ISAE 3402 is een standaard voor de rapportage over de interne beheersing van een service organisatie ten behoeve van een user organisatie. Door de explosieve groei van uitbesteding door organisaties is ook de vraag naar de beheersing van deze uitbesteding toegenomen. In een ISAE 3402 rapport is een algemene beschrijving opgenomen van de beheersorganisatie en veelal een control matrix. De algemene beschrijving van de beheersorganisatie wordt bij voorkeur volgende COSO standaarden beschreven.

Het pensioenfonds valt onder toezicht van DNB en zal moeten aantonen dat deze uitbesteding goed beheerst wordt. Doordat de vermogensbeheerder een rapport opstelt waarin zij beschrijft hoe de uitbestede processen zijn beheerst kan het pensioenfonds dit aantonen.

Voorbeeld Stel een pensioenfonds besteedt haar vermogensbeheer uit.

Een dergelijk rapport heeft een Service Organization Control Report. Hiervoor bestaan verschillende standaarden; ISAE 3402 , SSAE16 (VS) en AAF 01/06 (UK). In Nederland kennen wij Standaard 3402 . Dit is een vertaling van de ISAE 3402 standaard van de International Federation of Accountants (IFAC).

Een accountant kan een type I en een type II verklaring verstrekken bij een ISAE 3402 rapport. In ISAE 3402 type I rapport wordt uitsluitend gerapporteerd over het bestaan van het control framework (de beheersmaatregelen) op één moment. In een ISAE 3402 type II rapport wordt over zowel het bestaan als de werking gerapporteerd over een periode van minimaal zes maanden.

Een dergelijk Service Organization Control Report wordt door een accountant (de service auditor) gecontroleerd. Indien een accountant (user auditor) de jaarrekening van het pensioenfonds controleert dat maakt hij gebruik van deze ISAE 3402 accountantsrapportage om vast te stellen of de uitbestede processen leiden tot een juiste en volledige verwerking in de jaarrekening van het pensioenfonds.