Het is mogelijk dat een service organisatie processen uitbesteedt aan een subservice-organisatie.

Bijvoorbeeld een belegger in vastgoed besteedt het beheer van vastgoedobjecten uit een vastgoedmanager. 

Er zijn twee manieren om de subservice-processen te verwerking in een ISAE 3402-rapportage:

1) De carve-out methode. Bij een carve-out worden de beheersmaatregelen van de subservice-organisatie niet beschreven in het ISAE 3402-rapport van de service organisatie. De service-organisatie maakt een verwijzing naar de rapportage van de subservice-organisatie in haar rapport.

2) De inclusive methode. Bij de inclusive-methode beschrijft de service-organisatie alle beheersmaatregelen van de subservice-organisatie in haar eigen ISAE 3402-rapport. De service-organisatie neemt dan tevens op hoe zij deze beheersmaatregelen monitort. In het algemeen wordt de inclusive-methode eigenlijk uitsluitend toegepast in het geval van concern-relaties, waarbij de subservice-organisatie een dochtermaatschappij is van de service organisatie.

Lees meer over Risklane en ISAE 3402.