Indien u ISAE 3402-gecertificeerd wilt worden dan dient u over een ISAE 3402 rapport te beschikken. Dit rapport moet u door een accountant laten controleren. Deze accountant verstrekt dan een mededeling bij de rapportage. Dit rapport moet conform de ISAE 3402-richtlijn worden beschreven en alle processen moeten 'controleerbaar' zijn, dat betekent veelal dat u meer zult moeten vastleggen dan voorheen.
Door de uitbestedingstendens; veel organisatie focussen zich op hun 'core'-activiteiten en besteden overige processen uit. Door afname van het vertrouwen in de markt neemt de vraag naar zekerheid hierover toe.
Een ISAE 3402-rapport wordt gecontroleerd door een accountant. Op het moment dat dit rapport is beschreven conform de normen die bekend zijn voor accountants; in 'accountants-taal' dan zal dit het proces ten goede komen. Op het moment dat u (of een medewerker) een enigszins gerelateerde achtergrond hebt, dan kunt u dit rapport zelf opstellen. Er zijn gespecialiseerde bedrijven die u kunnen ondersteunen bij het opstellen van dit rapport en eventueel het audit-proces voor u begeleiden.
Indien u processen 'inbesteed', dus de uitbestede processen verzorgt voor een partij en deze processen hebben effect op de jaarrekening van uw opdrachtgever dan is het veelal voor u wel efficiƫnt om over ISAE 3402 rapport te beschikken. Daarnaast zijn er organisaties die onder toezicht staan van bijvoorbeeld DNB of de AFM en die moeten aantonen dat de uitbesteding beheerst wordt. In een dergelijk geval is een ISAE 3402 rapport zeker aan te bevelen.
ISAE 3402 is de internationale standaard voor (beheersing van) uitbesteding. In (internationale) aanbestedingstrajecten wordt vaak een ISAE 3402-certificering als vereiste gesteld. Daarnaast zal uw opdrachtgever niet meer haar eigen auditors bij u laten controleren en op uw rapport 'steunen'.
Ja, in principe wel. Het is vereist dat aspecten van het control framework zoals het informatiesysteem worden opgenomen in het ISAE 3403-rapport (ref. ISAE3402.16).
Dit is een voorbeeld van de Nederlandse practice. In principe schrijft de ISAE 3402 standaard voor dat een deelwaarneming dient te worden genomen die zorgt draagt voor een reductie van het risico tot een redelijk niveau. In Nederland is hiervoor de PCAOB-4 standaard gebruikt, daarin is bijvoorbeeld opgenomen dat voor een dagelijkse control 25 deelwaarnemingen dienen te worden genomen en voor een maandelijkse control 12 deelwaarnemingen. De ISAE 3402 standaard kent deze gespecificeerde voorschriften niet.
Indien een service organisatie processen uitbesteed dan is sprake van uitbesteding door de uitbesteder; een sub-service organisatie. Een voorbeeld hiervan is een credit management organisatie die gebruik maakt van een ASP-provider. De service organisatie kan dan kiezen om een 'carve-out' toe te passen en te verwijzen naar het ISAE 3402-rapport van de sub-service organisatie of gebruik te maken van de 'inclusive methode' waarbij de processen van de sub-service organisatie beschreven worden in het rapport van de service organisatie.
Dit is een vrij 'semantische'-discussie; feitelijk is het geen certificaat. Een ISAE 3402-rapport bestaat uit een Service Organization Control Report en een assurance rapport van een accountant hierbij. In het spraakgebruik wordt veelal gesproken over een certificering, daarom sluit de stichting Corporate Governance zich hierbij aan.