ISAE 3402 (Type I & II)
Assurance reporting on the design (Type I) and operating effectiveness (Type II) of internal controls at service organisations, relevant to clients' financial reporting.
14 auditors for ISAE 3402 (Type I & II)
RvA-geaccrediteerde certificatie-instelling met kantoor in Antwerpen, gespecialiseerd in ISO- en NEN-certificeringen. Erkend door het CCB voor CyberFundamentals-verificatie en ISO 27001-certificering onder NIS2.
Consilium Labs is a global specialist IT audit firm providing SOC 1/2/3, ISAE 3402, ISAE 3000, ISO 27001 and CSA STAR audits. They focus on cloud security assurance and help technology organisations demonstrate trust to their customers.
ITGRC Advisory (known as The SOC 2) is a UK-based specialist firm focused on SOC and ISAE assurance engagements. They provide SOC 1, SOC 2, SOC 2+, SOC 3, ISAE 3402 and ISAE 3000 audits and attestation services for technology and service organisations.
Gespecialiseerd IT-audit- en cybersecuritybedrijf dat meer dan 800 organisaties bedient met een Single Audit, Multiple Standards aanpak. Combineert SOC, ISAE 3402, ISO 27001, NIS2 en DORA in één gestroomlijnd auditproces.
Henderson Loggie is a leading Scottish accountancy firm offering specialist IT audit services including ISAE 3402 Type I & II reporting, IT internal audit, cybersecurity and digital resilience assessments, and UK GDPR compliance audits. With deep expertise in the Scottish market, they provide comprehensive assurance services to organisations across the UK.
Coalfire is a global cybersecurity advisory and audit firm with European offices serving UK clients. They provide SOC 1/2/3, ISAE 3402, ISO 27001, PCI DSS, FedRAMP and HITRUST audits, with deep expertise in cloud security assurance.
Crowe UK provides IT audit, technology risk, SOC 1/2 reporting, IT internal audit and ITGC testing services. Part of the global Crowe network, their UK practice combines international methodology with local expertise for effective IT assurance engagements.
BDO UK provides IT audit, assurance and certification services including SOX 404, ISAE 3402, SOC 2, PCI DSS and data privacy audits. Their dedicated technology risk team serves financial services, technology and public sector clients across the UK.
Deloitte UK delivers IT audit and assurance, third party assurance (ISAE 3402, SOC 1/2/3), and controls assurance services. With one of the largest technology risk practices in the UK, Deloitte supports organisations in managing complex IT risk and compliance requirements.
Forvis Mazars UK offers a comprehensive IT assurance and advisory practice including ISAE 3402/SOC 1, SOC 2/3, ISAE 3000, cyber security assessments, IT internal audit and IT due diligence.
Grant Thornton UK delivers technology risk services, IT audit, cybersecurity assessments and ISAE 3402 reporting. As a leading mid-market advisory firm, Grant Thornton provides tailored IT assurance solutions for growing businesses and public interest entities.
KPMG UK offers technology risk management, IT audit and ISAE 3402/SOC reporting services. Their dedicated technology risk team provides assurance over IT general controls, application controls and emerging technology risks for organisations of all sizes.
PwC UK provides comprehensive technology risk assurance, IT audit and advisory services. As one of the Big Four professional services firms, PwC offers deep expertise in ISAE 3402/SOC reporting, ISO 27001 implementation and audit, and cybersecurity assurance for organisations across all sectors.
RSM UK provides technology risk assurance, IT audit, SOC reporting and IT internal audit services. As one of the largest advisory firms in the UK, RSM offers pragmatic IT assurance solutions tailored to mid-market and growing organisations.
Related services
Wat is een ISAE 3402 audit?
Een ISAE 3402 audit is een internationaal erkende assurance-rapportage over de interne beheersingsmaatregelen van serviceorganisaties. Deze standaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB), biedt zekerheid aan klanten dat uitbestede processen betrouwbaar en beheerst verlopen.
Er zijn twee typen: Type I beoordeelt de opzet en het bestaan van controls op een specifiek moment, terwijl Type II ook de effectieve werking over een periode (meestal 6-12 maanden) toetst. Een Type II rapport biedt daarmee een hogere mate van zekerheid.
Waarom is een ISAE 3402 rapport belangrijk?
Steeds meer organisaties besteden kritieke processen uit aan externe dienstverleners. Een ISAE 3402 rapport geeft opdrachtgevers en hun accountants zekerheid dat de serviceorganisatie adequate interne beheersingsmaatregelen heeft getroffen, met name voor processen die van invloed zijn op de financiële verslaggeving.
Daarnaast vermindert een ISAE 3402 rapport de auditlast bij klanten, versterkt het de commerciële positie van de serviceorganisatie en is het vaak een contractuele vereiste bij grotere opdrachtgevers.
Voor wie is een ISAE 3402 audit?
Salarisverwerkers
Organisaties die salarisadministratie verzorgen voor andere bedrijven en zekerheid moeten bieden over hun processen.
IT-dienstverleners
Hosting-, cloud- en managed service providers die bedrijfskritieke systemen beheren voor klanten.
Financiële dienstverleners
Administratiekantoren, trustkantoren en pensioenuitvoerders die financiële gegevens verwerken.
Facility management
Organisaties die ondersteunende bedrijfsprocessen uitvoeren namens opdrachtgevers.
Hoe werkt een ISAE 3402 audit?
Scopebepaling
De auditor stelt samen met u vast welke processen en controls in scope vallen voor de rapportage.
Beschrijving controlemaatregelen
U beschrijft uw interne beheersingsmaatregelen in een gestructureerd format dat als basis dient voor het rapport.
Testwerk (Type II)
De auditor test gedurende de auditperiode of de beschreven controls daadwerkelijk effectief werken.
Rapportage
De auditor stelt het ISAE 3402 rapport op met bevindingen en een assurance-verklaring.
Frequently asked questions about ISAE 3402 (Type I & II)
Wat is het verschil tussen ISAE 3402 Type I en Type II?
Type I beoordeelt de opzet en het bestaan van controls op één moment. Type II toetst ook de effectieve werking over een periode van minimaal 6 maanden en biedt daarmee meer zekerheid.
Hoe lang duurt een ISAE 3402 audit?
Een Type I audit duurt gemiddeld 4-8 weken. Een Type II audit beslaat een auditperiode van 6-12 maanden, met het rapportageproces van 4-6 weken daarna.
Wat kost een ISAE 3402 audit?
De kosten variëren van €15.000 tot €50.000+ afhankelijk van de scope, complexiteit en het type rapport. Een Type II is doorgaans duurder dan een Type I.
Is een ISAE 3402 verplicht?
Een ISAE 3402 is niet wettelijk verplicht, maar wordt vaak contractueel vereist door opdrachtgevers, met name in de financiële sector.
Related IT audit services
SOC 1 (Type I & II)
Independent assessment of internal controls at service organisations that affect user entities' financial reporting, in accordance with SSAE 18.
SOC 2 (Type I & II)
Assessment of the design (Type I) and operating effectiveness (Type II) of security, availability, processing integrity, confidentiality and privacy per the Trust Service Criteria.
SOC 3
Publicly available assurance report on the Trust Service Criteria, suitable for general use without confidentiality restrictions. Ideal for marketing and transparency.
ISAE 3000
Broad assurance standard for non-financial information. Used for sustainability reporting, compliance statements and other assurance engagements outside the financial audit.
Looking for a ISAE 3402 (Type I & II) specialist?
Compare auditors, read reviews and request a free quote via IT-Audit Directory.
View auditors