ISAE 3402 Type 1 vs Type 2: het verschil en welke kies je?

Verschil ISAE 3402 type 1 en type 2

De twee varianten van ISAE 3402-rapportage worden vaak genoemd in aanbestedingen en Assurance-trajecten, maar in de praktijk wordt hun doel geregeld door elkaar gehaald.
Het onderscheid zit niet in de vorm van de rapportage, maar in de diepte van de toetsing en de periode waarop die betrekking heeft.

Wat Type 1 precies laat zien

Een Type 1-rapport beschrijft het ontwerp en het bestaan van de beheersmaatregelen op één vast moment in de tijd.
De auditor onderzoekt of de maatregelen op dat moment goed zijn opgezet en aanwezig zijn, maar niet of ze ook hebben gewerkt in de praktijk.
Daarom is Type 1 vooral geschikt als startpunt of eerste meting bij een nieuwe dienst, platform of proces.

Hulp nodig met ISAE?

Onze consultants helpen je graag verder.

Neem contact op

 

Hoe Type 2 verder gaat

Een Type 2-rapport gaat een stap verder.
Hier beoordeelt de auditor niet alleen het ontwerp, maar ook de werking van de beheersmaatregelen over een aaneengesloten periode – meestal minimaal zes maanden.
Dat betekent dat er testresultaten worden opgenomen die aantonen of de controls in de dagelijkse operatie hebben gefunctioneerd zoals bedoeld.
Voor organisaties die vertrouwen willen kunnen baseren op de rapportage, bijvoorbeeld binnen financiële verslaggeving of vendor-audits, is Type 2 daardoor waardevoller.

Kort samengevat

  • Type 1 = momentopname: zijn de controles goed ontworpen en aanwezig?
  • Type 2 = periode-toetsing: werken ze aantoonbaar gedurende de afgesproken periode?

De vaste onderdelen van het rapport

In beide gevallen bestaat het rapport uit dezelfde onderdelen:
de management-verklaring, een beschrijving van het systeem, de control objectives en de auditor-conclusie.
Alleen bij Type 2 komen daar de testprocedures en de resultaten bij.
Dat maakt het rapport relevanter voor partijen die vertrouwen willen kunnen steunen op daadwerkelijke werking van controls.

Wanneer kies je Type 1, wanneer Type 2?

De keuze hangt vooral af van de fase waarin de organisatie zich bevindt en wat de gebruiker van het rapport ermee wil doen.

Type 1: geschikt voor een eerste toetsing

Een Type 1-rapport is handig wanneer processen nog in ontwikkeling zijn.
Het laat zien dat het control-framework bestaat en logisch is ingericht, zonder dat het al maandenlang operationeel hoeft te zijn.
Bij nieuwe diensten of systemen is dit vaak voldoende om richting klanten te laten zien dat de basis op orde is.

Type 2: bewijs van werking

Wanneer processen stabiel draaien, biedt Type 2 meer waarde.
Het toont niet alleen het ontwerp, maar ook de werking van de beheersmaatregelen over een periode van minimaal zes maanden.
Daarmee levert het een betrouwbaarder beeld voor partijen die op deze controles willen steunen, bijvoorbeeld bij financiële audits of leveranciersbeoordelingen.

Van Type 1 naar Type 2

Veel organisaties kiezen voor een gefaseerde aanpak: eerst Type 1 om de inrichting te valideren, daarna Type 2 als bewijs van structurele werking.
Deze overgang verloopt vaak natuurlijk zodra voldoende operationele data beschikbaar is.

CUECs en subservice-organisaties

ISAE 3402-rapporten bieden houvast over de inrichting en werking van interne controles, maar ze hebben ook grenzen. Die zitten vaak in de afhankelijkheden buiten het eigen systeem: de zogenaamde CUECs en subservice-organisaties.

Wat CUECs betekenen

CUECs (Complementary User Entity Controls) zijn controles die niet door de service-organisatie zelf worden uitgevoerd, maar door de gebruiker van de dienst.
Denk aan toegangsbeheer of het controleren van output-rapportages.
Wanneer deze niet goed zijn ingericht bij de gebruiker, kan zelfs een perfect werkend proces bij de service-organisatie alsnog risico’s laten bestaan.
Daarom vermeldt de auditor in het rapport welke CUECs nodig zijn om de control-doelstellingen volledig te halen.

De rol van subservice-organisaties

Veel diensten leunen op leveranciers, bijvoorbeeld hosting- of datacenterpartijen.
Deze partijen vallen onder de term subservice-organisaties.
Bij het opstellen van een ISAE 3402-rapport kan de organisatie kiezen voor een carve-out-benadering (de subservice wordt buiten scope gehouden) of een inclusive-benadering (de subservice wordt volledig meegenomen).
De keuze bepaalt hoe compleet het beeld in het rapport is.

Een verkeerde keuze of onduidelijke afbakening zorgt regelmatig voor interpretatieproblemen bij de gebruiker van het rapport.
Als cruciale processen bij een subservice liggen, maar buiten scope vallen, kan het rapport minder bruikbaar zijn voor reliance-doeleinden.

Belangrijk voor de lezer van het rapport

Wie een ISAE 3402-rapport gebruikt, moet dus altijd nagaan:

  • welke CUECs van toepassing zijn, en
  • of de subservice-organisaties binnen of buiten scope vallen.

Alleen dan kan het rapport correct worden geïnterpreteerd en gebruikt als betrouwbaar onderdeel van een audit- of vendor-beoordeling.

Een goed gekozen ISAE 3402-type versterkt het vertrouwen van klanten en auditors, mits het rapport helder, volledig en consistent is opgesteld.
Wil je zeker weten dat de gekozen scope, CUECs en subservice-keuzes aansluiten op de verwachtingen van jouw stakeholders?

     

    Meer weten over de verschillen tussen ISAE 3402 type 1 en type 2? Volg onze socials.

    Youtube Linkedin Spotify