ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg

ISAE 3402 type 1 en ISAE 3402 type 2; wat is het verschil? In dit artikel vertellen we daar alles over.

ISAE 3402 Type 1 en 2
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

ISAE 3402 is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen. Er zijn twee typen ISAE 3402 verklaringen, namelijk een ISAE 3402 type 1 verklaring en ISAE 3402 type 2 verklaring. In dit artikel zetten we uiteen wat het verschil is tussen beide verklaringen.

Het verschil tussen beide verklaringen

De ISAE 3402 verklaring is er in twee smaken, namelijk type 1 en type 2. Maar wat is nu precies het verschil tussen deze twee? In feite zijn beide rapporten inhoudelijk precies hetzelfde. Het verschil zit hem namelijk niet in de inhoud van het rapport, maar juist in de uitgevoerde controle daarop. Hieronder per type verklaring een korte uitleg waarin duidelijk wordt gemaakt wat de verschillen zijn tussen de type 1 en type 2 rapporten.

ISAE 3402 type I verklaring

Bij de ISAE 3402 type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de daadwerkelijke situatie.

Een ISAE 3402 type 1 rapport is gericht op één meetmoment, ofwel het is een momentopname. Om die reden is een dergelijk rapport beperkt bruikbaar. Er wordt immers niet aangetoond dat maatregelen succesvol zijn geweest gedurende een langere periode. Dit is een verschil met een type 2 rapport, waar een periode van bewijs nodig is. Een ander verschil tussen de ISAE 3402 type 1 en type 2 verklaring is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.

“Het was voor ons erg prettig dat we gedurende het traject een vast aanspreekpunt hadden. Zo kun je steeds met elkaar aan de slag. Al met al was het prettig samenwerken met CertificeringsAdvies Nederland. De organisatie en adviseur hebben veel ervaring, handige voorbeelden en praktische ideeën die je kunt toepassen. We zijn erg tevreden, aldus Joris Geelhoed van Vecos.” Wil je de hele ervaring van Vecos lezen? Bekijk dan de Vecos klantcase.

ISAE 3402 type II verklaring

Bij de ISAE 3402 type 2 verklaring is een periode van minimaal zes maanden nodig waarin bewijs wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen. Daarbij kijkt een auditor naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.

Zoals hierboven benoemd is een ISAE 3402 type 2 rapport inhoudelijk gelijk aan een type 1 rapport. Het verschil is dat in dit type 2 rapport een verklaring is opgenomen van de auditor waarin staat dat de beschreven maatregelen over een periode van zes maanden gewerkt hebben. Een audit voor ISAE 3402 type 2 is dan ook een stuk uitgebreider dan die voor een type 1. Zo worden beheersmaatregelen die regelmatig voorkomen meerdere malen op verschillende momenten getoetst op de effectieve werking. Daarom kan ook gesteld worden dat een organisatie met een ISAE 3402 type 2 verklaring meer zekerheid heeft omtrent dat de dienstverlening beheerst wordt zoals is afgesproken.

Het ISAE 3402 rapport

Doorgaans als er over een ISAE 3402 rapport wordt gesproken, dan wordt er door organisaties gedoeld op het ISAE 3402 Type II rapport. Een Type 1 rapport is immers beperkt bruikbaar, omdat er geen zekerheid is over de werking van de maatregelen.

Wil je meer weten over een ISAE 3402 verklaring? Of wil je juist aan de slag met ISAE en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord en helpen je graag bij de implementatie van ISAE.

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Stap voor stap ISAE 3402 verklaring?

Download stappenplan

  • Concreet
  • Praktisch
  • Tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields