ISAE 3402 is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen. Er zijn twee typen ISAE 3402 verklaringen, namelijk een ISAE 3402 type 1 verklaring en ISAE 3402 type 2 verklaring. In dit artikel zetten we uiteen wat het verschil is tussen beide verklaringen.
Lees ook het artikel: ‘Wat is ISAE 3402’
Het verschil tussen beide verklaringen
De ISAE 3402 verklaring is er in twee smaken, namelijk type 1 en type 2. Maar wat is nu precies het verschil tussen deze twee? In feite zijn beide Service Organisatie Control (SOC) rapporten inhoudelijk precies hetzelfde. Het verschil zit hem namelijk niet in de inhoud van het rapport, maar juist in de uitgevoerde controle daarop. Hieronder per type verklaring een korte uitleg waarin duidelijk wordt gemaakt wat de verschillen zijn tussen de type 1 en type 2 rapporten.
Handig stappenplan ISAE 3402 nodig? [Download]
Stap voor stap op weg naar ISAE 3402? Download dan geheel vrijblijvend dit handige Stappenplan ISAE 3402 en ontdek wat de stappen zijn op weg naar een succesvolle ISAE 3402 implementatie. Voor meer informatie, neem gerust contact met ons op!
ISAE 3402 type I verklaring
Bij de ISAE 3402 type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de daadwerkelijke situatie.
Een ISAE 3402 type 1 rapport is gericht op één meetmoment, ofwel het is een momentopname. Om die reden is een dergelijk rapport beperkt bruikbaar. Er wordt immers niet aangetoond dat maatregelen succesvol zijn geweest gedurende een langere periode. Dit is een verschil met een type 2 rapport, waar een periode van bewijslast nodig is. Een ander verschil tussen de ISAE 3402 type 1 en type 2 verklaring is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.
ISAE 3402 type II verklaring
Bij de ISAE 3402 type 2 verklaring is een periode van minimaal zes maanden nodig waarin bewijslast wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen. Daarbij kijkt een auditor naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.
Zoals hierboven benoemd is een ISAE 3402 type 2 rapport inhoudelijk gelijk aan een type 1 rapport. Het verschil is dat in dit type 2 rapport een verklaring is opgenomen van de auditor waarin staat dat de beschreven maatregelen over een periode van zes maanden gewerkt hebben. Een audit voor ISAE 3402 type 2 is dan ook een stuk uitgebreider dan die voor een type 1. Zo worden beheersmaatregelen die regelmatig voorkomen meerdere malen op verschillende momenten getoetst op de effectieve werking. Daarom kan ook gesteld worden dat een organisatie met een ISAE 3402 type 2 verklaring meer zekerheid heeft omtrent dat de dienstverlening beheerst wordt zoals is afgesproken.
Het ISAE 3402 rapport
Doorgaans als er over een Service Organisatie Control rapport wordt gesproken, dan wordt er door organisaties gedoeld op het ISAE 3402 Type II rapport. Een Type 1 rapport is immers beperkt bruikbaar, omdat er geen zekerheid is over de werking van de maatregelen.
Wil je meer weten over een ISAE 3402 verklaring? Of wil je juist aan de slag met ISAE en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord en helpen je graag bij de implementatie van ISAE.
