ISAE 3402 is de standaard voor uitbesteding. Om gecertificeerd te worden moet een organisatie een Service Organization Control (SOC) Report hebben. Een SOC rapport is een rapportage waarin een beschrijving van het risico management systeem is opgenomen. Deze rapportage wordt vervolgens door een service auditor jaarlijks gecontroleerd. Een organisatie die diensten verleent wordt een service organisatie genoemd, deze serviceorganisatie legt dan doormiddel van een ISAE3402 rapportage verantwoording af aan een andere organisatie (een gebruikersorganisatie) over de uitgevoerde processen in de SLA en de beheersing hiervan in een ISAE 3402 rapportage. De standaard is de opvolger van de SAS 70 standaard en ingevoerd in 2011.

ISAE 3402 en outsourcing

Organisaties besteden steeds meer uit, vooral op het gebied van IT. Organisatie die uitbesteden willen inzicht in onder andere de beveiliging van informatie (security), fraude preventie en risicobeheersing in het algemeen. Vooral omdat steeds meer cruciale bedrijfsprocessen worden uitbesteed en het daarom meer van belang wordt, om inzicht te hebben in wie er toegang heeft tot informatie en of er bijvoorbeeld voldoende functiescheidingen zijn om fraude te voorkomen. Een ISAE 3402 rapport geeft dit inzicht.

Inhoud rapportage

Naast het algemene inzicht moeten de processen die een mogelijk effect hebben op de jaarrekening (financiële processen) opgenomen worden. Ook de IT processen, de zogenaamde General IT Controls. Daarnaast kan een ISAE 3402 rapport zekerheid geven dat processen die uitbesteed zijn, volgens gemaakte afspraken (SLA), uitgevoerd worden. De SOC rapportage bestaat uit een algemeen deel volgens de COSO 2013 standaard en een controlmatrix. Lees meer over de inhoud van het rapport en de twee typen rapportages; ISAE 3402 type I en type II.

Voorbeeld uitbesteding

Een pensioenfonds besteedt vermogensbeheer uit aan een vermogensbeheerder. Pensioenfondsen moeten voldoen aan de Pensioenwet (PW). De PensioenWet eist van het pensioenfonds dat zij kan aantonen dat de uitbestede processen beheerst worden.

Het pensioenfonds is in dit geval de gebruikers (user) organisatie en de vermogensbeheerder is de service organisatie. Afspraken tussen het pensioenfonds en de vermogensbeheerder zijn vastgelegd in de vermogensbeheerovereenkomst en eventueel een SLA. Het pensioenfonds vraagt daarom van de serviceorganisatie een ISAE 3402 rapportage. Met deze rapportage toont het pensioenfonds aan dat de uitbeheersing 'in control' is en dat zij ook voor deze uitbesteding voldoet aan de PensioenWet.

Het pensioenfonds (de ‘user-organisatie’) wil in een dergelijke situatie inzicht in:

  • Of beleggingen juist- en volledig verwerkt worden ten behoeve van de jaarrekening
  • Het vermogensbeheer in overeenstemming met wet- en regelgeving gebeurt
  • Er voldoende waarborgen zijn tegen fraude
  • Security toereikend is ingericht bij de vermogensbeheerder
  • Er wordt voldaan aan specifieke compliance voorschriften die zijn opgenomen in de PensioenWet.

Het pensioenfonds zal van de vermogensbeheerder eisen dat bovenstaande onderwerpen zijn opgenomen zijn in de reikwijdte van de ISAE 3402 rapportage.

De accountant van het pensioenfonds zal het ISAE 3402 rapport van de vermogensbeheerder raadplegen binnen het kader van de jaarrekeningcontrole van het pensioenfonds. De accountant hoeft niet nog afzonderlijk procedures te testen bij de vermogensbeheerder omdat hierover al gerapporteerd is door de service auditor.

Toegevoegde waarde

De belangrijkste toegevoegde waarde voor een gebruikersorganisatie is dat deze op basis van het Service Organization Control rapport kan vaststellen of bijvoorbeeld informatiebeveiliging of fraudepreventiemaatregelen voldoende zijn. Voor de accountant van de gebruikersorganisatie is dit ook belangrijke informatie. De accountant van de gebruikersorganisatie kan vaststellen of de maatregelen bij de service organisatie voldoende zijn ingericht binnen het kader van de jaarrekeningcontrole van de gebruikersorganisatie. Daarnaast heeft een (erkende) andere accountant vastgesteld of deze maatregelen bestaan (type I) en effectief gewerkt hebben (type II). De accountant hoeft dan geen afzonderlijke controles meer te verrichten bij de serviceorganisatie.