Top 5 veelgestelde vragen over ISAE 3402 type 2
1. Wat is het verschil tussen ISAE 3402 type 1 en 2?
Een type 1 rapport betreft een onderzoek naar de opzet en het bestaan van processen rondom informatiebeveiligingsbeleid en risicomanagement en de daaruit voorkomende maatregelen. Bij type 2 wordt ook de effectieve werking van deze maatregelen onderzocht gedurende een bepaalde periode. Met name de toetsing van de effectieve werking van de maatregelen over een voorafgaande periode is waar de waarde zich bevindt van de ISAE 3402 type 2 assurance. Zo kan worden aangetoond dat processen daadwerkelijk worden beheerst.
2. Kan het wettelijk verplicht zijn om ISAE 3402 te eisen aan serviceorganisaties?
In wetgeving kan zijn vastgelegd dat een uitbestedende organisatie (ook wel gebruikersorganisatie genoemd) in het geval van outsourcing kan aantonen dat processen worden beheerst. Dit betekent dat bijvoorbeeld een financiële instelling, zoals een verzekeraar of bank, van een leverancier altijd een Service Organisation Control (SOC) rapport zal vereisen, voordat deze leverancier aan de organisatie diensten mag leveren. De financiële instelling toont door middel van het ISAE 3402 type 2 rapport aan dat alle uitbestede processen die van invloed zijn op de jaarrekening worden beheerst.
3. Wat is de relatie tussen ISAE 3402 type 2 en accountants?
ISAE 3402 type 2 rapporten worden in toenemende mate vereist door accountants van uitbestedende organisaties. De accountant die de jaarrekening van deze gebruikersorganisatie controleert, zal de uitbesteedde processen moeten beoordelen wanneer deze van invloed zijn op (de integriteit van) de jaarrekening. Indien de serviceorganisatie (zoals een IT-leverancier) een ISAE 3402 type 2 rapportage heeft, is het niet noodzakelijk dat de accountant van de gebruikersorganisatie (user auditor) processen controleert, aangezien deze al gecontroleerd zijn door een andere externe accountant (service auditor).
4. Hoe is een ISAE 3402 rapportage opgebouwd?
De inhoud van een ISAE 3402 rapportage is in beginsel vormvrij. Een aantal onderdelen moet verplicht worden opgenomen, zoals een beschrijving van het risicomanagement framework, de criteria waarop de ISAE 3402 rapportage getoetst wordt en de maatregelen die waarborgen dat aan deze criteria is voldaan. Het is gebruikelijk om een algemeen deel op te nemen in de rapportage, met daarin een beschrijving van de organisatie en het risicomanagement framework. Naast het algemene deel wordt een control matrix opgenomen, een beschrijving van de beheersdoelstellingen en de beheersmaatregelen die deze doelstellingen realiseren. De beheersdoelstellingen moeten afgestemd zijn op de jaarrekening van de gebruikersorganisatie.
5. Wat heeft de voorkeur: ISO 27001 of ISAE 3402 type 2?
Belangrijk is dat het twee aparte onderwerpen betreft. Bij ISO 27001 gaat het om een certificering omtrent informatiebeveiliging. Bij ISAE 3402 type 2 gaat het om processen die worden uitbesteed en de beheersing daarvan, met inachtneming van risicomanagement. Risicomanagement is tevens de basis voor ISO 27001, dus in dat opzicht gaat men bij beide uit van een risicogerichte aanpak.
In het geval van ISO 27001 is de auditfrequentie lager, is de diepgang van de audit anders en is de norm gericht op de vaststelling van processen voor toekomstige werkzaamheden. Dit is onder ISAE 3402 type 2 anders. Bij ISAE 3402 kan de organisatie een eigen normenkader selecteren, wat beter aansluit bij de behoefte van de organisatie. Tevens is de auditfrequentie hoger (minimaal jaarlijks het volledige rapport in plaats van slechts surveillance audits over deelonderwerpen bij ISO 27001). Verder toetst ISAE 3402 type 2 terug in de tijd, waardoor met een hoge mate van zekerheid kan worden gesteld dat bepaalde processen daadwerkelijk zijn beheerst. Dit biedt voor organisaties meer zekerheid dan een ISO 27001 certificering die vooraf wordt afgegeven.