ISAE 3402 is de internationale assurance-standaard (IAASB) waarmee een onafhankelijke auditor rapporteert over de beheersmaatregelen bij een serviceorganisatie. Geen wet verplicht ISAE 3402, maar klanten met een eigen accountantscontrole vragen het rapport wel vaak als voorwaarde voor de samenwerking.
Het rapport dat uit een ISAE 3402-onderzoek volgt, gebruikt de accountant van de klant als bewijs bij de eigen jaarrekeningcontrole. De serviceorganisatie voert het proces uit, de klant blijft eindverantwoordelijk voor de jaarrekening.
ISAE 3402 kent twee rapporttypen: Type I voor de opzet van maatregelen op één moment, Type II voor de werking van maatregelen over een periode. Welk type nodig is, hangt af van wat de klant en diens accountant vragen.
ISAE 3402 is volledig vrijwillig en contractueel: geen wet verplicht het. Klanten met een eigen accountantscontrole vragen het rapport wel vaak als voorwaarde voor de samenwerking.
Begin daarom met in kaart brengen welke processen je voor klanten uitvoert die in hun jaarrekening terugkomen, zodat duidelijk is welke scope een ISAE 3402-rapport nodig heeft.
Wat is ISAE 3402?
ISAE 3402 (International Standard on Assurance Engagements 3402) is een internationale assurance-standaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). De standaard beschrijft hoe een onafhankelijke auditor onderzoek doet naar en rapporteert over beheersmaatregelen bij een serviceorganisatie.
Een serviceorganisatie is een bedrijf dat een proces uitvoert dat relevant is voor de financiële verslaggeving van zijn klanten, bijvoorbeeld salarisverwerking of het hosten van een financieel systeem. Het ISAE 3402-rapport beschrijft die processen en de bijbehorende beheersmaatregelen, en geeft het oordeel van de auditor daarover.
Het rapport bestaat naast de beschrijving van de auditor uit twee andere onderdelen: de eigen beschrijving van de serviceorganisatie van haar systeem en maatregelen, en een overzicht van de geteste maatregelen met testresultaten (bij Type II).
Voor wie is ISAE 3402?
ISAE 3402 is relevant voor serviceorganisaties waarvan de klanten een eigen accountantscontrole hebben en daarbij zekerheid nodig hebben over uitbestede processen. Concreet gaat het om:
- Payroll- en HR-serviceproviders: bedrijven die salarisverwerking of personeelsadministratie uitvoeren voor klanten.
- IT-, cloud- en hostingproviders: leveranciers die financieel relevante systemen of data hosten of beheren voor klanten.
- Fondsadministrateurs en trustkantoren: partijen die administratieve of beheertaken uitvoeren die in de jaarrekening van een klant terugkomen.
De gemeenschappelijke factor: de klant besteedt een proces uit dat de eigen accountant anders zelf bij de klant zou moeten controleren. Met een ISAE 3402-rapport kan die accountant leunen op het werk van de auditor van de serviceorganisatie.
Is ISAE 3402 verplicht?
Nee, ISAE 3402 is volledig vrijwillig. Geen wet of toezichthouder schrijft het rapport voor. Het zit zo:
- Geen wettelijke grondslag. ISAE 3402 is een assurance-standaard van de IAASB, geen wettelijke verplichting voor serviceorganisaties.
- Contractueel vaak wel gevraagd. Klanten waarvan de eigen accountant het uitbestede proces moet beoordelen, vragen het rapport als auditbewijs. Zonder rapport moet de accountant zelf onderzoek doen bij de serviceorganisatie, wat tijd en kosten kost voor beide partijen.
- Marktvoorwaarde in de praktijk. In branches waar veel klanten onder accountantscontrole staan, zoals IT-hosting voor financiële instellingen, groeit een ISAE 3402-rapport uit tot een impliciete voorwaarde om als leverancier in aanmerking te komen.
De keuze voor ISAE 3402 volgt dus uit de vraag van klanten, niet uit een wettelijke plicht voor de serviceorganisatie zelf.
Type I versus Type II
ISAE 3402 kent twee rapporttypen die een verschillende vraag beantwoorden. Type I beoordeelt de opzet van de beheersmaatregelen op één specifieke datum: zijn de maatregelen zo ontworpen dat ze het beoogde risico afdekken.
Type II gaat een stap verder en beoordeelt ook de operationele effectiviteit van de maatregelen, over een periode die doorgaans 6 tot 12 maanden beslaat. De auditor test in die periode of de maatregelen daadwerkelijk hebben gewerkt zoals ontworpen.
Voor de accountant van de klant heeft Type II meer waarde als auditbewijs, omdat het periode-oordeel dichter aansluit bij wat de jaarrekeningcontrole nodig heeft. Veel serviceorganisaties starten daarom met een Type I-rapport en groeien door naar Type II zodra de maatregelen een observatieperiode hebben doorlopen.
ISAE 3402 vergeleken met andere normen
ISAE 3402 heeft een Amerikaans equivalent en raakt aan certificeerbare normen zoals ISO 27001. Twee vergelijkingen op een rij.
ISAE 3402 vs SOC 1 en SOC 2
Het verschil tussen ISAE 3402 en SOC 1 of SOC 2 is vooral de uitgevende instantie: ISAE 3402 komt van de internationale IAASB, SOC 1 en SOC 2 zijn de Amerikaanse equivalenten uitgegeven door de AICPA. SOC 1 richt zich net als ISAE 3402 op financieel relevante processen; SOC 2 kijkt breder naar beveiliging, beschikbaarheid en privacy, los van de jaarrekening.
In de praktijk gebruiken serviceorganisaties met klanten in zowel Europa als de VS vaak dezelfde onderliggende beheersmaatregelen voor een gecombineerd ISAE 3402/SOC 1-rapport.
ISAE 3402 vs ISO 27001
Het verschil tussen ISAE 3402 en ISO 27001 is de vorm: ISO 27001 is een certificeerbare norm met een pass/fail-uitkomst, ISAE 3402 is een assurance-rapport met een oordeel van een auditor over specifieke maatregelen. Een ISO 27001-certificaat dekt de bredere informatiebeveiliging; een ISAE 3402-rapport dekt specifiek de maatregelen rond een uitbesteed proces, gericht op de financiële verslaggeving van de klant.
Beide kunnen naast elkaar bestaan: ISO 27001 als basis voor het informatiebeveiligingsbeleid, ISAE 3402 als het rapport dat de accountant van de klant nodig heeft voor zijn eigen controle.
Zo helpt ClickOn met ISAE 3402
De IT-beheersmaatregelen die in een ISAE 3402-rapport terugkomen, zoals toegangsbeheer, wijzigingsbeheer, logging en back-up, komen grotendeels overeen met wat ClickOn al inricht volgens ISO 27001. ClickOn is zelf ISO 27001-gecertificeerd sinds 2021 en heeft 100 procent van 25 audits doorstaan.
Voor serviceorganisaties die richting een ISAE 3402-rapport werken, brengt de Compliance Sprint de technische maatregelen binnen 30 dagen audit-klaar, tegen een vaste prijs per werkplek. Met compliant werkplekbeheer (PremiumOn) blijven die maatregelen daarna aantoonbaar werken: 148 euro per werkplek per maand, inclusief 24/7 bewaking en support, en een werkplek is binnen 24 uur compliant ingericht. Het ISAE 3402-onderzoek zelf voert een onafhankelijke auditor uit; ClickOn levert de technische inrichting en het bewijs waarop die auditor zijn oordeel baseert.
Werk je richting een ISAE 3402-rapport voor je klanten? Start de Compliance Sprint Bekijk compliant werkplekbeheer
Veelgestelde vragen over ISAE 3402
Is ISAE 3402 verplicht?
Nee, ISAE 3402 is volledig vrijwillig en contractueel. Geen wet schrijft het rapport voor. Klanten met een eigen accountantscontrole vragen het vaak wel als voorwaarde, omdat hun accountant het rapport als auditbewijs gebruikt.
Voor wie geldt ISAE 3402?
ISAE 3402 is relevant voor serviceorganisaties die een proces uitvoeren dat relevant is voor de financiële verslaggeving van hun klanten, zoals payroll-providers, IT- en hostingproviders en fondsadministrateurs. De klant zelf staat onder accountantscontrole en heeft zekerheid nodig over het uitbestede proces.
Wat is het verschil tussen Type I en Type II?
Type I beoordeelt de opzet van de beheersmaatregelen op één datum. Type II beoordeelt ook de werking van die maatregelen over een periode, doorgaans 6 tot 12 maanden. Type II heeft meer waarde als auditbewijs omdat het een periode dekt in plaats van een moment.
Wat is het verschil tussen ISAE 3402 en SOC 1?
ISAE 3402 en SOC 1 richten zich allebei op financieel relevante processen bij een serviceorganisatie, maar komen van een andere uitgevende instantie. ISAE 3402 komt van de internationale IAASB, SOC 1 is het Amerikaanse equivalent van de AICPA.
Kan ISAE 3402 samen met ISO 27001 bestaan?
Ja. ISO 27001 is een certificeerbare norm voor het informatiebeveiligingsbeleid als geheel; ISAE 3402 is een assurance-rapport gericht op specifieke maatregelen rond een uitbesteed proces. Veel serviceorganisaties gebruiken ISO 27001 als basis en laten daarnaast een ISAE 3402-rapport opstellen voor de klanten die daarom vragen.