Service Organization Control Report (SOC)

In de SSAE18 standaard (AICPA) uit de Verenigde Staten zijn twee soorten rapportages opgenomen; een Service Organization Control Report I (SOC I) en een SOC 2. Deze terminologie wordt steeds vaker een internationaal gebruikt. Een ISAE 3402 rapport is binnen die terminologie een SOC1 rapport, een ISAE 3000 rapport is een SOC 2 rapport.

SOC 1 of SOC 2?

Een ISAE 3402 rapportage, is een rapportage over hoe de dienstverlener processen risico's beheerst over de processen die geoutsourcet zijn. Outsourcing en specifieker de financiële processen zijn het toetsingskader voor deze rapportage. Een alternatief voor deze rapportage is de SOC 2 rapportage waarbij niet outsourcing het primaire toetsingskader is, maar informatiebeveiliging. De criteria voor informatiebeveiliging en privacy zijn opgenomen in de Trust Service Criteria. Criteria ten aanzien van security, privacy, availability en confidentiality. Daarnaast is er een SOC 3 rapportage.

Heb ik een SOC 1 nodig?

Een Service Organization Control 1 is een audit van de interne beheersing gericht op het beveiligen van data van opdrachtgevers. SOC 1 audits worden verricht volgens Statement on Standards for Attestation Engagements No. 16 (SSAE 16). In een SOC1 zijn beheersdoelstellingen opgenomen die gebruikt worden voor de interne beheersing over financiële rapportage. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist- en volledig is opgenomen. In andere woorden; indien u data bewerkt of host die een relatie heeft met een financieel proces, dan is SOC 1 van toepassing.

Heb ik een SOC 2 nodig?

SOC 2 Trust Service CriteriaIndien u data bewerkt of host die geen effect hebben op de jaarrekening van uw opdrachtgevers, dan is een SOC 2 van toepassing. In dit geval zijn uw opdrachtgevers voornamelijk geïnteresseerd of u op een juiste wijze omgaat met bijvoorbeeld informatiebeveiliging en privacy. In een SOC2 rapport zijn overeenkomstig met een SOC 1 rapport interne beheersingsmaatregelen opgenomen. De auditor zal het risico management, de interne beheersing en procedures onderzoeken. Het belangrijkste verschil is dat SOC2 rapportages zich niet richten op financiële processen, maar op de Trust Service Criteria; security, availability, confidentiality, proccesing integrity en privacy in een service organisatie. Zijn deze beheersmaatregelen dan wezenlijk anders dan in een SOC 1? Nee, in een SOC 1 worden ook de General IT Controls opgenomen; de maatregelen die noodzakelijk zijn om de informatiebeveiliging van financiële processen waarborgen.

Welke soort rapportage is nu het beste voor mij; een SOC 1 of een SOC 2?

Een belangrijk verschil is dat privacy niet verplicht opgenomen is in een SOC 1 en in een SOC 2 op basis van de Trust Service Criteria, wel. Indien u klanten heeft die in beide categorieën vallen, dan is er een redelijke kans dat u gevraagd zult worden om beide aan te leveren. U kunt bepalen of u een SOC 1 of SOC 2 rapport nodig heeft zodat u de behoeften vervult van een groot variëteit opdrachtgevers. Risklane biedt een unieke Online Audit Tool (SOCassurance) die u ondersteunt om de SOC 1 en SOC 2 audit te integreren, die resulteert in twee afzonderlijke rapportages. Zonder meerkosten.

Indien u meer informatie wilt over de impact van SOC 1 (ISAE 3402), SOC 2 (ISAE3000) voor uw organisatie neemt u dan contact op met drs. Emile J. ten Hoor RA (+31) 06 26736001 of belt u met ons algemene nummer (+31) 030 2800088.