ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg
ISAE 3402 type 1 en ISAE 3402 type 2; wat is het verschil? In dit artikel vertellen we daar alles over.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlISAE 3402 is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen. Er zijn twee typen ISAE 3402 verklaringen, namelijk een ISAE 3402 type 1 verklaring en ISAE 3402 type 2 verklaring. In dit artikel zetten we uiteen wat het verschil is tussen beide verklaringen.
Het verschil tussen beide verklaringen
De ISAE 3402 verklaring is er in twee smaken, namelijk type 1 en type 2. Maar wat is nu precies het verschil tussen deze twee? In feite zijn beide rapporten inhoudelijk precies hetzelfde. Het verschil zit hem namelijk niet in de inhoud van het rapport, maar juist in de uitgevoerde controle daarop. Hieronder per type verklaring een korte uitleg waarin duidelijk wordt gemaakt wat de verschillen zijn tussen de type 1 en type 2 rapporten.
ISAE 3402 type I verklaring
Bij de ISAE 3402 type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de daadwerkelijke situatie.
Een ISAE 3402 type 1 rapport is gericht op één meetmoment, ofwel het is een momentopname. Om die reden is een dergelijk rapport beperkt bruikbaar. Er wordt immers niet aangetoond dat maatregelen succesvol zijn geweest gedurende een langere periode. Dit is een verschil met een type 2 rapport, waar een periode van bewijs nodig is. Een ander verschil tussen de ISAE 3402 type 1 en type 2 verklaring is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.
“Het was voor ons erg prettig dat we gedurende het traject een vast aanspreekpunt hadden. Zo kun je steeds met elkaar aan de slag. Al met al was het prettig samenwerken met CertificeringsAdvies Nederland. De organisatie en adviseur hebben veel ervaring, handige voorbeelden en praktische ideeën die je kunt toepassen. We zijn erg tevreden, aldus Joris Geelhoed van Vecos.” Wil je de hele ervaring van Vecos lezen? Bekijk dan de Vecos klantcase.
ISAE 3402 type II verklaring
Bij de ISAE 3402 type 2 verklaring is een periode van minimaal zes maanden nodig waarin bewijs wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen. Daarbij kijkt een auditor naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.
Zoals hierboven benoemd is een ISAE 3402 type 2 rapport inhoudelijk gelijk aan een type 1 rapport. Het verschil is dat in dit type 2 rapport een verklaring is opgenomen van de auditor waarin staat dat de beschreven maatregelen over een periode van zes maanden gewerkt hebben. Een audit voor ISAE 3402 type 2 is dan ook een stuk uitgebreider dan die voor een type 1. Zo worden beheersmaatregelen die regelmatig voorkomen meerdere malen op verschillende momenten getoetst op de effectieve werking. Daarom kan ook gesteld worden dat een organisatie met een ISAE 3402 type 2 verklaring meer zekerheid heeft omtrent dat de dienstverlening beheerst wordt zoals is afgesproken.
Het ISAE 3402 rapport
Doorgaans als er over een ISAE 3402 rapport wordt gesproken, dan wordt er door organisaties gedoeld op het ISAE 3402 Type II rapport. Een Type 1 rapport is immers beperkt bruikbaar, omdat er geen zekerheid is over de werking van de maatregelen.
Wil je meer weten over een ISAE 3402 verklaring? Of wil je juist aan de slag met ISAE en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord en helpen je graag bij de implementatie van ISAE.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlStap voor stap ISAE 3402 verklaring?
Download stappenplan
- Concreet
- Praktisch
- Tips