Skip to main content
ISAE 3402 Type I of ISAE 3402 Type II?

ISAE 3402 Type I of Type II?

Er zijn twee soorten ISAE 3402 rapportages; een type I rapport en een type II rapport. Inhoudelijk zijn beide typen rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet) en bestaan op één bepaald moment. Om dit vast te stellen 'loopt' de accountant processen door. Deze controles worden lijncontroles genoemd. Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook daadwerkelijk effectief gewerkt hebben. Een type I rapportage heeft betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.

Meer zekerheid

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.

Verplichte onderdelen

Een ISAE 3402 rapportage is relatief 'vormvrij'. De standaard schrijft onder andere voor dat risk management ingericht moet zijn, dat de IT infrastructuur beheerst moet worden en dat het risicomanagementsysteem effectief gemonitord moet worden. In een ISAE 3402 rapportage moeten een aantal onderdelen verplicht opgenomen worden;(1) een beschrijving van het interne controle raamwerk, (2) een bevestiging van de service organisatie en (3) een service auditor assurance rapport. Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de rapportage. Ook kent ISAE 3402 kent geen onderverdeling in secties, zoals de SAS 70 standaard deze wel kende (ref. standaard 3402.9 sub j). Ondanks dat er geen verplichte onderdelen zijn is er in Nederland een best practice ontstaan.

Best practices

In de best practice zijn een aantal onderdelen opgenomen; een algemene beschrijving, een beschrijving van het control framework en een control matrix. In het algemene deel is een beschrijving van de organisatie opgenomen. In de beschrijving van het control framework; wordt het volledige risicoraamwerk meestal volgens COSO beschreven. Het COSO-framework is in 2013 geupdate naar het COSO 2013 framework en in 2017 tot het COSO 2017 ERM-framework. Een belangrijk verschil met het oorspronkelijke COSO-framework is dat in de laatste versies principles zijn opgenomen.

Control Matrix

In de control matrix worden doelstellingen verbonden aan risico's en zijn de maatregelen opgenomen die deze risico's verminderen; de zogenaamde controls. Alle controls die relevant zijn voor de gebruikersorganisatie worden opgenomen.

Assurance rapport

Een accountant toetst of alle controls die hij verwacht zijn opgenomen, tijdens de audit. Na deze controle voorziet de accountant de rapportage van een assurance mededeling volgens standaard 3402*. Een dergelijke assurance mededeling wordt ook wel een ISAE 3402 certificering genoemd, feitelijk is het geen certificaat, maar een assurance rapportage volgens standaard 3402.

ISAE 3402 advies?

ISAE 3402 rapportages worden niet alleen door uw klanten gelezen, maar ook door hun accountants. Een rapportage die niet voldoet aan de best practice of een rapportage die minder professioneel is beschreven, wordt door uw klant of de accountant van uw klant waarschijnlijk herkend als minder professioneel. Door de ervaring van Risklane met ISAE 3402 sinds 2004 zijn wij goed in staat om een professionele rapportage op te stellen. Wij kunnen u ook een passend advies te geven over hoe u maatregelen kunt verbeteren, zodat u de risico's beter onder controle heeft.

Lees meer over Risklane en ISAE 3402.

 

* Standaard 3402 is de Nederlandse vertaling van de internationale ISAE 3402-standaard