Onze diensten
ISAE 3402
Assurance-rapportage voor serviceorganisaties die financiële of administratieve processen uitvoeren voor hun klanten.
Wat is een ISAE 3402 precies?
ISAE 3402 is een internationale standaard gericht op organisaties die financiële of administratieve processen uitvoeren voor hun klanten, zoals salarisverwerking, pensioenadministratie of cloudservices die invloed hebben op financiële verslaglegging.
In tegenstelling tot wat vaak gedacht wordt, is ISAE 3402 géén certificaat maar een auditstandaard die resulteert in een assurance-verklaring (auditrapport). Dit rapport geeft aan of de interne beheersingsmaatregelen van een serviceorganisatie voldoende effectief en betrouwbaar zijn.
Kort samengevat:
- Internationale standaard voor serviceorganisaties die financiële processen uitbesteden of uitvoeren.
- ISAE 3402 levert een auditrapport op (geen certificering).
- Richt zich op interne controles die relevant zijn voor de financiële verslaggeving van klanten.
- Wordt internationaal erkend en sluit aan bij het Amerikaanse SOC 1-framework.
Waarom een ISAE 3402 rapportage?
Het verkrijgen van een ISAE 3402 verklaring is geen wettelijk verplichte certificering, maar wordt steeds vaker gevraagd door klanten, toezichthouders of zakelijke partners. Een ISAE 3402 rapportage heeft meerdere voordelen:
Vertrouwen en zekerheid bij klanten en toezichthouders
Met een ISAE 3402 verklaring toont u aan dat uw organisatie betrouwbare en beheerste processen voert die voldoen aan wettelijke eisen en contractuele verplichtingen. Dit vergroot direct het vertrouwen van klanten, leveranciers en toezichthouders.
Optimale interne beheersing
Door middel van een ISAE 3402 audit krijgt u inzicht in de effectiviteit van uw interne processen en controles. Hierdoor verbetert u uw risicomanagement en kunt u tijdig eventuele zwakke plekken aanpakken.
Concurrentievoordeel bij offertetrajecten en aanbestedingen
Bedrijven die beschikken over een ISAE 3402 verklaring hebben een belangrijke voorsprong bij aanbestedingen en contractonderhandelingen, vooral in sectoren zoals financiële dienstverlening, cloud computing en administratie.
Type I en Type II verklaring: wat is het verschil?
Binnen de ISAE 3402 standaard onderscheiden we twee soorten verklaringen: Type I en Type II.
ISAE 3402 Type I verklaring
Een Type I verklaring is bedoeld om te bevestigen dat uw beheersmaatregelen op een specifiek moment goed zijn ingericht. Zie het als een ‘momentopname’: dit rapport zegt iets over de opzet en het bestaan van de interne controles, maar beoordeelt nog niet hun werking over langere tijd. Handig als eerste stap om snel aan te tonen dat je de juiste beheersmaatregelen hebt ingericht.
ISAE 3402 Type II verklaring
Bij een Type II verklaring wordt naast de opzet en het bestaan óók de werking van de beheersmaatregelen beoordeeld, doorgaans over een periode van zes tot twaalf maanden. Dit rapport geeft aanzienlijk meer zekerheid aan klanten en auditors. Dit is de vervolgstap op een Type I verklaring en geeft extra zekerheid over de daadwerkelijke werking van de getroffen maatregelen.
Hoe verloopt een ISAE 3402 traject?
Intake
We bepalen samen welke processen in scope van de ISAE 3402 audit vallen en leggen we jullie verwachtingen en doelstellingen helder vast.
Kick-off
We organiseren een kick-offsessie met betrokkenen waarin we het volledige proces, tijdslijn en rolverdeling toelichten.
Self-assessment
Onder onze begeleiding voer je een initiële toets uit op jullie interne beheersmaatregelen. Hierdoor weet je direct waar eventuele knelpunten liggen.
(Optioneel) Pre-audit
We voeren optioneel een pre-audit uit, bijvoorbeeld als dit de eerste keer is dat je organisatie een ISAE 3402 verklaring krijgt. Zo signaleren we vroegtijdig aandachtspunten en krijg je de tijd om deze op te lossen vóór de formele audit.
Toetsen van maatregelen
Door middel van interviews, documentinspecties en steekproeven toetsen wij of jullie interne maatregelen voldoen om de opgestelde beheersingsdoelstellingen te behalen.
Opstellen concept-rapportage
We stellen het auditrapport conform de richtlijnen van NOREA op.
Afstemming resultaten
We bespreken de resultaten met jullie team, geven toelichting op eventuele verbeterpunten en beantwoorden vragen.
(Optioneel) Implementatie verbeteringen
Indien noodzakelijk voeren jullie (zelf of via een externe partij) de verbeteringen door. Wij kunnen hierbij adviseren, maar voeren dit zelf niet uit om de onafhankelijke auditpositie te behouden.
Definitieve ISAE 3402 verklaring
Na afronding en eventuele verificatie van verbeteringen leveren we de definitieve ISAE 3402 verklaring op.
Wat kost een ISAE 3402 verklaring ongeveer?
| Complexiteit dienstverlening | Toelichting | Indicatie Type I | Indicatie Type II |
|---|---|---|---|
| Laag | <25 controls | €7.500 – €9.000 | €8.500 – €10.500 |
| Gemiddeld | ~35 controls | €10.000 – €20.000 | €11.500 – €23.000 |
| Hoog | >50 controls | €25.000 – €45.000 | €28.000 – €52.000 |
Het bepalen van de exacte kosten voor een ISAE 3402-audit is lastig zonder de omgeving goed te kennen. Iedere organisatie is uniek in haar processen, beheersmaatregelen en volwassenheid van de interne controles. Factoren zoals het aantal locaties, type dienstverlening, uitbesteed werk en de mate van documentatie hebben grote invloed op de benodigde auditinspanning.
Op basis van onze ervaring met tientallen audits in uiteenlopende sectoren is bovenstaande inschatting een goede basis. Deze bedragen geven een indicatie en helpen je om een eerste beeld te vormen van de investering die nodig is voor zowel een Type I als Type II verklaring.
Interesse in een ISAE 3402 verklaring?
Neem contact met ons op voor een vrijblijvend gesprek over de mogelijkheden voor uw organisatie.
Neem contact op