De ISAE 3402 kosten in kaart gebracht

Ben je een serviceorganisatie die invloed heeft op de (financiële) activiteiten van opdrachtgevers? Dan kan die opdrachtgever van je eisen dat je aantoonbaar maakt dat je de zaken met betrekking tot risicomanagement, interne beheersing en informatiebeveiliging van die activiteiten op orde hebt. Er wordt dan gevraagd om ‘assurance’. Eén van de bekendere assurance-verklaringen is ISAE 3402. Organisaties die aan de slag gaan met ISAE 3402 stellen regelmatig de vraag wat de ISAE 3402 kosten zijn die ermee gemoeid zijn? In dit blogartikel geven we een antwoord op die vraag.

ISAE 3402 staat voor International Standard on Assurance Engagements en is een auditstandaard voor rapportage over beheersing van processen die zijn uitbesteed. Wanneer we spreken over diensten met een financieel aspect (ofwel als er sprake is van een relatie met de jaarrekening van de klant), dan wordt er door opdrachtgevers gevraagd om een ISAE 3402 verklaring om aan te tonen dat deze diensten (of processen) beheerst zijn.

Wanneer je als organisatie aan de slag gaat met het behalen van een ISAE 3402 verklaring, dan zijn daar uiteraard ISAE 3402 kosten mee gemoeid. Het is in het algemeen niet precies te zeggen hoe hoog de kosten voor een dergelijk traject zijn, dit is namelijk maatwerk en hangt o.a. af van:

Wanneer je als organisatie een ISAE 3402 verklaring gaat behalen, dan kun je daarvoor een adviespartij in de arm nemen die je ondersteunt bij de implementatie. Daarbij wordt allereerst gekeken naar waar je nu staat. Welke zaken zijn al geïmplementeerd/aanwezig in je organisatie en wat moet nog helemaal opgezet worden?

Wanneer je bijvoorbeeld kiest voor CertificeringsAdvies Nederland als adviespartij, dan bepaal je vervolgens zelf de mate van begeleiding. Wij bieden zowel een coachend traject alsmede een uitvoerend traject. Bij coachend doe je veel zelf en is de adviseur veelal sturend, waar de adviseur bij een uitvoerend traject ook veel werk uit handen neemt. Uiteraard hangt aan beide vormen een ander kostenplaatje. Al deze zaken/keuzes zijn van invloed op de uiteindelijke ISAE 3402 kosten.

Wanneer je ISAE 3402 hebt ingeregeld in je organisatie, dient er toetsing plaats te vinden door een onafhankelijke partij die daartoe bevoegd is (een Certificerende Instantie). Met zo’n externe audit zijn natuurlijk ook kosten gemoeid die van invloed zijn op de totale kosten voor ISAE 3402. Het is verstandig om bij verschillende partijen offertes op te vragen, zodat je de kosten met elkaar kunt vergelijken.

Voordat je een externe audit laat uitvoeren door een CI kun je ook een interne audit uit laten voeren. Deze audit kan uitgevoerd worden door een andere partij (zoals CertificeringsAdvies Nederland). Bij de interne audit kan worden vastgesteld dat alle onderdelen die voor ISAE 3402 vereist zijn op orde zijn. De opvolging van eerdere afwijkingen en effectiviteit van de genomen maatregelen maken hier ook onderdeel van uit. Door middel van de interne audit worden de puntjes op de i gezet en heb je als organisatie de zekerheid dat je klaar bent voor de ‘echte’ audit. Na een interne audit krijg je ook een intern audit rapport aangeleverd met bevindingen. Uiteraard heeft het laten uitvoeren van een interne audit ook weer impact op de kostenstructuur.

In bovenstaand artikel is uitgelegd waar je aan moet denken bij het behalen van ISAE 3402. Alle benoemde aspecten zijn van invloed op de kostenstructuur. Wil je weten wat de exacte ISAE 3402 kosten zijn voor jouw organisatie? Neem dan gerust contact met ons op. Onze adviseur kan aan de hand van jouw informatie meer inzicht hierin geven en je alles vertellen over de mogelijkheden.