Er zijn twee soorten ISAE 3402 rapportages; een type I rapport en een type II rapport. Inhoudelijk zijn beide typen rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet) en bestaan op één bepaald moment. Om dit vast te stellen 'loopt' de accountant processen door (lijncontroles). Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook effectief gewerkt hebben. Een type I rapportage heeft dus betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.

ISAE 3402 Type I

 Doordat een ISAE 3402 type I rapport betrekking heeft op één specifieke datum is een type I rapportage voor een gebruikersorganisatie en haar accountant beperkt bruikbaar omdat hieruit niet blijkt of maatregelen ook goed gewerkt hebben gedurende een periode. Een ander verschil tussen een type I en een type II rapportage is dat de service auditor zijn bevindingen niet verplicht hoeft op te nemen in de rapportage.

ISAE 3402 type II rapport

Een ISAE 3402 type II is, zoals vermeld, inhoudelijk hetzelfde rapport als een type I rapport. Hierbij is alleen in de verklaring van de accountant nog opgenomen dat de beschreven beheersmaatregelen over een periode van minimaal zes maanden* effectief gewerkt hebben. Een gevolg hiervna is dat de controle is veel uitgebreider dan een type I audit; bijvoorbeeld beheersmaatregelen die iedere dag worden uitgevoerd, worden worden tussen de 15 tot 25 per jaar getoetst op hun effectieve werking.

Meer zekerheid

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.

Verplichte onderdelen

Een ISAE 3402 rapportage is relatief 'vormvrij'. De standaard schrijft onder andere voor dat risk management ingericht moet zijn, dat de IT infrastructuur beheerst moet worden en dat het risico management systeem effectief gemonitord moet worden. In een ISAE 3402 rapportage moeten een aantal onderdelen verplicht opgenomen worden;(1) een beschrijving van het interne controle raamwerk, (2) een bevestiging van de service organisatie en (3) een service auditor assurance rapport. Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de apportage. Ook kent ISAE 3402 kent geen onderverdeling in secties, zoals de SAS 70 standaard deze wel kende (ref. standaard 3402.9 sub j). Ondanks dat er geen verplichte onderdelen zijn is er in Nederland een best practice ontstaan.

'Best practice'

Algemeen deel

In de 'best practice' zijn een aantal onderdelen opgenomen; een algemene beschrijving, een beschrijving van het control framework en een control matrix. In het algemene deel is een beschrijving van de organisatie opgenomen. In de beschrijving van het control framework; wordt het volledige risico raamwerk meestal volgens COSO beschreven. Het COSO-framework is in 2013 geupdate naar het COSO 2013 framework en in 2017 tot het COSO 2017 ERM-framework. Een belangrijk verschil met het oorspronkelijke COSO-framework is dat in de laatste versies principles zijn opgenomen.

Control matrix

In de control matrix worden doelstellingen verbonden aan risico's en zijn de maatregelen opgenomen die deze risico's verminderen; de zogenaamde controls. Alle controls die relevant zijn voor de gebruikersorganisatie worden opgenomen.

Assurance rapport

Een accountant toetst of alle controls die hij verwacht zijn opgenomen, tijdens de audit. Na deze controle voorziet de accountant de rapportage van een assurance mededeling volgens Standaard 3402*. Een dergelijke assurance mededeling wordt ook wel een ISAE 3402 certificering genoemd, feitelijk is het geen certificaat, maar een assurance rapportage volgens standaard 3402.

ISAE 3402 advies?

ISAE 3402 rapportages worden niet alleen door uw klanten gelezen, maar ook door hun accountants. Een rapportage die niet voldoet aan de 'best practice' of een rapportage die minder professioneel is beschreven, wordt door uw klant of de accountant van uw klant waarschijnlijk herkend als minder professioneel. Door de ervaring van Risklane met ISAE 3402 sinds 2004 zijn wij goed in staat om een professionele rapportage op te stellen. Wij kunnen u ook een passend advies te geven over hoe u maatregelen kunt verbeteren, zodat u risico's beter onder controle heeft.

Lees meer over Risklane en ISAE 3402.

*) Standaard 3402 is de Nederlandse vertaling van de internationale ISAE 3402-standaard