maanden. Door de grote impact die ISAE 3402 op een organisatie heeft, wordt vaak gekozen voor eerst een type I rapportage en een type II rapportage in de daaropvolgende periode.

Waarom een ISAE 3402 Audit

Vanuit een gebruikersorganisatie bestaat de behoefte aan informatie over beheersing van de door de service organisatie uitgevoerde processen. ISAE 3402 is een internationale standaard, dat betekent dat zowel nationale- als internationale organisaties kunnen ‘steunen’ op de ISAE 3402 rapportage. Een ISAE 3402 rapportage is een Service Organization Control report. Op het moment dat een service organisatie over een ISAE 3402 rapportage beschikt dan heeft de gebruikersorganisatie (uw klant) inzicht in- en zekerheid dat het risico management systeem toereikend is, voldoende informatiebeveiligingsmaatregelen zijn ingericht en er fraudepreventiemaatregelen zijn ingericht.

Andere Soll-IT certificaten

ENSIA: Eén slimme verantwoording voor informatieveiligheid

Wat is ENSIA ENSIA (Eenduidige Normatiek Single Information Audit) heeft tot doel het ontwikkelen en implementeren van een zo ...

Lees verder

DigiD ICT-beveiligingsassessments

Wat is DigiD Op 2 februari 2012 heeft de minister in een brief aan de Tweede Kamer aangegeven dat alle organisaties die DigiD ...

Lees verder

ISAE 3000 Audit

ISAE 3000 is een onderwerp die steeds actueler wordt in de wereld van de IT-technologie, Cloud computing en uitbesteden van ...

Lees verder

Deel deze pagina

Meer weten over ISAE 3402 / SOC 1 Audit

Voor meer directe sturing en meer betrouwbaarheid in én uit een organisatie kunt u altijd onze IT-auditors inschakelen.

Neem contact met ons op