Skip to content
menu-toggle
menu-close

ISAE 3402

Vi ønsker å forsikre våre brukere om at vår Software as a Service-løsning (SaaS) fullt ut overholder kravene i den europeiske personvernforordningen (GDPR) og god IT-praksis.

 

ISAE 3402, som står for "International Standard on Assurance Engagements 3402", er en global attestasjonsstandard utviklet av International Auditing and Assurance Standards Board (IAASB). Den er spesielt utformet for serviceorganisasjoner som skal gi kundene og interessentene sine sikkerhet for effektiviteten av kontrollene over finansiell rapportering.

Hovedformålet med ISAE 3402 er å gi brukere av utkontrakterte tjenester tillit til kontrollene som er implementert av en serviceorganisasjon som er relevante for deres finansielle rapportering. Dette er spesielt viktig når en serviceorganisasjon utfører aktiviteter som er kritiske for den finansielle rapporteringen til sine kunder eller brukerenheter.

De viktigste funksjonene i ISAE 3402 inkluderer

Service Organization Control (SOC) rapporter: Standarden krever at serviceorganisasjoner utarbeider en SOC 1-rapport, som gir detaljert informasjon om utformingen og effektiviteten av deres interne kontroller over finansiell rapportering.

Type I og Type II rapporter:

  • Type I rapport: Denne rapporten evaluerer hensiktsmessigheten av kontrollutformingen på et bestemt tidspunkt.
  • Type II rapport: Denne rapporten vurderer ikke bare utformingen, men også den operasjonelle effektiviteten av kontrollene over en spesifisert periode.

Omfang og kriterier: ISAE 3402 beskriver kriteriene som serviceorganisasjoner må oppfylle, og den fastsetter omfanget av undersøkelsen, noe som sikrer et konsistent og sammenlignbart grunnlag for rapportering.

Uavhengig revisor: Undersøkelsen og rapporteringen utføres av en uavhengig revisor (ofte et eksternt revisjonsselskap) som avgir en uttalelse om kontrollenes effektivitet.


ISAE 3402 brukes ofte i situasjoner der en serviceorganisasjon er betrodd kritiske økonomiprosesser, og brukerenhetene trenger sikkerhet for at hensiktsmessige kontroller er på plass. Den er spesielt relevant i utkontrakteringsscenarioer, for eksempel når et selskap er avhengig av en tredjeparts tjenesteleverandør for viktige finansielle funksjoner som lønnsbehandling eller datahosting.

Addo Sign er ISO 27001:2023-sertifisert av Grant Thornton. Denne sertifiseringen viser at vi har etablert, implementert, vedlikeholdt og kontinuerlig forbedret vårt styringssystem for informasjonssikkerhet. Vi gjennomgår årlige revisjoner for å sikre vår forpliktelse til informasjonssikkerhet og for å opprettholde sertifiseringen.

Les hele rapporten her: ISAE 3402 rapport 

ISAE3402_2023_black