ISAE 3402 (International Standard on Assurance Engagements n ° 3402) er en standard implementert på15. juni 2011 slik at brukere av outsourcede tjenester kan oppnå sikkerhet for påliteligheten av det interne kontrollsystemet for deres tjenester.
Det har en tendens til å bli den nye internasjonale standarden innen risiko og outsourcing av tjenester, og erstatter SAS 70- standarden av amerikansk opprinnelse.
Denne standarden ble utviklet av AICPA (American Institute of Certified Public Accountants) og ble deretter anbefalt av to store internasjonale organisasjoner: IAASB (International Auditing and Assurance Standards Board) og IFAC (International Federation of Accountants).
Det er to typer kontrollnivåer:
ISAE 3402 er ikke en sertifisering, de offisielle dokumentene til ISAE3402 definerer målene for ISAE3402 som:
ISAE 3402-rapporten blir ofte levert til SOX eller andre revisorer i et selskap for å tillate dem å ha rimelig sikkerhet for kontrollene som utføres i en filial av et selskap eller hos en leverandør for å unngå at revisorene reviderer denne delen av selskapets informasjonssystem. .
En av årsakene til denne utviklingen er at det ikke var noen internasjonal standard for denne typen kontroll. SAS 70-standarden var den mest brukte internasjonalt, men var likevel en amerikansk standard.
På grunn av tillitskrisen som forstyrrer det økonomiske systemet og økningen i outsourcing av aktivitet, har utviklingen av forsikringsforhold vokst jevnt og trutt de siste årene.
Forsikringsrapportene fra ISAE 3402 gjør det mulig for selskaper som outsourcer å kontinuerlig sikre påliteligheten til sine tjenesteleverandører.
Tjenesteleverandører som er vert for og behandler kundenes data, må gi tilfredsstillende garantier, særlig på følgende områder:
Den vesentlige endringen med SAS 70- standarden ligger i forpliktelsen for tjenesteleverandøren å utvikle prosedyrer som gjør det mulig for dem å overvåke og evaluere sine kontroller. Deretter må det utarbeides en rapport om prosedyrene. For å beskrive denne forpliktelsen, må ledelsen i selskapet (generelt ledernivå) skrive et dokument med tittelen "Påstand fra tjenesteorganisasjonen" og som utgjør del 2 i rapporten.
Vi kan skille mellom fire faser representert i diagrammet nedenfor:
Fordelene med ISAE 3402 er av flere typer:
Ulempene med ISAE 3402 er også mange: