ISAE 3402

De ISAE 3402 kent twee typen rapportages, het ISAE 3402 type I rapport en het ISAE3402 type II rapport.

Het type I rapport betreft een momentopname, hierin wordt beschreven hoe het proces en de beheersingsmaatregelen op een bepaald moment zijn geïmplementeerd (opzet). De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen om de gestelde beheersingsdoelstelling te bereiken en stelt de implementatie ervan vast (bestaan). Een type I rapport moet worden gezien als informatief rapport. Het ontbreken van zekerheid over de werking betekent dat het rapport geen direct bewijs levert voor de oordeelsvorming over de uitkomsten van het proces.

Het type II rapport betreft een periode, minimaal zes maanden tot een jaar. Het rapport beschrijft het proces en de beheersingsmaatregelen zoals deze gedurende de gedefinieerde periode hebben gewerkt. De auditor toetst de toereikendheid van de beschreven beheersingsmaatregelen voor het bereiken van de beheersingsdoelstelling en stelt vast dat de implementatie ervan gedurende de rapportageperiode in overeenstemming is met de beschrijving. Daarnaast wordt de effectiviteit (werking) van de beheersingsmaatregelen gedurende de rapportageperiode gecontroleerd.

Welk type ISAE 3402 is voor uw organisatie van toepassing?

Welk ISAE 3402 type moet worden uitgevoerd wordt vaak bepaald door de uitbestedende organisatie. Zij stellen veelal in een overeenkomst welke type rapport zij willen ontvangen. Als de serviceorganisatie zelf de keuze heeft adviseren wij om bij een eerste ISAE 3402-traject te beginnen met een type I. Op basis daarvan kan worden vastgesteld welke beheersmaatregelen nog moeten worden ingericht of moeten worden verbeterd. Nadat de verbetering(en) zijn doorgevoerd kan na minimaal 6 maanden een ISAE 3402 type II worden uitgevoerd. Q-RESULTANCY adviseert u graag over welk type het beste geschikt is voor uw organisatie!

Neem contact op