Type I jämfört med Type II
För att klargöra vilka SOC-typer er organisation behöver är det här den viktigaste informationen.
Det finns två typer av ISAE 3402-rapporter: en Type I-rapport och en Type II-rapport. Båda rapporterna är innehållsmässigt identiska. Skillnaden ligger i den utförda revisionen. I en Type I-revision avgör revisorn om ramverket för riskhantering och kontrollåtgärderna täcker ramverket (utformningen) och existerar vid en viss tidpunkt. För att fastställa detta ”går revisorn igenom” processer. Dessa kontroller kallas för genomgångar. I en revision av Type II fastställer revisorn under en period på minst sex månader om kontrollåtgärderna faktiskt har varit effektiva. En rapport av Type I avser en mätpunkt och en rapport av Type II avser minst sex månader.
Med en Type II-rapport har en användarorganisation större säkerhet för att tjänsten kontrolleras enligt överenskommelse. Den period under vilken ISAE Type II-revisionen äger rum är minst sex månader om det inte finns någon speciell situation, till exempel inköp av en ny organisatorisk enhet eller införande av ett nytt IT-system.
Den första revisionen kräver alltid lite extra arbete för organisationen och revisorn för att bygga upp en ömsesidig förståelse. Att gå från Type I till Type II minskar den affärsmässiga påverkan, eftersom Type I kräver färre revisionstester. För Type I testar revisorerna varje urval av varje kontrollmetod för att bekräfta transaktionsutformningen. För Type II väljer revisorerna ut och testar flera urval från revisorspopulationer. En Type I-rapport banar väg för Type II utan att ta upp allt på en gång.
En fördel med typ I-rapporter är flexibiliteten under revisionen, där ”problem” kan identifieras innan rapporten offentliggörs. Dessa frågor tas inte upp i rapporten eftersom det är en ögonblicksbild vid tidpunkten för registreringen.
ISAE 3402-råd?
ISAE 3402-rapporter läses inte bara av era kunder utan även av deras revisorer. En rapport som inte uppfyller bästa praxis eller en rapport som är mindre professionellt beskriven kommer sannolikt att uppfattas som mindre professionell av din kund eller er kunds revisor. Med Securances erfarenhet av ISAE 3402 sedan 2004 är vi väl positionerade för att upprätta en professionell rapport. Vi kan också ge er lämpliga råd om hur ni kan förbättra åtgärderna för att få bättre kontroll över riskerna.
Läs mer om Securance och ISAE 3402.