ISAE 3402 Type II: de observatieperiode en wat je moet weten

Een ISAE 3402 Type II rapport biedt het hoogste niveau van assurance over de interne beheersing van een serviceorganisatie. Anders dan een Type I rapport, dat een momentopname is, toetst Type II of controls gedurende een aaneengesloten periode effectief hebben gewerkt. Die periode bedraagt minimaal zes maanden en dekt bij voorkeur een volledig boekjaar van twaalf maanden.

Waarom zes maanden?

De minimale observatieperiode van zes maanden is geen willekeurige keuze. De accountant van jouw klant moet kunnen steunen op het ISAE 3402 rapport voor de jaarrekeningcontrole. Een periode korter dan zes maanden biedt onvoldoende dekking en vereist dat de accountant aanvullende werkzaamheden uitvoert. Dit maakt het rapport minder waardevol voor zowel jou als je klant.

De meeste organisaties kiezen voor een observatieperiode van twaalf maanden die samenvalt met het boekjaar (1 januari tot 31 december). Dit biedt maximale dekking en voorkomt dat klanten een bridge letter nodig hebben voor de tussenliggende maanden.

De rapportagedatum en timing

De observatieperiode eindigt op de rapportagedatum. Na deze datum voert de auditor de afrondende testwerkzaamheden uit en stelt het rapport op. De doorlooptijd van rapportagedatum tot oplevering van het rapport is doorgaans vier tot acht weken.

Timing is belangrijk. Als jouw klanten het rapport nodig hebben voor hun jaarrekeningcontrole in het eerste kwartaal, moet de rapportagedatum uiterlijk 31 december zijn en het rapport bij voorkeur in februari beschikbaar zijn. Plan het traject hierop in.

Wat test de auditor?

Gedurende de observatieperiode verzamelt de auditor bewijs dat controls consistent hebben gewerkt. De testwerkzaamheden worden doorgaans in twee fasen uitgevoerd: een interim testing gedurende de observatieperiode en een final testing rond de rapportagedatum.

De auditor selecteert per control een steekproef van transacties of gebeurtenissen uit de gehele observatieperiode. Bij een twaalfmaandsperiode kan de auditor een steekproef nemen van toegangswijzigingen in maart, change requests in juni, incidenten in september en access reviews in november. Zo wordt de gehele periode afgedekt.

Controls die periodiek worden uitgevoerd (bijvoorbeeld maandelijkse access reviews of kwartaal risicobeoordelingen) worden getest door te verifiëren of ze in elke periode zijn uitgevoerd. Een gemiste maand leidt tot een bevinding.

Bewijsverzameling tijdens de periode

Het grootste risico bij een ISAE 3402 Type II traject is onvoldoende bewijs. Als je na acht maanden ontdekt dat de change management logs van maand twee incompleet zijn, kun je dat niet meer repareren. Het bewijs van die periode is er, of het is er niet.

Wij raden aan om bewijsverzameling als een doorlopend proces in te richten, niet als een eenmalige exercitie aan het eind van de periode. Per control definieer je welk bewijs wordt vastgelegd, wie verantwoordelijk is, en hoe het wordt opgeslagen. Het Secure Audit Platform ondersteunt dit proces door per control en per periode inzichtelijk te maken welk bewijs wordt verwacht en wat al is aangeleverd.

Wat als er bevindingen zijn?

Bevindingen (exceptions) zijn onvermijdelijk en hoeven niet problematisch te zijn. De auditor rapporteert exceptions transparant in het rapport, inclusief de impact en de management response. Een klein aantal exceptions ondermijnt het rapport niet, mits ze niet het hart van de control raken.

Wat wel problematisch is, zijn structurele tekortkomingen: een control die gedurende meerdere maanden niet heeft gewerkt, of die aantoonbaar niet effectief is. In dat geval kan de auditor een qualified opinion of een adverse opinion geven, wat het rapport aanzienlijk minder bruikbaar maakt.

Secure Audit levert ISAE 3402 Type I en Type II rapporten en begeleidt organisaties gedurende de volledige observatieperiode. Neem contact op om het traject te plannen.