Outsourcing staat gelijk aan risico. Het is belangrijk om te achterhalen hoe leveranciers omgaan met informatiebeveiliging, privacy maar ook bijvoorbeeld welke voorkennis zij bezitten. Daarbij, focussen pensioenfondsen op hun competenties; het uitvoeren van pensioenregelingen en besteden vermogensbeheer uit. Een belangrijk risico is bijvoorbeeld frontrunning.  Dit is het risico dat een vermogensbeheerder aandelen aankoopt voor het moment dat een order worden uitgevoerd voor een pensioenfonds. De vermogensbeheerder profiteert van deze koersstijging. De Nederlandsche Bank eist zekerheid over dit soort risico's van pensioenfondsen.

De Nederlandse bank besefte dat door de toegenomen outsourcing van vermogensbeheerders risico’s zoals frontrunning belangrijker werden en wilde dit risico inperken. De Nederlandse bank heeft daarom de Beleidsregel Uitbesteding uitgevaardigd. In de Beleidsregel Uitbesteding was opgenomen dat indien vermogensbeheer uitbesteed werd door een pensioenfonds, dat het betreffende fonds eindverantwoordelijk bleef voor de risico’s en moest kunnen aantonen dat deze risico’s effectief beheerst werden. De beleidsregel uitbesteding is later opgenomen in de PensioenWet. Vanuit de pensioensector is destijds besloten om de SAS70 standaard te gebruiken om meer zekerheid te krijgen over het uitbestedingsrisico.

De SAS 70assurance standaard uit de VS (1992) was destijds de basis voor rapportage over uitbestedingsrisico's naar pensioenfondsen. Een dergelijke rapportage wordt een Service Organization Control Report genoemd (SOC). Hierin is opgenomen wat het totale risico management framework is, welke beheersmaatregelen de organisatie heeft ingericht. Een onafhankelijke Service Auditor; een certified professional accountant (CPA) of een register accountant (RA) in Nederland.  Naast het feit dat deze standaard al relatief gedateerd was, was een nog een praktisch probleem. Een probleem van de SAS 70 standaard was dat de standaard uit de Verenigde Staten kwam. Daarom was een nieuwe internationale standaard nodig (ISAE 3402).

Indien een partij en een service auditor een juridisch geschil zouden hebben, dan zou een Nederlandse rechter kunnen beslissen om het geschil niet in een Nederland te laten behandelen, maar in de Verenigde Staten. Dit zou zodanig veel praktisch problemen met zich kunnen brengen dat besloten is om een internationale standaard te ontwikkelen; de ISAE 3402 standaard. De ISAE 3402 standaard is door de International Foundation for Accountants (IFAC) in 2011 uitgegeven en is van toepassing op alle landen, wereldwijd, behalve de Verenigde staten. Een belangrijk verschil tussen de SAS 70 standaard en ISAE 3402 was dat het management expliciet zijn verantwoordelijkheid moest bevestigen in de SOC.

In de Verenigde Staten werd de SAS 70 standaard vervangen door SSAE 16 in 2011. In de Verenigde Staten nam de vraag naar outsourcing van vermogensbeheer en IT services toe. De SSAE 16 standaard was in principe alleen voor financiële outsourcing, het toetsingskader was de jaarrekening van de serviceorganisatie (de organisatie die uitbesteedt). Organisaties die IT processen uitbesteedden die niet direct effect hadden op de jaarrekening wilden ook meer zekerheid over risico’s en security van deze processen. Daarom is in de Verenigde Staten ook een standaard uitgegeven die zich niet alleen richtte op financiele risico's; de SOC 2 standaard.

De SSAE 18 SOC 1 richt zich op (financiële uitbesteding), de SSAE 18 SOC 2 standaard richt zich op Trust Service Principles die later overgegaan zijn in de Trust Service Criteria.  De Trust Service Criteria, zijn criteria voor security, availability, privacy, confidentiality en processing integrity. De Trust Service Criteria komen voor een belangrijk deel overeen met de General IT Controls; maatregelen die een organisatie inricht om haar informatiebeveiliging te waarborgen. Deze General IT Controls (GITC) zijn controls ten aanzien business continuity, change management, incident management en data integrity.