Type I versus Type II
Om duidelijk te maken welke SOC-typen jouw organisatie nodig heeft, volgt hier de essentiële informatie.
Er zijn twee soorten ISAE 3402-rapporten: een type I-rapport en een type II-rapport. Beide rapporten hebben dezelfde inhoud. Het verschil zit in de uitgevoerde controle; bij een Type I controle stelt de accountant vast of het risicomanagementraamwerk en de controlemaatregelen het raamwerk (ontwerp) afdekken en op een specifiek moment bestaan. Om dit te bepalen, “doorloopt” de accountant processen. Deze controles worden walkthroughs genoemd. Bij een type II-controle stelt de accountant over een periode van minimaal zes maanden vast of de controlemaatregelen daadwerkelijk effectief zijn geweest. Een type I rapport heeft betrekking op één meetmoment en een type II rapport heeft betrekking op minstens zes maanden.
Met een Type II rapport heeft een gebruikersorganisatie meer zekerheid dat de service wordt gecontroleerd zoals overeengekomen. De periode waarin de ISAE Type II audit plaatsvindt is minimaal zes maanden, tenzij er sprake is van een bijzondere situatie, zoals de aanschaf van een nieuw organisatieonderdeel of de introductie van een nieuw IT-systeem.
De eerste audit vereist altijd wat extra werk voor de organisatie en de auditor om wederzijds begrip op te bouwen. De overgang van Type I naar Type II spreidt die bedrijfsimpact, aangezien Type I minder audittests vereist. Voor Type I testen auditors elke steekproef van elke controlepraktijk om de transactieontwerpen te bevestigen. Voor Type II selecteren en testen auditors meerdere steekproeven uit populaties van auditors. Een type I rapport maakt de weg vrij voor type II zonder alles tegelijk aan te pakken.
Een voordeel van Type I rapporten is de flexibiliteit tijdens de audit, waarbij “problemen” kunnen worden geïdentificeerd voordat het rapport wordt vrijgegeven. Deze zijn niet opgenomen als problemen in het rapport omdat het een momentopname is op het moment van opname.
ISAE 3402 advies?
ISAE 3402-rapporten worden niet alleen door je klanten gelezen, maar ook door hun accountants. Een rapport dat niet voldoet aan de best practice of een rapport dat minder professioneel is beschreven, zal waarschijnlijk door je klant of de accountant van je klant als minder professioneel worden herkend. Met Securance’s ervaring met ISAE 3402 sinds 2004 zijn we goed gepositioneerd om een professioneel rapport op te stellen. We kunnen je ook passend advies geven over hoe je maatregelen kunt verbeteren, zodat je de risico’s beter onder controle hebt.
Meer informatie over Securance en ISAE 3402.