Er zijn nieuwe opdrachten voor jou als freelance specialist!

 Bekijk opdrachten
Talen
Talen
Contact
Talen
2651_meeting_brochure23.jpg

Governance, risk & compliance in de praktijk

De overgang van SAS-70 naar ISAE 3402 en de bredere familie van SOC-rapportages weerspiegelt de groeiende noodzaak voor organisaties om transparantie, betrouwbaarheid en controle aantoonbaar te borgen in hun uitbestede processen. Voor CFO’s en finance leaders gaat dit niet alleen over compliance, maar vooral over het versterken van vertrouwen bij aandeelhouders, toezichthouders en klanten – en daarmee over concurrentievoordeel.

Steens & Partners biedt hier directe meerwaarde. Dankzij ons exclusieve netwerk van freelance interim finance specialisten – variërend van risk & compliance managers tot internal auditors en IT-audit consultants – helpen wij organisaties om:

  • snel en effectief te voldoen aan ISAE 3402- en SOC-vereisten;

  • kennis en ervaring in huis te halen die direct toepasbaar is;

  • flexibel en schaalbaar capaciteit op te bouwen rond kritieke auditmomenten;

  • interne teams te versterken met structurele kennisoverdracht;

  • compliance om te zetten in strategische waardecreatie.

Onze aanpak combineert snelheid, kwaliteit en onafhankelijkheid. Waar veel organisaties ISAE- en SOC-trajecten ervaren als een zware last, maken wij er een katalysator van voor betere governance, sterkere processen en een toekomstbestendige finance-organisatie.

Met onze bewezen staat van dienst – en erkenning in de MT1000-lijst van beste interim-bureaus – positioneert Steens & Partners zich als de ideale partner voor organisaties die niet alleen aan de norm willen voldoen, maar deze ook willen benutten om hun reputatie en prestaties duurzaam te versterken.

Van SAS-70 naar ISAE 3402 en SOC-rapportages

De rol van freelance interim finance specialisten in een toekomstbestendig control framework

 

Een veranderend normenkader

De afgelopen twee decennia is de internationale standaard voor serviceorganisatie-rapportages ingrijpend veranderd. Waar in de jaren 2000 de SAS-70-verklaring (Statement on Auditing Standards No. 70) gold als dé norm voor uitbestede processen, is dit inmiddels vervangen door ISAE 3402 en de bredere familie van SOC-rapportages (System and Organization Controls).

Deze ontwikkeling weerspiegelt de groeiende complexiteit van uitbesteding, IT-gedreven bedrijfsmodellen en de behoefte van stakeholders aan transparantie, zekerheid en vertrouwen. Tegelijkertijd stelt dit CFO’s en financiële directies voor nieuwe uitdagingen: het opzetten van interne controles, governance-structuren en assurance-rapportages vraagt om specifieke kennis die vaak niet permanent in huis aanwezig is.

Hier ligt een duidelijke rol voor freelance interim finance professionals, die organisaties tijdelijk versterken met diepgaande expertise op het gebied van risk, compliance, internal control en audit.

Van SAS-70 naar ISAE 3402

SAS-70: de voorloper

SAS-70 werd in 1992 geïntroduceerd door de American Institute of Certified Public Accountants (AICPA). De standaard had tot doel om een onafhankelijke auditorverklaring te geven over de interne beheersingsmaatregelen van serviceorganisaties. Vooral IT-outsourcers, payrollproviders en datacenters maakten er gebruik van.

Beperkingen van SAS-70:

  • Focus op financiële verslaggeving, niet op bredere IT- of compliance-risico’s.

  • Geen onderscheid in type rapportages (alleen éénvormige scope).

  • Sterk Amerikaans georiënteerd, weinig aansluiting bij internationale normen.

 

ISAE 3402: de internationale opvolger

De internationale standaard ISAE 3402 (International Standard on Assurance Engagements) werd in 2011 geïntroduceerd door de IAASB. ISAE 3402 richt zich specifiek op uitbestede processen die van invloed zijn op de financiële verslaggeving van gebruikersorganisaties.

Kernpunten:

  • Twee typen rapportages:

    • Type I: beoordeling van de opzet en bestaan van interne controles.

    • Type II: beoordeling van de werking van controles over een langere periode.

  • Sterke koppeling met de jaarrekeningcontrole van de gebruikersorganisatie.

  • Aansluiting bij internationale accountingstandaarden (IFRS, US GAAP).

De verbreding: SOC-rapportages

Parallel aan ISAE 3402 introduceerde de AICPA de SOC-rapportages (System and Organization Controls). Deze rapporten dekken verschillende domeinen:

  • SOC 1: Financiële verslaggeving (vergelijkbaar met ISAE 3402).

  • SOC 2: Trust Services Criteria – beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.

  • SOC 3: Publiek toegankelijk rapport met beknopte zekerheid over controls.

Waar ISAE 3402 zich vooral richt op de financiële impact van uitbestede processen, spelen SOC 2 en SOC 3 een groeiende rol in sectoren waar IT-security en dataprivacy cruciaal zijn, zoals cloud-providers, fintechs en SaaS-bedrijven.

Relevantie voor CFO’s en Finance Leaders

Voor CFO’s, controllers en finance leaders is deze ontwikkeling meer dan een compliance-vraagstuk. Het raakt de kern van transparantie en vertrouwen in de waardeketen:

  • Aandeelhouders en toezichthouders verwachten dat risico’s in uitbestede processen aantoonbaar onder controle zijn.

  • Klanten eisen zekerheid dat hun gegevens veilig en correct worden verwerkt.

  • Externe auditors steunen steeds sterker op ISAE- en SOC-rapporten bij hun jaarrekeningcontrole.

Met andere woorden: het is een instrument om vertrouwen te borgen en toegang tot markten te behouden.

adobestock_199850553_5.jpg

De rol van freelance interim finance professionals

Het implementeren en onderhouden van ISAE 3402 of SOC-rapportages is complex en vraagt specialistische kennis. Veel organisaties hebben dit niet permanent in huis, omdat het om piekbelasting of een projectmatige behoefte gaat. Hier bieden freelance interim zzp-specialisten uitkomst.

 

Typische rollen en profielen

  • Interim Risk & Compliance Manager – inrichting van control frameworks.

  • Internal Auditor – toetsing van bestaande controls, gap-analyses.

  • Project Controller – verankering van controlmaatregelen in financiële processen.

  • IT-Audit Specialist – koppeling tussen finance en IT-systemen.

  • Reporting Consultant – vertaling van control outcomes naar ISAE/SOC-rapportages.

 

Waardecreatie

  1. Versnelling van trajecten
    Freelancers brengen direct toepasbare ervaring mee uit eerdere ISAE/SOC-projecten, waardoor organisaties sneller voldoen aan auditvereisten.

  2. Objectieve blik
    Externe specialisten signaleren blinde vlekken en zijn onafhankelijk van interne belangen.

  3. Flexibiliteit en schaalbaarheid
    Organisaties kunnen op- en afschalen afhankelijk van projectfasen en deadlines.

  4. Kennisoverdracht
    Interim professionals zorgen voor training van interne teams, zodat kennis structureel wordt geborgd.

Praktijkvoorbeeld: outsourcing in de financiële sector

Een grote Nederlandse pensioenuitvoerder besteedt IT-beheer en dataverwerking uit aan een serviceprovider. Voor de jaarrekeningcontrole is een ISAE 3402 Type II-rapport vereist.

  • Probleem: de interne auditafdeling had onvoldoende capaciteit en ervaring met ISAE-projecten.

  • Oplossing: inzet van freelance interim auditors en controllers via een gespecialiseerd bureau.

  • Resultaat: tijdige oplevering van een volledig rapport, verbeterde interne governance en een hogere mate van vertrouwen bij toezichthouder en klanten.

Governance, risk & compliance in de praktijk

De waarde van ISAE en SOC-rapportages ligt niet alleen in het ‘afvinken van de auditlijst’. Voor finance leaders bieden ze een raamwerk voor verbetering van de hele organisatie:

  • Governance: heldere rollen en verantwoordelijkheden bij uitbesteding.

  • Risk management: systematische inventarisatie en mitigatie van procesrisico’s.

  • Compliance: aantoonbare naleving van wet- en regelgeving (AVG, Basel III, Solvency II).

  • Operational excellence: beter ingerichte processen leiden tot efficiency en lagere kosten.

cfoai.jpg

Trends die de vraag versnellen

De vraag naar ISAE/SOC-rapportages en gespecialiseerde interim professionals groeit door:

  • Digitalisering: toenemende afhankelijkheid van cloud-providers en SaaS-oplossingen.

  • Cybersecurity & privacy: strengere eisen rond AVG en NIS2.

  • Toezicht & regulering: verscherpte eisen van DNB, AFM en ECB.

  • ESG & duurzaamheid: opkomst van assurance over niet-financiële informatie (CSRD).

De Steens & Partners-aanpak

Als Steens & Partners positioneren wij ons in de top van de markt voor freelance interim finance professionals. Onze meerwaarde bij ISAE 3402 en SOC-trajecten ligt in:

  • Exclusief netwerk van auditors, controllers en risk specialisten met bewezen ervaring.

  • Snelheid en kwaliteit bij het matchen van opdrachtgevers met de juiste expert.

  • Future-proof finance visie: wij koppelen compliance niet alleen aan rapportage, maar aan strategische waardecreatie en duurzame governance.

  • MT1000-erkenning: onze positie als één van de best gewaardeerde interim-bureaus in Nederland bevestigt dit onderscheid.

Conclusie: vertrouwen als concurrentievoordeel

De verschuiving van SAS-70 naar ISAE 3402 en SOC-rapportages illustreert een bredere beweging: transparantie, controle en vertrouwen zijn de kern van moderne bedrijfsvoering.

Voor CFO’s en finance leaders is het geen optie, maar een must. En juist hier bewijzen freelance interim finance specialisten hun waarde:

  • Zij brengen kennis die organisaties flexibel kunnen inzetten.

  • Zij versnellen trajecten en zorgen voor tijdige compliance.

  • Zij dragen bij aan een toekomstbestendige organisatie die vertrouwen wint bij klanten, toezichthouders en aandeelhouders.