ISAE 3402: Typ I eller Typ II?

Det finns två typer av ISAE 3402-rapporter: Typ I och Typ II. Båda rapporttyperna har liknande innehåll. Skillnaden ligger i vilken typ av revision som utförs. I en revision av typ I avgör revisorn om ramverket för riskhantering och kontrollåtgärderna täcker det normativa ramverket (utformningen) och existerar vid en viss tidpunkt. För att fastställa detta ”går revisorn igenom” processerna, så kallade linjekontroller. I en revision av typ II bedömer revisorn om kontrollåtgärderna har fungerat effektivt under en period om minst sex månader.

Ökad säkerhet

Med en typ II-rapport får en användarorganisation större säkerhet för att tjänsteleveransen kontrolleras enligt överenskommelse. Den period som omfattas av en ISAE Typ II-revision är minst sex månader, såvida det inte finns någon speciell situation, till exempel förvärv av en ny organisatorisk enhet eller införande av ett nytt IT-system.

Obligatoriska komponenter

En ISAE 3402-rapport är relativt ”fritt formulerad”. Standarden kräver bland annat att riskhantering implementeras, att IT-infrastrukturen kontrolleras och att riskhanteringssystemet övervakas på ett effektivt sätt. En ISAE 3402-rapport måste dock innehålla följande obligatoriska komponenter: (1) en beskrivning av ramverket för intern kontroll, (2) en bekräftelse från serviceorganisationen, och (3) en tjänsterevisors revisionsberättelse. Även om dessa komponenter är obligatoriska, föreskriver standarden inte hur de ska presenteras i rapporten. ISAE 3402 är inte heller uppdelad i avsnitt, till skillnad från SAS 70-standarden (se standard 3402.9 sub j). Trots avsaknaden av föreskrivna komponenter har en bästa praxis vuxit fram i Nederländerna.

Bästa praxis

Best practice innehåller flera komponenter: en allmän beskrivning, en beskrivning av kontrollramverket och en kontrollmatris. Den allmänna delen innehåller en beskrivning av organisationen. Beskrivningen av kontrollramverket beskriver vanligtvis det fullständiga riskramverket enligt COSO. COSO:s ramverk uppdaterades till COSO 2013 2013 och till COSO 2017 ERM 2017. En viktig skillnad jämfört med det ursprungliga COSO-ramverket är att de senaste versionerna innehåller principer.

Kontrollmatris

I kontrollmatrisen kopplas mål till risker och de åtgärder som minskar dessa risker (kontroller) ingår. Alla kontroller som är relevanta för användarorganisationen är införlivade.

Revisionsrapport

En revisor bedömer om alla förväntade kontroller ingår i revisionen. Efter denna granskning lämnar revisorn ett bestyrkandeuttalande i rapporten enligt standard 3402*. Ett sådant bestyrkande kallas ibland för en ISAE 3402-certifiering, även om det inte är ett certifikat utan snarare en bestyrkanderapport enligt standard 3402.

* Standard 3402 är den nederländska översättningen av den internationella standarden ISAE 3402.

Läs mer om Securance och ISAE 3402.

Kom igång med ISAE 3402

ISAE 3402-rapporter läses inte bara av dina kunder utan även av deras revisorer. En rapport som inte följer bästa praxis eller som beskrivs på ett mindre professionellt sätt kommer sannolikt att uppfattas som mindre professionell av din kund eller dennes revisor. Med Securances erfarenhet av ISAE 3402 sedan 2004 är vi väl rustade för att producera professionella rapporter. Vi kan också ge dig råd om hur du kan förbättra dina åtgärder för att bättre kontrollera riskerna.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...