ISAE 3402 (Międzynarodowy standard usług atestacyjnych nr 3402) jest standardem wdrożonym w15 czerwca 2011 umożliwienie użytkownikom usług zleconych na zewnątrz uzyskanie pewności co do rzetelności systemu kontroli wewnętrznej ich usług.
Ma tendencję do stawania się nowym międzynarodowym standardem w dziedzinie ryzyka i outsourcingu usług, zastępując standard SAS 70 pochodzenia amerykańskiego.
Standard ten został opracowany przez AICPA (American Institute of Certified Public Accountants), a następnie zalecany przez dwie duże organizacje międzynarodowe: IAASB (International Auditing and Assurance Standards Board) oraz IFAC (International Federation of Accountants).
Istnieją dwa rodzaje poziomów kontroli:
ISAE 3402 nie jest certyfikacją, oficjalne dokumenty ISAE3402 definiują cele ISAE3402 jako:
Raport ISAE 3402 jest często dostarczany do SOX lub innych audytorów przedsiębiorstwa, aby umożliwić im uzyskanie wystarczającej pewności co do kontroli przeprowadzanych w oddziale firmy lub u dostawcy, aby uniknąć audytorów do przeprowadzenia audytu tej części systemu informacyjnego przedsiębiorstwa .
Jednym z powodów takiego rozwoju jest brak międzynarodowego standardu dla tego typu kontroli. Standard SAS 70 był najczęściej stosowanym na świecie, ale mimo to był standardem amerykańskim.
W związku z kryzysem zaufania, który zaburza system gospodarczy oraz wzrostem outsourcingu działalności, w ostatnich latach nastąpił systematyczny rozwój relacji ubezpieczeniowych.
Raporty ubezpieczeniowe dostarczane przez ISAE 3402 pozwalają firmom korzystającym z outsourcingu stale zapewniać niezawodność swoich usługodawców.
Usługodawcy, którzy przechowują i przetwarzają dane swoich klientów, muszą przedstawić satysfakcjonujące gwarancje, w szczególności w następujących obszarach:
Zasadnicza zmiana w stosunku do standardu SAS 70 polega na zobowiązaniu usługodawcy do opracowania procedur, które umożliwią mu monitorowanie i ocenę swoich kontroli. Następnie należy sporządzić sprawozdanie z procedur. Aby opisać to zobowiązanie, kierownictwo przedsiębiorstwa (ogólny szczebel kierowniczy) musi napisać dokument zatytułowany „Oświadczenie organizacji usługowej”, który stanowi część 2 raportu.
Możemy wyróżnić 4 fazy przedstawione na poniższym schemacie:
Zalety ISAE 3402 są kilku typów:
Wady ISAE 3402 są również liczne: