ISAE 3402 (Type I & II)
Assurance-rapportage over de opzet (Type I) en effectieve werking (Type II) van interne beheersingsmaatregelen bij serviceorganisaties, relevant voor de financiële verslaggeving van klanten.
4 auditors voor ISAE 3402 (Type I & II)
SecureAudit Nederland is een toonaangevend IT-auditbureau gespecialiseerd in SOC 2, ISO 27001 en cloud security audits. Met meer dan 15 jaar ervaring helpen wij organisaties hun informatiebeveiliging naar het hoogste niveau te tillen. Ons team van gecertificeerde auditors combineert diepgaande technische kennis met praktische bedrijfservaring.
Assurance Group Holland biedt een volledig spectrum aan IT-audit en assurance diensten. Van SOC rapportages tot PCI DSS certificering, wij ondersteunen organisaties bij alle compliance-vraagstukken.
FinTech Audit Specialists is het audit bureau voor financiële technologiebedrijven. Wij begrijpen de unieke uitdagingen van fintech en bieden op maat gemaakte audit-oplossingen voor PSD2, DORA en PCI DSS.
Van den Berg IT Auditors is een gerenommeerd auditbureau met een sterke focus op ISAE 3402 en SOX/ITGC audits. Wij bedienen voornamelijk de financiële sector en bieden pragmatische, heldere rapportages die direct bruikbaar zijn voor onze opdrachtgevers.
Gerelateerde diensten
Wat is een ISAE 3402 audit?
Een ISAE 3402 audit is een internationaal erkende assurance-rapportage over de interne beheersingsmaatregelen van serviceorganisaties. Deze standaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB), biedt zekerheid aan klanten dat uitbestede processen betrouwbaar en beheerst verlopen.
Er zijn twee typen: Type I beoordeelt de opzet en het bestaan van controls op een specifiek moment, terwijl Type II ook de effectieve werking over een periode (meestal 6-12 maanden) toetst. Een Type II rapport biedt daarmee een hogere mate van zekerheid.
Waarom is een ISAE 3402 rapport belangrijk?
Steeds meer organisaties besteden kritieke processen uit aan externe dienstverleners. Een ISAE 3402 rapport geeft opdrachtgevers en hun accountants zekerheid dat de serviceorganisatie adequate interne beheersingsmaatregelen heeft getroffen, met name voor processen die van invloed zijn op de financiële verslaggeving.
Daarnaast vermindert een ISAE 3402 rapport de auditlast bij klanten, versterkt het de commerciële positie van de serviceorganisatie en is het vaak een contractuele vereiste bij grotere opdrachtgevers.
Voor wie is een ISAE 3402 audit?
Salarisverwerkers
Organisaties die salarisadministratie verzorgen voor andere bedrijven en zekerheid moeten bieden over hun processen.
IT-dienstverleners
Hosting-, cloud- en managed service providers die bedrijfskritieke systemen beheren voor klanten.
Financiële dienstverleners
Administratiekantoren, trustkantoren en pensioenuitvoerders die financiële gegevens verwerken.
Facility management
Organisaties die ondersteunende bedrijfsprocessen uitvoeren namens opdrachtgevers.
Hoe werkt een ISAE 3402 audit?
Scopebepaling
De auditor stelt samen met u vast welke processen en controls in scope vallen voor de rapportage.
Beschrijving controlemaatregelen
U beschrijft uw interne beheersingsmaatregelen in een gestructureerd format dat als basis dient voor het rapport.
Testwerk (Type II)
De auditor test gedurende de auditperiode of de beschreven controls daadwerkelijk effectief werken.
Rapportage
De auditor stelt het ISAE 3402 rapport op met bevindingen en een assurance-verklaring.
Veelgestelde vragen over ISAE 3402 (Type I & II)
Wat is het verschil tussen ISAE 3402 Type I en Type II?
Type I beoordeelt de opzet en het bestaan van controls op één moment. Type II toetst ook de effectieve werking over een periode van minimaal 6 maanden en biedt daarmee meer zekerheid.
Hoe lang duurt een ISAE 3402 audit?
Een Type I audit duurt gemiddeld 4-8 weken. Een Type II audit beslaat een auditperiode van 6-12 maanden, met het rapportageproces van 4-6 weken daarna.
Wat kost een ISAE 3402 audit?
De kosten variëren van €15.000 tot €50.000+ afhankelijk van de scope, complexiteit en het type rapport. Een Type II is doorgaans duurder dan een Type I.
Is een ISAE 3402 verplicht?
Een ISAE 3402 is niet wettelijk verplicht, maar wordt vaak contractueel vereist door opdrachtgevers, met name in de financiële sector.
Gerelateerde IT-audit diensten
SOC 1 (Type I & II)
Onafhankelijke beoordeling van interne controls bij serviceorganisaties die van invloed zijn op de financiële rapportage van gebruikersorganisaties, conform SSAE 18.
SOC 2 (Type I & II)
Beoordeling van de opzet (Type I) en effectieve werking (Type II) van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy volgens de Trust Service Criteria.
SOC 3
Publiek beschikbaar assurance-rapport over de Trust Service Criteria, geschikt voor breed gebruik zonder vertrouwelijkheidsbeperkingen. Ideaal voor marketing en transparantie.
ISAE 3000
Brede assurance-standaard voor niet-financiële informatie. Wordt gebruikt voor duurzaamheidsverslaggeving, compliance-verklaringen en andere assurance-opdrachten buiten de financiële audit.
TPM (Third Party Mededeling)
Onafhankelijke verklaring over de kwaliteit van dienstverlening en interne beheersing van een serviceorganisatie, specifiek voor de Nederlandse markt als alternatief voor ISAE 3402.
Op zoek naar een ISAE 3402 (Type I & II) specialist?
Vergelijk auditors, bekijk beoordelingen en vraag direct een vrijblijvende offerte aan via IT-Audit Directory.
Bekijk auditors