ISAE 3402.
Third-party assurance voor serviceorganisaties.
Wat is het?
ISAE 3402 is het assurance-rapport dat klanten en hun accountants verwachten wanneer jouw dienst hun financiële verslaglegging raakt: payroll, payments, hosting, BPO of SaaS. Het beschrijft je beheersmaatregelen en geeft een onafhankelijk oordeel over de opzet (Type I) of de werking (Type II). Met één rapport bedien je al je klanten, in plaats van talloze losse audits te ondergaan.
Voor wie?
Voor serviceorganisaties wier dienstverlening doorwerkt in de cijfers van hun klanten, en die jaarlijks een Type II-rapport willen kunnen overleggen. Denk aan salarisverwerkers, betaaldienstverleners, hostingpartijen en SaaS-leveranciers met een financiële component.
Wat het oplevert.
- Een ISAE 3402 Type I- of Type II-rapport voor je klanten en hun accountants
- Een heldere systeembeschrijving van je dienstverlening en beheersmaatregelen
- Een onafhankelijk oordeel dat de audits bij je klanten vereenvoudigt
- Een overzicht van bevindingen met eventuele verbeterpunten
Onze aanpak.
-
Kennismaking & scoping
We beginnen met een kennismaking en bepalen samen de scope: wat hoort erbij en wat niet.
-
Offerte
Op basis van de scope stellen we een heldere offerte op, met een vaste prijs en een duidelijke aanpak.
-
Kick-off
Zodra de offerte getekend is, starten we met een kick-off waarin we de exacte tijdlijnen en aanpak afstemmen.
-
Systeembeschrijving beoordelen
We beoordelen de systeembeschrijving (sectie III van de rapportage) op juistheid en volledigheid: geeft die een getrouw beeld van de dienstverlening en de omgeving?
-
Normenkader toetsen
We toetsen het normenkader op volledigheid en of de controls op een juiste, toetsbare wijze zijn beschreven.
-
Toetsing
Na jouw akkoord op het normenkader toetsen we de beheersmaatregelen en verzamelen we het onderbouwende bewijs.
-
Rapportage
We stellen een heldere rapportage op met ons onafhankelijke oordeel en de bevindingen.
-
Presentatie & evaluatie
We bespreken de rapportage en evalueren samen het traject, zodat een volgende audit nog soepeler verloopt.
Veelgestelde vragen.
- Wanneer heb ik ISAE 3402 nodig?
- Als jouw dienst doorwerkt in de financiële verslaglegging van klanten, bijvoorbeeld bij payroll, payments, hosting, BPO of SaaS. Klanten en hun accountants vragen dan vaak om een Type II-rapport.
- Wat is het verschil met SOC 2?
- ISAE 3402 richt zich op beheersmaatregelen die de cijfers van je klanten raken; SOC 2 richt zich op de Trust Services Criteria zoals security en availability. We helpen je de juiste te kiezen.
- Hoe vaak moet het rapport vernieuwd worden?
- Een Type II-rapport dekt een periode, vaak een jaar. Klanten verwachten meestal jaarlijks een nieuw rapport dat aansluit op het vorige.