ISAE 3402: Type I eller Type II?

Det finns två typer av ISAE 3402-rapporter: Type I och Type II. Båda rapporttyperna har liknande innehåll. Skillnaden ligger i vilken typ av granskning som utförs. I en revision av Type I avgör revisorn om ramverket för riskhantering och kontrollåtgärderna täcker det normativa ramverket (utformningen) och existerar vid en viss tidpunkt. För att fastställa detta ”går revisorn igenom” processerna, så kallade linjekontroller. I en revision av Type II bedömer revisorn om kontrollåtgärderna har fungerat effektivt under en period om minst sex månader.

Med en Type II-rapport får en användarorganisation större säkerhet för att tjänsteleveransen kontrolleras enligt överenskommelse. Den period som omfattas av en ISAE Type II-revision är minst sex månader, såvida det inte finns någon speciell situation, till exempel förvärv av en ny organisatorisk enhet eller införande av ett nytt IT-system.

En ISAE 3402-rapport är relativt ”fritt formulerad”. Standarden kräver bland annat att riskhantering implementeras, att IT-infrastrukturen kontrolleras och att riskhanteringssystemet övervakas på ett effektivt sätt. En ISAE 3402-rapport måste dock innehålla följande obligatoriska komponenter: (1) en beskrivning av ramverket för intern kontroll, (2) en bekräftelse från serviceorganisationen, och (3) en tjänsterevisors revisionsberättelse. Även om dessa komponenter är obligatoriska, föreskriver standarden inte hur de ska presenteras i rapporten. ISAE 3402 är inte heller uppdelad i avsnitt, till skillnad från SAS 70-standarden (se standard 3402.9 sub j). Trots avsaknaden av föreskrivna komponenter har en bästa praxis utvecklats i Nederländerna.

Bästa praxis innehåller flera komponenter: en allmän beskrivning, en beskrivning av kontrollramverket och en kontrollmatris. Den allmänna delen innehåller en beskrivning av organisationen. Beskrivningen av kontrollramverket beskriver vanligtvis det fullständiga riskramverket enligt COSO. COSO:s ramverk uppdaterades till COSO 2013 under år 2013 och till COSO 2017 ERM under år 2017. En viktig skillnad jämfört med det ursprungliga COSO-ramverket är att de senaste versionerna innehåller principer.

I kontrollmatrisen kopplas mål till risker och de åtgärder som minskar dessa risker (kontroller) ingår. Alla kontroller som är relevanta för användarorganisationen är införlivade.

En revisor bedömer om alla förväntade kontroller ingår i revisionen. Efter denna granskning lämnar revisorn ett bestyrkandeuttalande i rapporten enligt standard 3402*. Ett sådant bestyrkande kallas ibland för en ISAE 3402-certifiering, även om det inte är ett certifikat utan snarare en bestyrkanderapport enligt standard 3402.

* Standard 3402 är den nederländska översättningen av den internationella standarden ISAE 3402.

Läs mer om Securance och ISAE 3402.