Typ I versus Typ II
Um zu klären, welche SOC-Typen Ihr Unternehmen benötigt, finden Sie hier die wichtigsten Informationen.
Es gibt zwei Arten von ISAE 3402-Berichten: einen Typ-I-Bericht und einen Typ-II-Bericht. Beide Berichte sind inhaltlich identisch. Der Unterschied liegt in der durchgeführten Prüfung. Bei einer Prüfung vom Typ I stellt der Wirtschaftsprüfer fest, ob der Rahmen für das Risikomanagement und die Kontrollmaßnahmen den Rahmen abdecken (Konzeption) und zu einem bestimmten Zeitpunkt bestehen. Um dies festzustellen, geht der Buchhalter die Prozesse „durch“. Diese Kontrollen werden Walkthroughs genannt. Bei einer Prüfung vom Typ II stellt der Wirtschaftsprüfer über einen Zeitraum von mindestens sechs Monaten fest, ob die Kontrollmaßnahmen tatsächlich wirksam waren. Ein Bericht des Typs I bezieht sich auf einen Messpunkt und ein Bericht des Typs II auf mindestens sechs Monate.
Mit einem Bericht vom Typ II hat eine Nutzerorganisation mehr Gewissheit, dass der Dienst wie vereinbart kontrolliert wird. Der Zeitraum, in dem die ISAE Typ II Prüfung stattfindet, beträgt mindestens sechs Monate, es sei denn, es liegt eine besondere Situation vor, wie z.B. der Kauf einer neuen Organisationseinheit oder die Einführung eines neuen IT-Systems.
Die erste Prüfung erfordert immer einen gewissen Mehraufwand für die Organisation und den Prüfer, um ein gegenseitiges Verständnis aufzubauen. Durch die Umstellung von Typ I auf Typ II werden die Auswirkungen auf das Geschäft verteilt, da Typ I weniger Prüfungstests erfordert. Bei Typ I testen die Prüfer jede Stichprobe jeder Kontrollpraxis, um die Transaktionsmuster zu bestätigen. Bei Typ II wählen die Prüfer mehrere Stichproben aus den Prüferpopulationen aus und testen sie. Ein Bericht vom Typ I ebnet den Weg für Typ II, ohne alles auf einmal zu behandeln.
Ein Vorteil der Berichte vom Typ I ist die Flexibilität während der Prüfung, bei der „Probleme“ identifiziert werden können, bevor der Bericht veröffentlicht wird. Diese sind nicht als Probleme in den Bericht aufgenommen worden, da es sich um eine Momentaufnahme zum Zeitpunkt der Aufzeichnung handelt.
ISAE 3402 Beratung?
ISAE 3402-Berichte werden nicht nur von Ihren Kunden, sondern auch von deren Buchhaltern gelesen. Ein Bericht, der nicht den Best Practices entspricht oder der weniger professionell beschrieben ist, wird von Ihrem Kunden oder dem Buchhalter Ihres Kunden wahrscheinlich als weniger professionell wahrgenommen. Dank der Erfahrung der Securance mit ISAE 3402 seit 2004 sind wir in der Lage, einen professionellen Bericht zu erstellen. Wir können Sie auch entsprechend beraten, wie Sie die Maßnahmen verbessern können, damit Sie die Risiken besser kontrollieren können.
Erfahren Sie mehr über Securance und ISAE 3402.