English English
Nederlands Nederlands
Naar de homepage
20 december 2019
Geüpdatet op: 29 januari 2025

Veel leveranciers in het MKB worden tegenwoordig geconfronteerd met het verzoek van klanten omtrent een ISAE 3402 verklaring (ook wel bekend als TPM = Third Party Memorandum). De klant wil namelijk graag dat de integriteit en vertrouwelijkheid van gegevens zoals die door de leveranciersorganisatie beheert en verwerkt worden, gewaarborgd zijn.

Reden voor deze soms dwingende vraag van klanten is dat met betrekking tot de financiële jaarrapportage de accountant van de klant zekerheid wil hebben dat de jaarrapportage is gebaseerd op betrouwbare gegevens. Het is dan ook met name de accountant die er bij de klant op aandringt de TPM verklaring of ISAE 3402 rapportage bij haar leveranciers te bewerkstelligen. 

In dit blog behandelen we de volgende onderwerpen: 

Definitie van de ISAE 3402

De ISAE 3402 (International Standard on Assurance Engagements 3402) is een internationale assurance-standaard die wordt gebruikt om de interne beheersing van serviceorganisaties te beoordelen. De standaard is ontwikkeld door de International Auditing and Assurance Standards Board (IAASB) en richt zich specifiek op uitbestede diensten die invloed kunnen hebben op de financiële verslaggeving van klanten.

ISAE 3402 is een assurance-standaard waarmee een onafhankelijke auditor een Service Organization Control (SOC) Report opstelt. Dit rapport biedt zekerheid aan klanten (en hun auditors) over de effectiviteit van de interne beheersmaatregelen bij een serviceorganisatie, met name ten aanzien van operationele processen, risicobeheer en IT-beveiliging.

 

Wat is een ISAE 3402-verklaring (type 1 en type 2)?

De ISAE 3402 bevat twee verschillende types. Deze lichten we hieronder verder uit. 

ISAE 3401: Type 1

Een ISAE 3402 Type 1-verklaring is een auditrapport dat de opzet van de interne controles van een serviceorganisatie beoordeelt op een specifiek moment. Het rapport richt zich uitsluitend op de beschrijving van de interne controles en beoordeelt of deze controles goed zijn ontworpen om de risico’s die van invloed kunnen zijn op de financiële rapportages van klanten effectief te beheersen. Belangrijke kenmerken van ISAE 3402 Type 1:

  • Focus op ontwerp van controles: In tegenstelling tot Type 2, beoordeelt Type 1 alleen of de controles goed zijn ontworpen en geïmplementeerd op een bepaald moment, maar het test niet of deze controles daadwerkelijk effectief hebben gefunctioneerd over een langere periode.
  • Momentopname: Het rapport geeft een momentopname van de situatie op de datum van de audit en geeft geen inzicht in de prestaties van de controles in de tijd.
  • Sneller en goedkoper: Omdat een Type 1-verklaring alleen kijkt naar het ontwerp en niet naar de werking van de controles over een periode, is de audit minder uitgebreid dan Type 2. Hierdoor is de audit doorgaans sneller en goedkoper om uit te voeren.
  • Beperkte zekerheid: Hoewel het rapport nuttige informatie biedt, geeft het minder zekerheid aan klanten omdat het niet aantoont dat de controles daadwerkelijk effectief hebben gewerkt in de praktijk.

Voorbeeld: Stel dat een serviceorganisatie claimt dat ze bepaalde IT-controles hebben opgezet om de beveiliging van financiële gegevens te waarborgen. Een ISAE 3402 Type 1-verklaring zou controleren of deze controles aanwezig zijn en of ze theoretisch voldoende zijn om de risico’s te beheersen, maar het zou niet testen of die controles ook echt effectief hebben gewerkt in de praktijk.

ISAE 3401: Type 2 

Een ISAE 3402 Type 2-verklaring is een internationale standaard die specifiek is ontwikkeld voor serviceorganisaties die diensten verlenen waarbij klanten afhankelijk zijn van hun interne controles. De Type 2-verklaring omvat:

  • Beoordeling van het ontwerp en de werking van interne controles: Waar een Type 1-verklaring alleen kijkt naar de opzet van de controles, gaat een Type 2-verklaring een stap verder door de effectiviteit van deze controles over een bepaalde periode (meestal 6 tot 12 maanden) te testen.
  • Rapportage: Het rapport bevat niet alleen een beschrijving van de interne controles, maar ook een beoordeling van de daadwerkelijke implementatie en prestaties van deze controles gedurende de auditperiode.

De ISAE 3402 Type 2-verklaring wordt vaak vereist door klanten van serviceorganisaties om er zeker van te zijn dat de serviceorganisatie adequaat beheerde processen heeft die risico’s beheersen. 

Voorbeeld: Stel dat een serviceorganisatie IT-beveiligingscontroles heeft opgezet om klantgegevens te beschermen. Een ISAE 3402 Type 2-verklaring zou niet alleen onderzoeken of deze controles goed zijn ontworpen (zoals bij Type 1), maar ook testen of ze effectief hebben gewerkt over een periode van bijvoorbeeld 6 tot 12 maanden. Dit betekent dat de auditors beoordelen of de controles consistent zijn uitgevoerd en in de praktijk hebben gewerkt, zoals het beperken van toegang tot gevoelige gegevens en het correct uitvoeren van back-ups. Hierdoor biedt de Type 2-verklaring klanten meer zekerheid dat de controles daadwerkelijk functioneren zoals bedoeld. 

Waarom een ISAE 3402 nodig?

Een ISAE 3402-verklaring is om verschillende redenen belangrijk:
Vertrouwen bij klanten: Een ISAE 3402-verklaring biedt klanten zekerheid dat de interne processen en controles van een serviceorganisatie voldoen aan hoge standaarden. Dit is vooral belangrijk wanneer de klant afhankelijk is van deze processen om aan hun eigen wettelijke verplichtingen te voldoen.

  1. Compliancy: Veel klanten of regelgeving kunnen vereisen dat serviceorganisaties een ISAE 3402-verklaring hebben om te voldoen aan wettelijke en sectorale eisen, zoals die in de financiële dienstverlening of IT-sector.
  2. Risicobeheer: Het helpt organisaties risico’s te identificeren en te beheren, wat cruciaal is voor het behoud van operationele continuïteit.
  3. Concurrentievoordeel: Bedrijven met een ISAE 3402-certificering kunnen hun geloofwaardigheid op de markt vergroten en hun concurrentiepositie verbeteren. 

Is een ISAE 3402 verplicht?

Een ISAE 3402-verklaring is niet wettelijk verplicht voor alle serviceorganisaties, maar het kan in veel gevallen door klanten vereist worden, vooral in sectoren zoals IT, financiën, en outsourcing. Voor bedrijven die diensten leveren waarbij klanten vertrouwen op hun interne processen (bijvoorbeeld bij het verwerken van financiële transacties of het beheren van gevoelige gegevens), kan een ISAE 3402-verklaring een vereiste voor samenwerking zijn. Daarom is het vaak een de facto verplichting om zaken te kunnen doen met bepaalde klanten of sectoren. 

Wat kost een ISAE 3402 verklaring?

De kosten van een ISAE 3402-verklaring kunnen sterk variëren, afhankelijk van verschillende factoren, waaronder:

  • De grootte van de organisatie: Grotere bedrijven met complexe processen vereisen doorgaans meer tijd en middelen om de controle uit te voeren, wat de kosten opdrijft.
  • Type verklaring: ISAE 3402 Type 1 is minder tijdsintensief dan Type 2, omdat Type 1 enkel kijkt naar het ontwerp van de interne controles, terwijl Type 2 ook de effectieve werking over een bepaalde periode beoordeelt.
  • De complexiteit van de processen: Organisaties met meer geavanceerde of gespecialiseerde interne processen kunnen hogere kosten verwachten door de gedetailleerde beoordeling.
  • De gekozen accountant of auditpartij: Grote auditfirms zoals de 'Big Four' (PwC, Deloitte, EY, KPMG) zijn doorgaans duurder dan kleinere, regionale auditfirma's.

In de praktijk kunnen de kosten variëren van €10.000 tot €50.000 of meer, afhankelijk van deze factoren. 

Wat is het verschil tussen de ISAE 3402, ISO 27001, ISAE 3000 en SOC?

Er zijn verschillende certificeringen die u kunt bemachtigen voor informatiebeveiliging. Zo komt het ook voor dat er binnen deze normeringen overlap is. Toch hebben ze allemaal een andere specificatie. Deze lichten we verder toe. 

ISAE 3402

Specifiek gericht op serviceorganisaties en de interne controles die invloed hebben op de financiële rapportages van klanten. Het kan betrekking hebben op een breed scala aan processen en controles die belangrijk zijn voor de betrouwbaarheid van financiële gegevens.

ISO 27001

Een internationale standaard gericht op informatiebeveiligingsmanagement. ISO 27001 is breder dan ISAE 3402 in die zin dat het kijkt naar de beveiliging van informatie in plaats van alleen interne controles met betrekking tot financiële rapportage. ISO 27001-certificering toont aan dat een organisatie een robuust systeem voor informatiebeveiliging heeft opgezet en in stand houdt.

ISAE 3000

Net als ISAE 3402 is dit een standaard voor het beoordelen van interne controles, maar ISAE 3000 is breder van opzet. Het richt zich niet alleen op financiële rapportage, maar kan worden toegepast op elke vorm van niet-financiële assurance-opdrachten, zoals milieu-, sociaal of governance-audits.

SOC (Service Organization Control) 1 & 2

SOC 1-rapporten lijken sterk op ISAE 3402-rapporten, omdat beide betrekking hebben op de interne controles van serviceorganisaties die relevant zijn voor de financiële rapportages van hun klanten. SOC 2, daarentegen, richt zich op de effectiviteit van interne controles in termen van beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid, en privacy van klantgegevens, en is breder dan ISAE 3402.

Samengevat:

ISAE 3402 = Interne controles voor financiële rapportages.
ISO 27001 = Informatiebeveiliging.
ISAE 3000 = Brede assurance, inclusief niet-financiële aspecten.
SOC 1/SOC 2 = Financiële (SOC 1) of niet-financiële (SOC 2) controles met een sterke focus op klantgegevens.

 

Geen ISAE 3402 verklaring beschikbaar?

Indien geen TPM of ISAE 3402 rapportage beschikbaar is, zal u als leverancier mogelijk elk jaar opnieuw een audit krijgen waarbij er een diepgravend onderzoek wordt uitgevoerd. Dit is veel werk voor zowel u als uw klant en leidt tot veel frustratie. Verschillende klanten kunnen daarnaast verschillende audits uitgevoerd willen hebben.

Door het hebben van een ISAE 3402 rapportage vermindert u het werk als gevolg van de verschillende audits, bij uzelf maar vooral bij uw klanten. Het hebben van een ISAE 3402 rapportage levert u dus een belangrijke meerwaarde op voor uw klanten.

Ontdek aan welke regels u moet voldoen en voorkom veiligheidsrisico's. Download de complete gids voor basiskennis informatiebeveiliging: 

ONTDEK DE 7 PRINCIPES VAN DIGITALE HYGIËNE

Wij helpen bedrijven met hun digitale veiligheid