Skip to content

ISAE 3402 rapport (SOC 1)

Laat zien dat je uitbestede processen aantoonbaar beheerst met een onafhankelijk rapport.

Een ISAE 3402 rapport laat zien dat jouw organisatie grip heeft op uitbestede processen die relevant zijn voor de interne beheersing van financiële verslaggeving. In Europa heet dit ISAE 3402, internationaal ook SOC 1. Zoek je op ISAE 3402 verklaring, ISAE verklaring of SOC 1, dan gaat het in de praktijk om deze vorm van onafhankelijke toetsing en rapportage.

Vraag een offerte aan
Persoon met capuchon achter computerinstallatie als illustratie van cyberdreiging of hacking.

Voor wie is ISAE 3402 bedoeld?

Een ISAE 3402-traject is bedoeld voor serviceorganisaties die processen uitvoeren of ondersteunen die relevant zijn voor de financiële verslaggeving van hun klanten. Denk aan: 

  • Salarisverwerkers
  • Pensioen- en administratiedienstverleners
  • IT- en softwareleveranciers
  • Managed service providers
  • en andere organisaties die een belangrijke rol spelen in uitbestede financiële of IT-processen.

Voor organisaties die werken voor financiële instellingen en pensioenuitvoerders is dit extra relevant. DNB benadrukt dat financiële instellingen en pensioenfondsen activiteiten mogen uitbesteden, maar zelf verantwoordelijk blijven voor naleving van wet- en regelgeving en voor beheersing van de risico’s die daarbij horen. De Wft en de Pensioenwet vormen daarbij een belangrijk kader.

Wat houdt ISAE 3402 in?

ISAE 3402 is een internationale assurance-standaard voor rapportage over beheersmaatregelen bij een serviceorganisatie. De standaard is bedoeld voor rapportage aan gebruikersorganisaties en hun accountants over controls die relevant zijn voor de interne beheersing rond financiële verslaggeving. In de Verenigde Staten sluit dit aan op SOC 1-rapportage.

Met een ISAE 3402 rapport maak je zichtbaar dat processen niet alleen zijn beschreven, maar ook onafhankelijk zijn beoordeeld. Dat is waardevol voor klanten die afhankelijk zijn van jouw dienstverlening, voor accountants die op jouw controls moeten kunnen steunen en voor organisaties die aantoonbaar grip willen houden op outsourcing. 

 

Waarom is een ISAE 3402 rapport belangrijk?

Een ISAE 3402 rapport helpt je om vertrouwen op te bouwen bij klanten, accountants en andere stakeholders. Zeker in sectoren waar uitbesteding onder toezicht staat, kan een onafhankelijk rapport veel vragen vooraf beantwoorden en het leveranciersonderzoek versnellen. Het geeft aantoonbaar inzicht in de beheersing van uitbestede processen en ondersteunt bij eisen rond outsourcing en toezicht.

Belangrijke voordelen zijn:

  • Inzicht en zekerheid
    Een onafhankelijk rapport geeft zekerheid dat processen goed worden uitgevoerd, informatiebeveiliging op orde is en risico’s, zoals fraude, worden beheerst.
     
  • Wettelijke naleving
    Voor organisaties die vallen onder wet- en regelgeving (zoals Wft of Pensioenwet) is een ISAE 3402-rapport vaak noodzakelijk bij uitbesteding.
     

  • Internationale erkenning
    ISAE 3402 / SOC 1 is wereldwijd erkend en vergroot je geloofwaardigheid bij internationale klanten en partners.

     

Waarom wordt ISAE 3402 ook SOC 1 genoemd?

De inhoudelijke focus is hetzelfde: rapporteren over controls bij een serviceorganisatie die relevant zijn voor de financiële verslaggeving van de gebruikersorganisatie. Binnen internationale context wordt hiervoor vaak de term SOC 1 gebruikt. Daarom is het sterk om op de pagina beide termen duidelijk naast elkaar te gebruiken: ISAE 3402 voor de internationale assurance-standaard en SOC 1 als herkenbare zoekterm voor internationale klanten en accountants.

 

Wat is het verschil tussen Type 1 en Type 2?

Bij Type 1 wordt gekeken naar de opzet en inrichting van beheersmaatregelen op een specifiek moment. Bij ISAE 3402 Type 2 en SOC 1 Type 2 wordt ook beoordeeld of die maatregelen gedurende een periode effectief hebben gewerkt. Daardoor geeft een type 2-rapport meer zekerheid dan een momentopname. De officiële standaarden beschrijven dit onderscheid expliciet.

 

Wanneer kies je voor ISAE 3402 Type 2?

Een ISAE 3402 Type 2 is meestal de logische keuze als klanten, accountants of toezichthouders niet alleen willen weten hoe jouw beheersmaatregelen zijn ingericht, maar ook hoe ze in de praktijk functioneren. Een ISAE 3402 Type 2 verklaring of SOC 1 Type 2 wordt daarom vaak gevraagd in volwassen leveranciersrelaties en bij structurele uitbesteding.

 

ISAE 3402 en ISO 27001: wat is het verschil?

ISO 27001 is een norm voor informatiebeveiligingsmanagement en leidt bij positieve beoordeling tot certificering van het managementsysteem. ISAE 3402 heeft een andere insteek: daarbij ontvang je een assurance-rapport over de beheersmaatregelen van een serviceorganisatie, gericht op controls die relevant zijn voor financiële verslaggeving.

 

Wat levert een ISAE 3402 traject op?

Met een ISAE 3402-traject laat je zien dat jouw organisatie processen internationaal aantoonbaar beheerst en transparant kan onderbouwen hoe controls zijn ingericht en uitgevoerd. Dat helpt je om vragen van klanten sneller te beantwoorden, audits bij klanten te ondersteunen en jouw positie als betrouwbare dienstverlener te versterken. 

  • Zichtbare grip op processen
    Aantonen dat financiële en IT-processen veilig en gecontroleerd worden uitgevoerd.
     
  • Vertrouwen bij klanten en partners 
    Bewijs dat je dienstverlening voldoet aan internationale normen.
     
  • Ondersteuning bij wet- en regelgeving 
    Voldoen aan eisen uit o.a. de Wft en Pensioenwet.
     
  • Sterkere positie bij accountants en toezichthouders 
    Zekerheid bij jaarrekeningcontroles en toezicht van o.a. DNB en AFM.
     

  • Verbeterd risicomanagement 
    Inzicht in risico’s en mogelijkheden om processen verder te professionaliseren.

     

Hoe verloopt een ISAE 3402 audit?

Een ISAE 3402-audit start met het bepalen van de scope: welke diensten, processen, systemen en controls vallen binnen het rapport. Daarna wordt beoordeeld welke beheersdoelstellingen relevant zijn en welke documentatie en bewijslast beschikbaar zijn. Vervolgens toetst de auditor de inrichting van de controls en, bij een type 2-traject, ook de werking daarvan over een periode. De uitkomst wordt vastgelegd in een onafhankelijk rapport voor klanten, accountants en andere bevoegde gebruikers.

Voor zoekers op soc audit of soc 1 audit is dit dezelfde kern: een onafhankelijke toetsing van controls bij een serviceorganisatie, gericht op betrouwbaarheid en onderbouwing richting gebruikersorganisaties en hun accountants.

Waarom kiezen voor TÜV NORD?

  • Onafhankelijk en erkend: Audits uitgevoerd volgens internationale standaarden (IFAC).
  • Jarenlange ervaring: Expertise in financiële, IT- en informatieprocessen.
  • Efficiënt: Mogelijkheid om ISAE 3402 te combineren met andere trajecten, zoals ISO 27001
  • Internationaal vertrouwd: Zekerheid voor klanten, toezichthouders en partners wereldwijd.
  • Duidelijke rapportage en één herkenbaar aanspreekpunt binnen het traject.

Veelgestelde vragen

ISAE 3402 is een internationale assurance-standaard voor rapportage over beheersmaatregelen bij een serviceorganisatie. De standaard is bedoeld voor situaties waarin klanten en hun accountants zekerheid nodig hebben over controls die relevant zijn voor financiële verslaggeving.

Inhoudelijk is de focus hetzelfde. ISAE 3402 is de internationale assurance-standaard; SOC 1 is de benaming die veel wordt gebruikt in de Amerikaanse markt en in internationale klantrelaties. Daarom is het slim om beide termen op de pagina op te nemen.

Met een ISAE verklaring wordt meestal het onafhankelijke oordeel bedoeld dat onderdeel uitmaakt van een assurance-rapport. Op deze pagina is het beter om vooral te sturen op ISAE 3402 rapport en ISAE 3402 verklaring, zodat de inhoud juridisch en vakinhoudelijk correct blijft. Dat sluit ook aan op de huidige positionering van TÜV NORD.

Een ISAE 3402 verklaring is de uitkomst van een assurance-opdracht waarbij een onafhankelijke auditor rapporteert over de beheersmaatregelen van een serviceorganisatie. In de praktijk ontvangt de organisatie een rapport waarin het oordeel en de bevindingen zijn opgenomen. De huidige TÜV NORD-pagina maakt ook duidelijk dat het om een rapport gaat, niet om een certificaat.

  • ISAE 3402 / SOC 1: richt zich op processen met een financieel aspect, zoals salarisverwerking of jaarrekeningrapportages.
  • ISAE 3000 / SOC 2: richt zich op security en overige niet-financiële informatieprocessen.

Een ISAE 3402 Type 2 verklaring geeft niet alleen inzicht in de opzet van beheersmaatregelen, maar ook in de werking daarvan over een bepaalde periode. Daardoor geeft dit type rapport meer zekerheid dan een type 1-beoordeling. Hetzelfde principe geldt voor SOC 1 Type 2.

Een SOC audit of SOC 1 audit begint met scopebepaling en het vaststellen van relevante controls. Daarna beoordeelt de auditor de opzet van de beheersmaatregelen en, bij type 2, ook de werking over een periode. De uitkomst wordt vastgelegd in een onafhankelijk rapport dat bedoeld is voor gebruikersorganisaties en hun accountants.

Nee. Zoekers gebruiken vaak de termen ISAE 3402 certificering en ISAE certificering, maar formeel gaat het niet om certificering. Je ontvangt een ISAE 3402 rapport of ISAE 3402 verklaring als uitkomst van een assurance-opdracht. Het is daarom slim om die zoekwoorden wel op de pagina te verwerken, maar direct toe te lichten wat de juiste benaming is.

Het biedt vertrouwen richting klanten en partners, helpt te voldoen aan wettelijke eisen (zoals de Wft en Pensioenwet), verbetert risicomanagement en versterkt je internationale reputatie.

Alleen auditoren die zijn aangesloten bij de International Federation of Accountants (IFAC) mogen een ISAE 3402-rapport afgeven. TÜV NORD Nederland is een erkende en onafhankelijke partij die audits uitvoert volgens internationale standaarden en jouw organisatie helpt met een betrouwbaar en professioneel ISAE 3402 / SOC 1-rapport.

Wat is ISAE 3402?

ISAE 3402 is een internationale assurance-standaard voor rapportage over beheersmaatregelen bij een serviceorganisatie. In internationale context wordt hiervoor ook vaak de term SOC 1 gebruikt.

Toelichting
Een ISAE 3402 rapport is bedoeld voor klanten en accountants die zekerheid nodig hebben over uitbestede processen die relevant zijn voor financiële verslaggeving. Bij type 1 wordt gekeken naar de opzet van controls op een moment in de tijd. Bij ISAE 3402 Type 2 wordt ook gekeken naar de werking van die controls over een periode. Formeel gaat het om een assurance-rapport of verklaring, niet om certificering.

Medewerker van TÜV NORD zit klaar om contactvragen te beantwoorden.

Heb je een vraag over ISAE 3402?

Wil je weten of ISAE 3402, ISAE 3402 Type 2 of SOC 1 Type 2 past bij jouw dienstverlening? Of wil je bespreken hoe een SOC 1 audit eruitziet voor jouw organisatie? Neem contact op voor een heldere toelichting op scope, rapportvorm en vervolgstappen.

Stel je vraag

Ook interessant voor jou

Laptop met wachtwoordveld op het scherm als symbool voor informatiebeveiliging.

ISO 27001 certificering

ISO 27001 is de internationale norm voor informatiebeveiligingsmanagement. Met een gecertificeerd managementsysteem toon je aan dat je risico’s structureel beheerst, gegevens beschermt en voldoet aan wettelijke eisen.
Lees meer
Digitaal schild met slot, symbool voor cybersecurity en gegevensbescherming.

ISAE 3000 rapport (SOC 2)

Het ISAE 3000 / SOC 2-rapport geeft zekerheid dat uitbestede processen op het gebied van informatiebeveiliging en niet-financiële dienstverlening aantoonbaar betrouwbaar en goed ingericht zijn.
Lees meer
Medewerkster van TÜV NORD achter een laptop

ISO 22301 certificering

ISO 22301 is de internationale norm voor Business Continuity Management Systems (BCMS). Met dit certificaat bewijs je dat jouw organisatie voorbereid is op verstoringen en snel kan herstellen.
Lees meer
Inspecteur voert een veiligheidsinspectie uit in een magazijn met hoge stellingen.

Meer Keuringen en inspecties

Een keuring door TÜV NORD geeft je een onafhankelijk en objectief oordeel over de staat van jouw kraan, attractie of sporttoestel. Na afloop ontvang je snel een duidelijk keuringsrappor
Bekijk alle keuringen