Skip to main content
Type I vs Type II

Type I voor Type II

Omdat er vaak wat verwarring ontstaat welke SOC Types nodig zijn voor de organisatie is hier de nodige informatie

 

Er zijn twee soorten ISAE 3402 rapportages; een type I rapport en een type II rapport. Inhoudelijk zijn beide typen rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet) en bestaan op één bepaald moment. Om dit vast te stellen 'loopt' de accountant processen door. Deze controles worden lijncontroles genoemd. Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook daadwerkelijk effectief gewerkt hebben. Een type I rapportage heeft betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.

 

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.

 

De eerste audit vereist altijd wat extra werk voor de organisatie en auditor om een ​​wederzijds begrip op te bouwen. Het ondergaan van Type I opgesteld naar Type II verspreidt die zakelijke impact, aangezien Type I minder audittests vereist. Voor Type I testen auditors elk monster van elke controlepraktijk om de transacties van het ontwerp te bevestigen. Voor Type II auditorpopulaties selecteren en testen ze meerdere steekproeven. Een Type I-rapport maakt de weg vrij voor Type II zonder alles in één keer aan te pakken.

 

Een voordeel van Type I-rapporten is de flexibiliteit tijdens de audit waarbij "problemen" kunnen worden geïdentificeerd voordat het rapport wordt vrijgegeven. Deze worden niet als problemen in het rapport opgenomen omdat het een momentopname is op het moment van opname.

 

ISAE 3402 advies?

ISAE 3402 rapportages worden niet alleen door uw klanten gelezen, maar ook door hun accountants. Een rapportage die niet voldoet aan de best practice of een rapportage die minder professioneel is beschreven, wordt door uw klant of de accountant van uw klant waarschijnlijk herkend als minder professioneel. Door de ervaring van Risklane met ISAE 3402 sinds 2004 zijn wij goed in staat om een professionele rapportage op te stellen. Wij kunnen u ook een passend advies te geven over hoe u maatregelen kunt verbeteren, zodat u de risico's beter onder controle heeft.

Lees meer over Risklane en ISAE 3402.