Wat is ISAE 3402?
ISAE 3402 staat voor International Standard on Assurance Engagements 3402. Het is de internationale standaard voor assurancerapportages over de beheersmaatregelen bij een serviceorganisatie — een partij die namens anderen processen uitvoert. De standaard wordt uitgegeven door de International Auditing and Assurance Standards Board (IAASB), het internationale orgaan dat ook de bekende controlestandaarden voor accountants opstelt.
De kern is simpel uit te leggen. Een serviceorganisatie laat een onafhankelijke auditor onderzoeken of haar beheersmaatregelen goed zijn ingericht en effectief werken. Het resultaat is een gestandaardiseerd rapport waarmee de serviceorganisatie tegenover haar klanten kan aantonen dat zij ‘in control’ is. Eén rapport bedient zo alle klanten tegelijk, in plaats van dat elke klant afzonderlijk een audit komt uitvoeren.
Het belangrijkste kenmerk van juist ISAE 3402: de standaard is specifiek gericht op uitbestede processen die relevant zijn voor de financiële verslaggeving van de gebruikersorganisatie. Het rapport is daarmee in eerste instantie een communicatiemiddel tussen de accountant van de klant en de auditor van de serviceorganisatie. Typische voorbeelden van organisaties die een ISAE 3402-rapport laten opstellen:
- salarisverwerkers en payrollbedrijven;
- pensioenuitvoerders en pensioenadministrateurs;
- vermogensbeheerders en custodians;
- factoring- en leasemaatschappijen;
- administratiekantoren en financiële dienstverleners die boekhoudprocessen overnemen.
Waarom bestaat ISAE 3402?
Om het bestaansrecht van ISAE 3402 te begrijpen, moet je kijken naar de jaarrekeningcontrole. Wanneer een onderneming een belangrijk proces uitbesteedt — denk aan de volledige salarisadministratie — lopen er transacties en gegevens buiten de eigen organisatie om die wél in de jaarrekening terechtkomen. De accountant van die onderneming moet daar zekerheid over krijgen. In de Nederlandse controlestandaarden is dit geregeld in COS 402, over de controleoverwegingen als een entiteit gebruikmaakt van een serviceorganisatie.
De accountant heeft grofweg twee opties: zelf naar de serviceorganisatie afreizen om controles uit te voeren, of steunen op een assurancerapport dat daar al ligt. Dat tweede is veel efficiënter. ISAE 3402 standaardiseert precies zo'n rapport, zodat de accountant van de klant erop kan vertrouwen zonder zelf het wiel opnieuw uit te vinden. Voor de serviceorganisatie betekent dit dat zij niet door tientallen klant-accountants afzonderlijk wordt gecontroleerd, maar één keer per jaar een gedegen audit ondergaat.
ISAE 3402 verving in 2011 de oudere Amerikaanse SAS 70-standaard, die jarenlang als de facto wereldstandaard gold maar te beperkt was. Sindsdien is ISAE 3402 in Europa de gangbare norm voor dit type rapportage geworden.
ISAE 3402 Type I versus Type II
Net als bij SOC-rapportages kent ISAE 3402 twee varianten. Het onderscheid zit niet in de inhoud van de beheersmaatregelen, maar in wat de auditor erover toetst.
| Aspect | ISAE 3402 Type I | ISAE 3402 Type II |
|---|---|---|
| Wat wordt getoetst? | Opzet en bestaan van de beheersmaatregelen | Opzet, bestaan én werking van de beheersmaatregelen |
| Peilmoment | Eén specifiek moment (momentopname) | Een periode, doorgaans 6 tot 12 maanden |
| Mate van zekerheid | Beperkt: zijn de controls goed ontworpen? | Hoog: hebben de controls aantoonbaar gewerkt? |
| Typisch gebruik | Eerste jaar of als startpunt | De standaardvariant die klanten vragen |
In de praktijk wordt bijna altijd een Type II-rapport bedoeld als organisaties over ‘een ISAE 3402’ spreken. Een Type I laat alleen zien dat de beheersmaatregelen op één moment goed zijn opgezet, maar zegt niets over de vraag of ze het hele jaar door consistent hebben gewerkt. Juist die werking over tijd is wat de accountant van de klant nodig heeft. Een Type I wordt daarom vaak alleen ingezet in het allereerste jaar, als opstap naar een volwaardig Type II.
ISAE 3402 versus ISAE 3000
Een veelgemaakte vergissing is om ISAE 3402 en ISAE 3000 door elkaar te halen. Ze komen uit dezelfde familie van assurancestandaarden, maar hebben een verschillend toepassingsgebied. Het onderscheid is cruciaal bij het kiezen van het juiste rapport.
| Aspect | ISAE 3402 | ISAE 3000 |
|---|---|---|
| Onderwerp | Financieel relevante uitbestede processen | Niet-financiële onderwerpen |
| Voorbeelden | Salaris-, pensioen- en vermogensadministratie | Informatiebeveiliging, privacy, DigiD, duurzaamheid |
| Typische gebruiker | Financiële dienstverleners en administrateurs | Cloud-, hosting- en SaaS-leveranciers, datacenters |
| Doelgroep rapport | Vooral de accountant van de klant | Klanten die zekerheid over beveiliging willen |
De vuistregel: gaat het om processen die de cijfers in de jaarrekening raken, dan is ISAE 3402 het juiste kader. Gaat het om de beveiliging van klantgegevens, de werking van een cloudplatform of de naleving van de privacywetgeving, dan is ISAE 3000 passender. Een SaaS-leverancier die wil aantonen dat zijn beveiliging op orde is, kiest dus voor ISAE 3000 (of voor SOC 2), niet voor ISAE 3402. Beide standaarden kennen overigens een Type I en Type II met dezelfde betekenis als hierboven.
Op zoek naar een baan in IT audit of assurance?
Professionals die assurancerapportages zoals ISAE 3402, ISAE 3000 en SOC kunnen opstellen en beoordelen zijn schaars en zeer gewild. Bekijk de nieuwste vacatures in IT audit en assurance in Nederland.
Bekijk IT Audit VacaturesISAE 3402, SOC 1, SOC 2 en ISO 27001 naast elkaar
Rondom assurance zwerven veel afkortingen die makkelijk verwarren. Onderstaande tabel zet de vier meest voorkomende kaders naast elkaar, zodat je in één oogopslag ziet waar elk voor bedoeld is.
| Kader | Waar gaat het over? | Uitgevende instantie |
|---|---|---|
| ISAE 3402 / SOC 1 | Beheersmaatregelen rond financieel relevante uitbestede processen | IAASB (ISAE) / AICPA (SOC) |
| SOC 2 | Beveiliging, beschikbaarheid en privacy (Trust Services Criteria) | AICPA |
| ISAE 3000 | Brede assurance over niet-financiële onderwerpen | IAASB |
| ISO 27001 | Certificeerbaar managementsysteem voor informatiebeveiliging | ISO |
Het fundamentele verschil zit hem in de aard van de uitkomst. ISO 27001 levert een certificaat: je voldoet aan de norm of niet. ISAE 3402, ISAE 3000 en SOC leveren een assurancerapport met een onafhankelijk oordeel én de onderliggende bevindingen, inclusief de feitelijke testresultaten per beheersmaatregel. Daardoor kan een lezer zelf beoordelen of de beheersing toereikend is voor zijn situatie. ISAE 3402 en SOC 1 zijn functioneel sterk gelijkwaardig; het verschil is vooral geografisch (ISAE is internationaal/Europees, SOC is Amerikaans).
Hoe is een ISAE 3402-rapport opgebouwd?
Een ISAE 3402-rapport volgt een vaste structuur. Wie als IT compliance auditor of accountant met deze rapporten werkt, herkent steeds dezelfde onderdelen:
- De assuranceverklaring van de auditor — het onafhankelijke oordeel over opzet en (bij Type II) werking.
- De systeembeschrijving van het management — de serviceorganisatie beschrijft zelf de uitgevoerde processen en de ingerichte beheersmaatregelen.
- De beheersdoelstellingen (control objectives) en beheersmaatregelen — per doelstelling welke controls zijn ingericht.
- De testwerkzaamheden en resultaten — bij Type II: welke tests de auditor heeft uitgevoerd en met welke uitkomst (inclusief eventuele afwijkingen).
- De complementary user entity controls (CUEC) — de beheersmaatregelen die de klant zélf moet treffen om het geheel sluitend te maken.
Dat laatste onderdeel verdient extra aandacht. Complementary user entity controls, ook wel user control considerations genoemd, zijn de aannames die de serviceorganisatie doet over de controles bij de klant. Een payrollverwerker gaat er bijvoorbeeld van uit dat de klant zelf de aangeleverde mutaties controleert. Werken die controls bij de klant níet, dan is de keten alsnog niet betrouwbaar — ook al is het rapport van de serviceorganisatie schoon. Voor de accountant van de klant zijn de CUEC's daarom een onmisbaar leespunt.
Carve-out versus inclusive methode
Serviceorganisaties besteden zélf vaak ook weer delen uit, bijvoorbeeld aan een datacenter of een onderaannemer (een subserviceorganisatie). De vraag is dan: nemen we die partij mee in het rapport of niet? ISAE 3402 kent hiervoor twee methoden.
| Methode | Wat houdt het in? |
|---|---|
| Carve-out | De subserviceorganisatie valt buiten de scope van het rapport. De beheersmaatregelen daar worden niet getoetst, maar wel benoemd. De klant moet zelf zekerheid over die partij regelen (vaak via een apart rapport). |
| Inclusive | De subserviceorganisatie wordt volledig meegenomen in scope. De beheersmaatregelen daar worden óók beschreven en getoetst, waardoor één rapport de hele keten dekt. |
De carve-out methode is in de praktijk veruit het meest gebruikt, omdat een subserviceorganisatie meestal zelf al een eigen assurancerapport heeft. De inclusive methode geeft een completer beeld, maar vraagt medewerking van de onderaannemer en meer auditwerk. Voor de lezer van het rapport is het essentieel om te zien wélke methode is toegepast: bij carve-out blijft er immers een stuk van de keten buiten beeld waarvoor aanvullende zekerheid nodig kan zijn.
Wie mag een ISAE 3402-rapport afgeven?
Een ISAE 3402-rapport is geen document dat je zelf opstelt; het wordt afgegeven door een onafhankelijke, gekwalificeerde auditor. In Nederland bestaan er twee nationale uitwerkingen van de internationale standaard, elk met een eigen beroepsgroep:
- Standaard 3402 — de uitwerking van de NBA (de beroepsorganisatie van accountants, de RA's).
- Richtlijn 3402 — de uitwerking van de NOREA (de beroepsorganisatie van IT-auditors, de Register EDP-auditors of RE's).
Dit is voor de carrière van een IT-auditor een belangrijk gegeven. Met de komst van ISAE 3402 kreeg de Register EDP-auditor (RE) formeel tekenbevoegdheid voor dit type assurancerapport, onder bepaalde voorwaarden. Daarmee is het opstellen en ondertekenen van assurancerapportages niet langer voorbehouden aan de registeraccountant. Voor veel IT-auditors is dit een van de aantrekkelijkste en hoogwaardigste onderdelen van het vak: het combineren van diepgaande IT-kennis met formele oordeelsvorming.
Hoe verloopt een ISAE 3402-traject?
Het opzetten van een eerste ISAE 3402-rapportage lijkt sterk op een ISO 27001-traject, met als groot verschil dat het eindresultaat een rapport is in plaats van een certificaat. Globaal ziet het traject er zo uit:
| Fase | Activiteit |
|---|---|
| 1. Scoping | Bepalen welke uitbestede processen en systemen onder het rapport vallen |
| 2. Beheersdoelstellingen | Vaststellen van de control objectives en bijbehorende beheersmaatregelen |
| 3. Gap-analyse | In kaart brengen waar de huidige beheersing tekortschiet |
| 4. Implementatie | Inrichten en aantoonbaar maken van de ontbrekende controls |
| 5. Type I-rapport | Optionele momentopname van opzet en bestaan (vaak in jaar 1) |
| 6. Type II-rapport | Toetsing van de werking over een periode van 6 tot 12 maanden |
| 7. Jaarlijkse herhaling | Elk jaar een nieuw Type II-rapport zodat de zekerheid actueel blijft |
Anders dan bij een ISO-certificaat, dat drie jaar geldig is met tussentijdse controles, wordt een ISAE 3402 Type II-rapport in principe elk jaar opnieuw opgesteld. Klanten en hun accountants willen immers zekerheid over de periode die samenvalt met hun eigen boekjaar.
Wat ISAE 3402 betekent voor jouw carrière
Uitbesteding neemt al jaren toe en daarmee groeit de behoefte aan onafhankelijke zekerheid over uitbestede processen. Dat maakt assurance tot een stabiel en goed betaald werkveld binnen de IT-audit. Kennis van ISAE 3402 — en van de bredere assurancefamilie — is daarbij een waardevolle specialisatie. De standaard raakt onder meer de volgende functies:
- IT auditor en EDP-auditor (RE): stelt assurancerapportages op of toetst ze, vaak met tekenbevoegdheid;
- IT compliance auditor: bewaakt of de organisatie blijvend aan de beheersdoelstellingen voldoet;
- Accountant (RA) en assurance-specialist: beoordeelt of op een ISAE 3402-rapport gesteund kan worden in de jaarrekeningcontrole;
- GRC- en risk-professionals: verbinden ISAE 3402 met andere kaders zoals SOC, ISO 27001 en interne risicobeheersing.
Wil je je in deze richting ontwikkelen, dan vormt een gedegen auditbasis het startpunt. De CISA certificering is wereldwijd de toonaangevende kwalificatie voor IT-auditors, en de RE-titel via NOREA is in Nederland de route naar tekenbevoegdheid voor assurancerapportages. Combineer je die kwalificaties met praktijkervaring in IT assurance, dan beschik je over een profiel dat schaars en gewild is — van de Big Four tot de interne auditafdelingen van banken, verzekeraars en pensioenuitvoerders. Benieuwd hoe de beloning zich ontwikkelt? Lees dan ook onze salaristrends voor 2026.