Skip to main content

Gavias Slider Slider ISAE 3402 TYPE I OF ISAE 3402 TYPE II?

Welke type ISAE 3402?

Type I of type II?

Een ISAE 3402 | SOC1 rapport is een rapportage waarin het interne beheersingssysteem van een (service) organisatie is beschreven. Een gebruikersorganisatie kan van zo'n ISAE 3402 | SOC1 rapport gebruikmaken om haar risico's in te schatten en om zekerheid te krijgen dat processen beheerst worden. Deze rapporten zijn inmiddels algemeen gebruik binnen diverse sectoren, zoals managed services, vastgoedbelegging en -beheer, software leveranciers (SaaS) en datacenters. Onderstaand wordt uitgelegd welke soort ISAE 3402 rapporten er zijn.

Meer zekerheid

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.

Een type I audit wordt op één moment uitgevoerd en heeft dus geen doorlooptijd van zes maanden. Een ISAE 3402 type I kan helpen om op korte termijn aan klanten te laten zien dat een organisatie in control is. 

ISAE 3402 type I of type II?

ISAE 3402 Type I

Een ISAE 3402 type I rapport heeft betrekking op één specifieke datum. Een type I rapportage kan door een gebruikersorganisatie en haar accountant gebruikt worden om risico's in te schatten maar hieruit blijkt niet of maatregelen ook goed gewerkt hebben gedurende een periode. Een ander verschil tussen een type I en een type II rapportage is dat de service auditor zijn bevindingen niet verplicht hoeft op te nemen in de rapportage.

ISAE 3402 Type II rapport

Een ISAE 3402 type II is, zoals vermeld, inhoudelijk hetzelfde rapport als een type I rapport. Hierbij is alleen in de verklaring van de accountant nog opgenomen dat de beschreven beheersmaatregelen over een periode van minimaal zes maanden* effectief gewerkt hebben. Een gevolg hiervan is dat de controle veel uitgebreider is dan een type I audit; bijvoorbeeld beheersmaatregelen die iedere dag worden uitgevoerd, worden tussen de 15 tot 25 keer per jaar getoetst op hun effectieve werking.

Verplichte onderdelen

Een ISAE 3402 rapportage is relatief 'vormvrij'. De standaard schrijft onder andere voor dat risk management ingericht moet zijn, dat de IT infrastructuur beheerst moet worden en dat het risico management systeem effectief gemonitord moet worden. In een ISAE 3402 rapportage moeten een aantal onderdelen verplicht opgenomen worden;(1) een beschrijving van het interne controle raamwerk, (2) een bevestiging van de service organisatie en (3) een service auditor assurance rapport. Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de apportage. Ook kent ISAE 3402 kent geen onderverdeling in secties, zoals de SAS 70 standaard deze wel kende (ref. standaard 3402.9 sub j). Ondanks dat er geen verplichte onderdelen zijn is er in Nederland een best practice ontstaan.

'Best practice'

ALGEMEEN DEEL

 

In de best practice zijn een aantal onderdelen opgenomen; een algemene beschrijving, een beschrijving van het control framework en een control matrix. In het algemene deel is een beschrijving van de organisatie opgenomen. In de beschrijving van het control framework; wordt het volledige risico raamwerk meestal volgens COSO beschreven. Het COSO-framework is in 2013 geupdate naar het COSO 2013 framework en in 2017 tot het COSO 2017 ERM-framework. Een belangrijk verschil met het oorspronkelijke COSO-framework is dat in de laatste versies principles zijn opgenomen.

CONTROL MATRIX

In de control matrix worden doelstellingen verbonden aan risico's en zijn de maatregelen opgenomen die deze risico's verminderen; de zogenaamde controls. Alle controls die relevant zijn voor de gebruikersorganisatie worden opgenomen.

ASSURANCE RAPPORT

Een accountant toetst of alle controls die hij verwacht zijn opgenomen, tijdens de audit. Na deze controle voorziet de accountant de rapportage van een assurance mededeling volgens standaard 3402*. Een dergelijke assurance mededeling wordt ook wel een ISAE 3402 certificering genoemd, feitelijk is het geen certificaat, maar een assurance rapportage volgens standaard 3402.

ISAE 3402 advies?

ISAE 3402 rapportages worden niet alleen door uw klanten gelezen, maar ook door hun accountants. Een rapportage die niet voldoet aan de best practice of een rapportage die minder professioneel is beschreven, wordt door uw klant of de accountant van uw klant waarschijnlijk herkend als minder professioneel. Door de ervaring van Risklane met ISAE 3402 sinds 2004 zijn wij goed in staat om een professionele rapportage op te stellen. Wij kunnen u ook een passend advies te geven over hoe u maatregelen kunt verbeteren, zodat u de risico's beter onder controle heeft.

Lees meer over Risklane en ISAE 3402.

 

* Standaard 3402 is de Nederlandse vertaling van de internationale ISAE 3402-standaard