ISAE 3402

Het uitbesteden van bedrijfsprocessen is tegenwoordig aan de orde van de dag. De uitvoering van het proces komt bij de serviceorganisatie (aanbiedende partij) te liggen en de gebruikersorganisatie (afnemende partij) is als gevolg van de uitbesteding niet volledig ‘in control’ van het proces. De gebruikersorganisatie is en blijft echter wel de eindverantwoordelijke van het proces. 

 

Om als serviceorganisatie aan te tonen dat het uitbestede proces adequaat beheerst is, kan een ISAE 3402 type 1 of type 2 rapport een uitkomst bieden. De ISAE 3402 is specifiek gericht op uitbestedingen van processen die direct (of indirect) invloed hebben op de financiële verslaglegging van de gebruikersorganisatie. De ISAE 3402 is een vormvrije norm. Het beschrijft welke stappen er genomen dienen te worden maar niet hoe deze stappen genomen dienen te worden (procesmodel). 

Het Meridion-team heeft verschillende auditoren aan boord die de ISAE 3402 audits uit kunnen voeren. Dit gebeurt allemaal onder de verantwoordelijkheid van een gecertificeerde RE-auditor, waardoor de kwaliteit geborgd blijft. Bent u er klaar voor? 

Verschillende ISAE 3402 verklaringen

Er zijn verschillende soorten ISAE 3402 rapportages, namelijk een type I en een  type rapport. Het verschil zit hem niet in de inhoud van het rapport, maar wordt bepaald door de uitgevoerde control. In onderstaande kolommen worden de grootste verschillen beschreven.

Type I

Tijdens een ISAE 3402 type I rapport wordt enkel gekeken naar de opzet en bestaan. Hierdoor is impact en workload beperkt ten opzichte van een type II rapport. Doordat alleen wordt gekeken naar de opzet en het bestaan van de maatregelen, heeft het type I rapport enkel betrekking op één specifieke datum. 

 

Het rapport is dus beperkt bruikbaar, aangezien in dit rapport niet kan worden aangetoond of de maatregelen gedurende een periode hebben gewerkt. Vaak wordt met een type I rapport gestart, waarna een type II rapport volgt.

Type II

Bij een ISAE 3402 type II rapport wordt, naast de opzet en bestaan, ook gekeken naar de werking. Er is dus geen sprake van één specifieke datum , maar er wordt gekeken of de maatregelen effectief gewerkt hebben in een periode van minimaal zes maanden. Doordat de werking over een hele periode wordt getoetst, is een type II veel tijdrovender. Dit omdat afhankelijk van de frequentie van de control, verschillende steekproeven genomen moeten worden.