ISAE 3402 Type I of Type II?
Er zijn twee soorten ISAE 3402 rapportages; een type I rapport en een type II rapport. Inhoudelijk zijn beide typen rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet) en bestaan op één bepaald moment. Om dit vast te stellen ‘loopt’ de accountant processen door. Deze controles worden lijncontroles genoemd. Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook daadwerkelijk effectief gewerkt hebben. Een type I rapportage heeft betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.
Meer zekerheid
Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.
Verplichte onderdelen
Een ISAE 3402 rapportage is relatief ‘vormvrij’. De standaard schrijft onder andere voor dat risk management ingericht moet zijn, dat de IT infrastructuur beheerst moet worden en dat het risicomanagementsysteem effectief gemonitord moet worden. In een ISAE 3402 rapportage moeten een aantal onderdelen verplicht opgenomen worden;(1) een beschrijving van het interne controle raamwerk, (2) een bevestiging van de service organisatie en (3) een service auditor assurance rapport. Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de rapportage. Ook kent ISAE 3402 kent geen onderverdeling in secties, zoals de SAS 70 standaard deze wel kende (ref. standaard 3402.9 sub j). Ondanks dat er geen verplichte onderdelen zijn is er in Nederland een best practice ontstaan.
Best practices
In de best practice zijn een aantal onderdelen opgenomen; een algemene beschrijving, een beschrijving van het control framework en een control matrix. In het algemene deel is een beschrijving van de organisatie opgenomen. In de beschrijving van het control framework; wordt het volledige risicoraamwerk meestal volgens COSO beschreven. Het COSO-framework is in 2013 geupdate naar het COSO 2013 framework en in 2017 tot het COSO 2017 ERM-framework. Een belangrijk verschil met het oorspronkelijke COSO-framework is dat in de laatste versies principles zijn opgenomen.
Control Matrix
In de control matrix worden doelstellingen verbonden aan risico’s en zijn de maatregelen opgenomen die deze risico’s verminderen; de zogenaamde controls. Alle controls die relevant zijn voor de gebruikersorganisatie worden opgenomen.
Assurance rapport
Een accountant toetst of alle controls die hij verwacht zijn opgenomen, tijdens de audit. Na deze controle voorziet de accountant de rapportage van een assurance mededeling volgens standaard 3402*. Een dergelijke assurance mededeling wordt ook wel een ISAE 3402 certificering genoemd, feitelijk is het geen certificaat, maar een assurance rapportage volgens standaard 3402.
* Standaard 3402 is de Nederlandse vertaling van de internationale ISAE 3402-standaard
Aan de slag met ISAE 3402
ISAE 3402-rapporten worden niet alleen gelezen door je klanten, maar ook door hun accountants. Een rapport dat niet voldoet aan best practices of dat minder professioneel is beschreven, zal waarschijnlijk als minder professioneel worden ervaren door je klant of hun accountant. Met de ervaring van Securance in ISAE 3402 sinds 2004, zijn we goed uitgerust om professionele rapporten te produceren. We kunnen je ook adviseren over hoe je je maatregelen kunt verbeteren om risico’s beter te beheersen.