ISAE 3402
ISAE 3402 er den internationale assurance-standard for rapportering om kontroller hos en service-organisation. Det er SOC 1-ækvivalenten der bruges uden for USA, og bliver typisk krævet når en service-organisation behandler data der påvirker kundernes finansielle rapportering.
Europæiske enterprise-indkøbsteams beder specifikt om ISAE 3402, fordi det er den standard deres revisorer tester imod. En SOC 1-rapport er ikke altid nok. Valget mellem Type I og Type II er afgørende: Type I er et øjebliksbillede af kontroldesign; Type II tester driftens effektivitet over seks til tolv måneder og er det som store kunder reelt accepterer. ISAE 3402 er ikke på den offentliggjorte rammeværks-katalog hos de fleste US-byggede GRC-platforme.
Definitioner
Praktiske guides
When customers ask for an ISAE 3402 report
European enterprise customers ask for an ISAE 3402 report when your service could materially affect their financial statements. Common triggers include payroll, hosted accounting, transaction processing, fund administration, claims handling, and custody services.
ISAE 3402 evidence collection: what auditors actually test
ISAE 3402 evidence breaks into three categories: walkthrough evidence (the auditor confirms the control exists), detailed testing (samples drawn from the population), and inquiry plus corroboration. The mix determines audit hours and the strength of the resulting opinion.