ISAE 3402 in 2026: waarom het geen vinkje meer is

ISAE 3402 in 2026: waarom het geen vinkje meer is

Veel organisaties zien een ISAE 3402-rapport nog steeds als iets dat je “even regelt”. Omdat klanten ernaar vragen. Omdat het moet. Maar als je kijkt naar wat er nu in de markt gebeurt, merk je dat die rol echt aan het verschuiven is. Waar ISAE 3402 vroeger vooral een bewijsstuk was voor de buitenwereld, is het nu veel meer een graadmeter geworden voor hoe goed je organisatie écht in control is. En precies daar gaat het vaak mis. Want wat op papier klopt, werkt in de praktijk lang niet altijd zo.

Wat ISAE 3402 vandaag echt betekent

In de basis verandert er weinig. Een auditor kijkt nog steeds of je beheersmaatregelen goed zijn ingericht en, bij Type II, ook daadwerkelijk werken over een langere periode. Wat wel veranderd is, is hoe er naar dat rapport gekeken wordt. “Wij hebben een ISAE” is simpelweg niet meer genoeg. Klanten en accountants lezen mee, stellen vragen en zoomen in op afwijkingen en keuzes die je hebt gemaakt. Het rapport is daarmee geen eindpunt meer, maar het begin van een gesprek. Over betrouwbaarheid. Over risico’s. Over de vraag of je organisatie echt staat.

Type I en Type II: op papier simpel, in de praktijk een wereld van verschil

Het verschil lijkt overzichtelijk. Een Type I laat zien of alles goed is ingericht op een bepaald moment. Een Type II gaat een stap verder en kijkt of het ook echt werkt over een langere periode. In de praktijk is dat verschil veel groter dan het klinkt. Een Type I kun je nog redelijk voorbereiden richting een auditmoment. Bij een Type II werkt dat niet zo. Dan moet je laten zien dat processen het hele jaar door kloppen. Dat controles niet alleen bedacht zijn, maar ook echt worden uitgevoerd en vastgelegd. En daar zie je dat veel organisaties de omslag moeten maken.

Van auditmoment naar continu in control

De grootste verandering zit misschien wel hier. ISAE 3402 is geen jaarlijks project meer dat je even oppakt. Klanten verwachten dat je continu in control bent. Niet alleen op het moment dat het rapport wordt opgeleverd, maar het hele jaar door. Dat vraagt een andere manier van werken. Bewijs leg je vast op het moment dat het gebeurt. Afwijkingen zie je eerder en los je eerder op. Processen moeten structureel kloppen, niet alleen richting een audit. Organisaties die dat goed neerzetten, merken dat meteen. Meer rust, minder verrassingen en minder herstelwerk achteraf. De rest blijft vaak achter de feiten aanlopen.

Een bredere toepassing en hogere verwachtingen

Wat je daarnaast ziet, is dat ISAE 3402 steeds breder wordt ingezet. Waar het vroeger vooral financieel gedreven was, gebruiken veel IT- en SaaS-organisaties het nu als breder bewijs richting klanten. Ook voor operationele processen en soms zelfs richting security. Dat maakt het rapport relevanter, maar ook complexer. De scope wordt groter en verwachtingen nemen toe. De vraag wat er wel en niet onder valt, wordt belangrijker. Niet alleen voor de auditor, maar juist voor de klant die erop moet kunnen vertrouwen.

Daarom zie je ook vaker combinaties met ISO 27001 of SOC 2. Niet omdat het verplicht is, maar omdat één rapport vaak niet meer voldoende is om het hele verhaal te vertellen.

Waar het in de praktijk wringt

Het zit zelden in grote strategische keuzes. Het zit juist in de uitvoering. Controls zijn te algemeen. Bewijs is er wel, maar niet volledig of niet consistent. En verantwoordelijkheden zijn niet scherp belegd, waardoor eigenaarschap ontbreekt. Op zichzelf lijken dat kleine dingen, maar bij elkaar worden ze zichtbaar. En dat is precies wat een audit blootlegt.

Wat dit concreet betekent

ISAE 3402 raakt steeds meer de kern van je organisatie. Het gaat niet alleen over compliance, maar over vertrouwen. Over de vraag of klanten op je kunnen bouwen, ook als processen complexer worden en afhankelijkheden toenemen. Organisaties die ISAE 3402 blijven zien als een verplicht nummer, blijven vaak hangen in herstelwerk. Organisaties die het onderdeel maken van hun manier van werken, bouwen aan rust, voorspelbaarheid en geloofwaardigheid.

Tot slot

Het verschil is eigenlijk heel simpel. Een ISAE 3402-rapport laat niet meer alleen zien dát je iets hebt ingericht. Het laat zien of het ook echt werkt. En dat verschil wordt steeds zichtbaarder.

Benieuwd waar jullie echt staan, op papier én in de praktijk? We kijken graag met je mee. Gewoon praktisch, scherp en zonder gedoe. Neem contact met ons op.