Organisaties vertrouwen steeds vaker op externe dienstverleners (serviceorganisaties) voor cruciale processen zoals het IT-beheer, de dataverwerking en de financiële administratie. Klanten, auditors en toezichthouders verwachten daarbij aantoonbare zekerheid over de kwaliteit van de interne beheersing.
Een ISAE 3402/SOC 1 audit richt zich op de interne controles van een organisatie die (direct of indirect) invloed hebben op de financiële administratie van haar klanten. Het geeft inzicht in hoe financiële processen ondersteund door IT zijn ingericht, uitgevoerd en bewaakt, zodat klanten erop kunnen vertrouwen dat hun gegevens juist en betrouwbaar worden verwerkt.
Deze audits bieden een objectieve beoordeling van de effectiviteit van de interne controles, wat belangrijk is voor zowel klanten, toezichthouders als externe auditors.
De resultaten van deze audits worden opgenomen in assurance-rapportages. Hierin wordt onderscheid gemaakt in een Type 1 en een Type 2 rapportage:
Type I audit: Beoordeelt of de interne beheersingsmaatregelen op een bepaald moment adequaat zijn ontworpen en aanwezig zijn (opzet en bestaan).
Type II audit: Gaat verder en toetst ook of deze maatregelen effectief hebben gewerkt gedurende een bepaalde periode (werking).
