Leestijd: 8 minuten

ISAE 3402 type 1 en ISAE 3402 type 2: een uitleg

ISAE 3402 type 1 en ISAE 3402 type 2; wat is het verschil? In dit artikel vertellen we daar alles over.

ISAE 3402 Type 1 en 2
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Het verschil tussen ISAE 3402 type 1 en ISAE 3402 type 2 in een notendop uitgelegd:

  • ISAE 3402 staat voor International Standard for Assurance Engagements en is een internationale auditstandaard voor het aantoonbaar beheersen van uitbestede processen. Met een ISAE 3402-verklaring toon je als organisatie aan dat kritische processen, zoals IT of dataverwerking, effectief zijn ingericht en beveiligd. Toezichthouders, waaronder De Nederlandsche Bank, gebruiken deze verklaring om eisen te stellen aan leveranciers van financiële instellingen. Deze verklaring draait om risicomanagement en informatiebeveiliging en versterkt het vertrouwen bij klanten en toezichthouders.
  • ISAE 3402 type 1 is een assurance-verklaring waarin wordt getoetst of de beheersmaatregelen binnen een organisatie goed zijn ontworpen en ingericht op een bepaald moment. De focus ligt op de opzet van processen, niet op de werking ervan over tijd. Het is vaak de eerste stap voor organisaties die starten met ISAE 3402.
  • ISAE 3402 type 2 gaat een stap verder en onderzoekt niet alleen of beheersmaatregelen goed zijn ingericht, maar ook of ze in de praktijk effectief hebben gewerkt over een langere periode (meestal 6 maanden of langer). Hiermee toon je structurele beheersing aan van uitbestede processen.
  • Het verschil zit in de diepgang van het onderzoek: type 1 kijkt naar het ontwerp van de beheersmaatregelen op één moment, terwijl type 2 beoordeelt of die maatregelen ook aantoonbaar hebben gewerkt over tijd. Type 2 biedt dus meer zekerheid richting klanten en toezichthouders.

In het vervolg van dit artikel zetten we een en ander nog wat uitgebreider voor je uiteen.

Wat is ISAE 3402?

De norm staat voor International Standard for Assurance Engagements. Het is een audit standaard voor rapportage over beheersing van processen die zijn uitbesteed. Een ISAE-verklaring is gericht op organisaties die in aanmerking komen voor een onderzoek naar de geïmplementeerde beheersmaatregelen om de kritische processen van een klant te beveiligen. Met behulp van ISAE 3402 hebben toezichthoudende organisaties, zoals bijvoorbeeld de Nederlandsche bank, de mogelijkheid om aan klanten van een organisatie vragen of eisen te stellen over processen die zijn uitbesteed. Daarbij draait het om risicomanagement en het nemen van maatregelen omtrent informatiebeveiliging.

Vanuit de wet (Art. 4.16. Wft) zijn financiële instellingen ook verplicht om in het geval van uitbesteding van processen aan te tonen dat deze processen beheerst worden. Een financiële instelling zal altijd van leveranciers een ISAE 3402 rapport eisen alvorens de leverancier de diensten mag leveren. Met behulp van ISAE 3402 rapport kan aangetoond worden dat de processen die zijn uitbesteed beheerst zijn.

De inhoud van een ISAE 3402 rapportage is vormvrij. Wel zitten er een aantal verplicht op te nemen onderdelen in, namelijk:

  • Een beschrijving van het control raamwerk
  • Een bevestiging van de service-organisatie
  • Een service auditor assurance rapport

Uit het rapport moet dus o.a. duidelijk worden wat de criteria zijn waarop de ISAE 3402 rapportage is getoetst en welke maatregelen borgen dat aan de criteria is voldaan.

In Nederland is een zogenaamde ‘best practice’ voor het opstellen van een ISAE 3402 rapport. Daarin staat een vastgestelde indeling en een manier waarop de beheersmaatregelen (controls) beschreven kunnen worden. De onderdelen die in de best practice staan vernoemd:

  • Een algemene beschrijving
    Hieronder valt o.a. een beschrijving van de organisatie
  • Een beschrijving van het control raamwerk
    Het volledige risico raamwerk (doorgaans volgens COSO)
  • Een control matrix
    De doelstellingen die verbonden zijn aan risico’s en de relevante maatregelen die zijn opgenomen om de risico’s te verminderen (de controls)

Het verschil tussen ISAE 3402 verklaringen

De ISAE 3402 verklaring is er in twee smaken, namelijk type 1 en type 2. Maar wat is nu precies het verschil tussen deze twee? In feite zijn beide rapporten inhoudelijk precies hetzelfde. Het verschil zit hem namelijk niet in de inhoud van het rapport, maar juist in de uitgevoerde controle daarop. Hieronder per type verklaring een korte uitleg waarin duidelijk wordt gemaakt wat de verschillen zijn tussen de type 1 en type 2 rapporten.

Tijdens een audit wordt door een auditor getoetst of alle maatregelen (controls) die binnen de scope vallen ook daadwerkelijk zijn opgenomen en worden nageleefd. Na de audit wordt de ISAE rapportage voorzien van een ‘assurance mededeling’ volgens Standaard 3402. Dit wordt ook wel een ISAE 3402 certificering genoemd, maar officieel is het geen certificaat maar een assurance rapportage. Een ISAE 3402 leidt dan ook niet tot een (ISO) certificaat.

ISAE 3402 type I verklaring

Bij de ISAE 3402 type 1 verklaring wordt onderzocht of er een beleid en proces zijn beschreven over de maatregelen die binnen de scope vallen. De auditor bekijkt of de beschrijving van het rapport overeenkomt met de daadwerkelijke situatie.

Een ISAE 3402 type 1 rapport is gericht op één meetmoment, ofwel het is een momentopname. Om die reden is een dergelijk rapport beperkt bruikbaar. Er wordt immers niet aangetoond dat maatregelen succesvol zijn geweest gedurende een langere periode. Dit is een verschil met een type 2 rapport, waar een periode van bewijs nodig is. Een ander verschil tussen de ISAE 3402 type 1 en type 2 verklaring is dat de auditor bij een type 1 rapport niet verplicht is om zijn bevindingen op te nemen in de rapportage.

“Het was voor ons erg prettig dat we gedurende het traject een vast aanspreekpunt hadden. Zo kun je steeds met elkaar aan de slag. Al met al was het prettig samenwerken met CertificeringsAdvies Nederland. De organisatie en adviseur hebben veel ervaring, handige voorbeelden en praktische ideeën die je kunt toepassen. We zijn erg tevreden, aldus Joris Geelhoed van Vecos.” Wil je de hele ervaring van Vecos lezen? Bekijk dan de Vecos klantcase.

ISAE 3402 type II verklaring

Bij de ISAE 3402 type 2 verklaring is een periode van minimaal zes maanden nodig waarin bewijs wordt verzameld over een proces of een tool met de daarbij behorende risico’s en beheersmaatregelen. Daarbij kijkt een auditor naar de manier waarop de maatregelen hebben gewerkt om de vastgestelde beheersdoelstellingen te behalen.

Zoals hierboven benoemd is een ISAE 3402 type 2 rapport inhoudelijk gelijk aan een type 1 rapport. Het verschil is dat in dit type 2 rapport een verklaring is opgenomen van de auditor waarin staat dat de beschreven maatregelen over een periode van zes maanden gewerkt hebben. Een audit voor ISAE 3402 type 2 is dan ook een stuk uitgebreider dan die voor een type 1. Zo worden beheersmaatregelen die regelmatig voorkomen meerdere malen op verschillende momenten getoetst op de effectieve werking. Daarom kan ook gesteld worden dat een organisatie met een ISAE 3402 type 2 verklaring meer zekerheid heeft omtrent dat de dienstverlening beheerst wordt zoals is afgesproken.

Is ISAE 3402 verplicht?

Financiële instellingen dienen wettelijk (Art 4.16 Wft) aan te kunnen tonen dat outsourcingsdiensten beheerst worden. Deze eis geldt voor alle leveranciers zoals creditmanagementorganisaties, SaaS-providers en datacenter die diensten leveren aan banken, pensioenfondsen en verzekeraars. Hiervoor dienen financiële instellingen zoals een verzekeraar of bank een Service Organisation Control (SOC) rapport aan te tonen aan de leverancier alvorens de leverancier diensten kan leveren aan de instelling. Dit maakt dat de ISAE 3402 verplicht is.

Daarnaast is de norm ook in wettelijke context een steeds vaker gevraagde assurance verklaring. Ook de overheid weet de ISAE 3402 inmiddels te vinden voor bijvoorbeeld de Wet Financieel Toezicht en internationale wet- en regelgeving zoals Sarbanes Oxley (SOx 404). Doordat de ISAE 3402 internationaal erkend is, kun je zowel nationaal als internationaal aan deze vraag van je leveranciers voldoen.

ISAE 3402 vs. ISO 27001

Wat is het verschil tussen ISAE 3402 en ISO 27001?

ISO 27001 is een internationale norm voor informatiebeveiliging die leidt tot een certificaat na een geslaagde audit. ISAE 3402 is geen certificering, maar een assurance-verklaring die door een externe auditor wordt afgegeven. ISO 27001 werkt met een compacte scope en een vaste set beheersmaatregelen (ISO 27002), terwijl ISAE 3402 een volledig systeem beschrijft en ruimte laat voor maatwerk in beheersmaatregelen. De risicoanalyse van ISO 27001 richt zich op bedreigingen van assets; bij ISAE 3402 draait het om het behalen van beheersdoelstellingen.

ISAE 3402 vs. ISO 27001: andere aanpak, ander doelpubliek

ISO 27001 kent jaarlijkse audits op hoofdlijnen met beperkte steekproeven. ISAE 3402 is intensiever: er wordt vaker geaudit en meer bewijs gevraagd, op basis van statische steekproeven. ISO 27001 wordt vaak gevraagd door overheden vanwege aansluiting op de BIO, terwijl ISAE 3402 gebruikelijk is binnen de financiële sector. Beide normen versterken vertrouwen, maar zijn niet inwisselbaar en dienen verschillende belangen.

De ISAE 3402 kosten, hoe zit dat?

De kosten voor een ISAE 3402-traject verschillen per organisatie en zijn maatwerk. Ze zijn onder meer afhankelijk van de huidige situatie, de scope en de mate van begeleiding die je kiest. Factoren die de kosten beïnvloeden zijn:

  • Wat al is ingericht binnen de organisatie;
  • De grootte en complexiteit van de organisatie of processen;
  • Zelf doen of (deels) uitbesteden;
  • Aanwezigheid van andere certificaten zoals ISO 27001;
  • De scope van de verklaring;
  • De gekozen beheersmaatregelen binnen die scope.

Begeleiding en auditkosten

Kies je voor ondersteuning van een adviespartij zoals CertificeringsAdvies Nederland, dan bepaal je zelf de intensiteit van begeleiding: coachend of uitvoerend. Dat beïnvloedt uiteraard het kostenplaatje. Daarnaast komen er kosten kijken bij de externe audit door een onafhankelijke en bevoegde partij. Ook deze audit is een vast onderdeel van het traject. Vergelijk daarom altijd meerdere offertes om inzicht te krijgen in de totale kosten van ISAE 3402.

Veelgestelde vragen ISAE 3402

Ondersteuning nodig?

Doorgaans als er over een ISAE 3402 rapport wordt gesproken, dan wordt er door organisaties gedoeld op het ISAE 3402 Type II rapport. Een Type 1 rapport is immers beperkt bruikbaar, omdat er geen zekerheid is over de werking van de maatregelen.

Wil je meer weten over een ISAE 3402 verklaring? Of wil je juist aan de slag met ISAE en kun je daarbij wel wat ondersteuning gebruiken? Neem dan gerust contact met ons op. Onze adviseurs staan je graag te woord en helpen je graag bij de implementatie van ISAE.

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Innovatiemanager en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Direct aan de slag met ISAE 3402?

Al 500+ organisaties gingen je voor!

  • Voldoe aan de eisen en aan de wet
  • Deskundige experts met veel ervaring
  • Vrijblijvende offerte op maat

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields