ISAE 3402 (Estándar internacional sobre encargos de aseguramiento n ° 3402) es un estándar implementado en15 de junio de 2011 permitir a los usuarios de servicios subcontratados obtener garantías sobre la fiabilidad del sistema de control interno de sus servicios.
Suele convertirse en el nuevo estándar internacional en materia de riesgos y subcontratación de servicios, sustituyendo al estándar SAS 70 de origen americano.
Esta norma fue desarrollada por el AICPA (Instituto Americano de Contadores Públicos Certificados) y luego recomendada por dos grandes organizaciones internacionales: IAASB (Junta Internacional de Normas de Auditoría y Aseguramiento) e IFAC (Federación Internacional de Contadores).
Hay dos tipos de niveles de control:
ISAE 3402 no es una certificación, los documentos oficiales de ISAE3402 definen los objetivos de ISAE3402 como:
El informe ISAE 3402 a menudo se proporciona a SOX u otros auditores de una empresa para permitirles tener una seguridad razonable sobre los controles llevados a cabo en una sucursal de una empresa o en un proveedor para evitar que los auditores auditen esta parte del sistema de información de la empresa. .
Una de las razones de este desarrollo es que no existía un estándar internacional para este tipo de control. El estándar SAS 70 fue el más utilizado a nivel internacional pero, no obstante, fue un estándar estadounidense.
Debido a la crisis de confianza que está perturbando el sistema económico y al aumento de la externalización de la actividad, el desarrollo de las relaciones de seguros ha crecido de manera constante en los últimos años.
Los informes de seguros proporcionados por ISAE 3402 permiten a las empresas que subcontratan garantizar constantemente la confiabilidad de sus proveedores de servicios.
Los proveedores de servicios que alojan y procesan los datos de sus clientes deben proporcionar garantías satisfactorias, en particular en las siguientes áreas:
El cambio esencial con el estándar SAS 70 radica en la obligación, para el proveedor de servicios, de desarrollar procedimientos que le permitan monitorear y evaluar sus controles. Posteriormente, se debe producir un informe de los procedimientos. Para describir esta obligación, la dirección de la empresa (nivel de dirección general) debe redactar un documento titulado "Afirmación de la Organización de Servicios" y que constituye el apartado 2 del informe.
Podemos distinguir 4 fases representadas en el siguiente diagrama:
Las ventajas de ISAE 3402 son de varios tipos:
Las desventajas de ISAE 3402 también son numerosas: