Skip to main content
ISAE 3402 report example

Hoe verbeter je een SOC rapport en pas je dit aan de organisatie aan?

Systemen en controles - Bij SOC-rapportage draait alles om controles. Een ISAE 3402 SOC 1 rapportage richt zich op financiële outsourcing, zoals asset management, SaaS-providers (financiële software), datacenters (opslag van financiële data). De SOC 2-rapportage is gericht op een bredere scope voor gebruikersorganisaties met aanvullende vereisten op het gebied van beveiliging, beschikbaarheid, integriteit van verwerking, vertrouwelijkheid en privacy. Deze criteria staan ​​bekend als de Trust Services Criteria. Onze consultants adviseren veel organisaties bij het bereiken van het uiteindelijke doel; een professioneel SOC-rapport en een goedkeurende verklaring. Wat zijn de noodzakelijke stappen om dit te bereiken?

De methode

De eerste stappen zijn het begrijpen van de criteria, het kiezen van de juiste scope voor de audit en het volgen van een gestructureerde aanpak voor de imlementatie. In dit artikel zullen we schetsen hoe dit proces verloopt. Het ontvangen van een goedkeurde assurance verklaring is afhankelijk van vele factoren en vereist veel discipline van uw werknemers bij het volgen van procedures en het uitvoeren van controles, maar effectieve structurering en planning kan hierbij veel helpen!

Criteria

De criteria voor een ISAE 3402 SOC 1-rapport zijn voornamelijk afhankelijk van de rapportageprocedures van de gebruikersorganisatie, de SLA-overeenkomst en andere vereisten van de gebruikersorganisatie. De criteria voor een ISAE 3000 SOC 2-rapport zijn ontwikkeld door het American Institute of Certified Public Accountants (AICPA). De AICPA heeft criteria voor vertrouwensdiensten ontwikkeld die meer beschrijvend zijn en betrekking hebben op de controleomgeving, risicobeheer, communicatie en gedetailleerde controles, evenals gedetailleerde technische criteria.

Met andere woorden, de Trust Service Criteria beschrijven in grote lijnen wat er moet gebeuren, maar het staat organisaties vrij om controles te ontwikkelen. Auditors die door SOC-audits de controles van de organisatie verifiëren, observeren en herformuleren om te bepalen of de controles goed zijn opgezet, bestaan ​​en effectief werken om het gewenste resultaat te bereiken. De eerste stap in het SOC-implementatieproces is het definiëren van de reikwijdte van de audit.

Reikwijdte van de controle

Het verkrijgen van een overzicht van de omgeving en systemen is van cruciaal belang voor het definiëren van de reikwijdte. Daarom starten de Risklane SOC-implementatieprojecten met een zorgvuldige analyse van de organisatie, de infrastructuur, geleverde diensten en processen. Zonder deze analyse zal de kwaliteit van het SOC-rapport niet optimaal zijn, wat uiteindelijk kan leiden tot een oordeel met beperking of in ieder geval een ineffectieve ISAE 3402- of ISAE 3000-audit. Voor een ISAE 3000 SOC 2-rapport is de volgende stap het begrijpen van de Trust Services Criteria.

Inzicht in Trust Services Criteria

De eerste stap om de criteria te begrijpen, is deze te verwerven van de AICPA-website en deze te bestuderen in relatie tot het gedefinieerde toepassingsgebied. De Trust Services Criteria staan ​​in een omvangrijk document en de specifieke taal kan soms wat moeilijk te begrijpen zijn, maar als u uw tijd investeert in het bestuderen ervan, zal dit in een later stadium van de audit vruchten afwerpen. In de Trust Services Criteria zijn voorbeelden voor elk criterium opgenomen van de risico's en controles die deze risico's doorgaans beperken. Na het begrijpen van de criteria, moeten de controles in kaart worden gebracht op risico en omgekeerd.

Risico's en controles in kaart brengen

De meest voorkomende fouten die we in bestaande frameworks identificeren, zijn niet-gematchte of redundante controles. Niet-gematchte interne beheersingsmaatregelen zijn interne beheersingsmaatregelen die niet effectief een gedefinieerd risico dekken of risico's waarvoor interne beheersingsmaatregelen ontbreken (niet-gematchte interne beheersingsmaatregelen). Overbodige interne beheersingsmaatregelen worden gedefinieerd als interne beheersingsmaatregelen die worden gedekt door andere interne beheersingsmaatregelen of die helemaal geen risico dekken. Deze redundante controles zijn in wezen aanwezig, zonder een echt doel. Na deze analyse en matching is de volgende stap het creëren van een control matrix.

Een control matrix creëren

Het documenteren van beheersdoelstellingen en gerelateerde controles in een gestructureerde control matrix zal om meer dan één reden voordelig zijn; het zal de bron worden voor de manier waarop risicocontroles worden gestructureerd en geïmplementeerd en het zal een belangrijk referentiedocument worden voor uw SOC-auditors.

Zo worden de Trust Services Criteria met betrekking tot monitoring controls gekoppeld aan een lijst met bevestigende controles, die aantonen hoe deze controles het relevante risico beperken, goed ontworpen zijn en effectief werken. In onze ervaring moeten deze zo gedetailleerd mogelijk zijn; wie voert de controle uit? Welke informatie wordt gebruikt? Wat is de uitkomst? Hoe wordt dit gedocumenteerd? Het beantwoorden van deze vragen zal voor uw auditor zeer nuttig zijn om te valideren dat de vermelde interne beheersingsmaatregelen aanwezig zijn, ontworpen zijn om de controledoelstellingen te bereiken en effectief zijn. In toekomstige artikelen zullen we dieper ingaan op hoe u uw control framework kunt structureren. Na deze fase volgt de readiness assessment (pre-audit), waarna de rapportage wordt aangepast en de uiteindelijke audit kan worden voorbereid.

Audit voorbereiding

Het eerder beschreven proces lijkt misschien een beetje beangstigend, geen paniek. Wij kunnen u daarbij ondersteunen. We kunnen u helpen om de Trust Services Criteria te begrijpen en u te adviseren over hoe u controles effectief kunt afstemmen op risico's en overbodige controles kunt verwijderen. Natuurlijk kunt u ook een ControlReports-licentie verkrijgen voor ISAE 3402 SOC 1-implementatie of ISAE 3000 SOC 2-implementatie, die een goed gedefinieerde aanpak en effectieve workflow biedt om de verschillende ementen te onderzoeken, begrijpen en definiëren. Beide resulteren uiteindelijk in een SOC-rapportage in overeenstemming met onze best practices in de branche, gebaseerd op jarenlange ervaring. Neem dan contact op met Koen van der Aa (+31) 30 2800888. Hij helpt je graag verder met het opstarten van het proces.