ISAE 3402 type 1 en 2: het verschil
Steeds meer organisaties besteden belangrijke processen uit aan serviceorganisaties. Denk daarbij aan pensioenfondsen of SaaS-bedrijven (Software as a Service). Wanneer een organisatie dit doet, wil ze erop vertrouwen dat haar gegevens veilig zijn bij de betreffende serviceorganisatie. Gaan zij wel verantwoord om met informatie en eventuele risico’s rondom informatiebeveiliging?
Als serviceorganisatie kunt u dit aantonen met een ISAE 3402- of 3000-verklaring. Verwerkt u financiële gegevens van de klant? Dan is de ISAE 3402-verklaring van toepassing. Doet u dit niet? Dan is ISAE 3000 van toepassing. In deze blog gaan we verder in op ISAE 3402. Bij de ISAE 3402 verklaring maken we onderscheid tussen type 1 en 2. In deze blog leest u:
- wat ISAE 3402 inhoudt;
- het verschil tussen type 1 en 2; en
- wat de voordelen van een ISAE 3402 certificering zijn.
Dit houdt ISAE 3402 in
ISAE staat voor International Standard Assurance Engagements. De norm is ontstaan doordat organisaties en toezichthouders meer behoefte kregen grip op het uitbesteden van processen. De ISAE 3402 geeft meer inzicht in het uitbesteden van het verwerken van financiën. Hieronder leest u meer over het verschil tussen ISAE 3402 type 1 en 2.
Het verschil tussen ISAE 3402 type 1 en 2
De ISAE 3402 verklaring kan worden afgegeven in een type 1 en type 2 rapportage. Inhoudelijk zijn deze rapporten hetzelfde. Het verschil zit in de periode van de audit. Hieronder leest u per type een korte uitleg.
Type 1
De ISAE 3402 type 1 verklaring is een momentopname. Het rapport beschrijft het proces en de beheersmaatregelen die uw organisatie op een bepaald moment implementeerde. De auditor gaat na of de beschreven maatregelen toereikend zijn en of u ze daadwerkelijk geïmplementeerd heeft. Hij toetst dus of datgene wat op papier staat overeenkomt met de werkelijkheid. Het oordeel van de auditor komt in het auditrapport.
Type 2
De controle van type 2 is uitgebreider dan bij type 1. ISAE type 2 is namelijk een audit over een periode van minimaal zes maanden, maar vaak een heel (boek)jaar. In dit rapport staat het proces en de beheersmaatregelen over deze periode. Net als bij type 1 toetst de auditor of de maatregelen toereikend zijn. Ook gaat hij na of de implementatie van de maatregelen gedurende de periode overeenkomt met de opzet van de procedure. Anders dan bij type 1, test de auditor de effectiviteit van de beheersmaatregelen gedurende de rapportageperiode. Het oordeel van de auditor komt in het auditrapport, samen met de uitgevoerde testwerkzaamheden.
Samenvattend is het belangrijkste verschil tussen ISAE 3402 type 1 en 2 dat type 1 een momentopname is en type 2 zich afspeelt over een langere periode. Type 2 laat zien of de maatregelen ook echt effectief zijn. Het is daardoor bruikbaarder dan een type 1 verklaring. Een type 2 rapport biedt meer zekerheid voor informatiebeveiliging.
De voordelen van een ISAE 3402 certificaat
We zetten de voordelen van het behalen van een ISAE 3402 type 1 of 2 certificaat voor u op een rij:
- U geeft uw klanten de zekerheid dat ze hun diensten zonder zorgen aan u kunnen uitbesteden.
- Met de verklaring heeft u een streepje voor op organisaties die het niet hebben.
- De verklaring is internationaal erkend.
- De verklaring draagt bij aan de professionalisering van uw organisatie.