Lees meer SOC 2/3

In het afgelopen decennium hebben bedrijven steeds vaker gekeken naar outsourcing als een manier om de kosten te verlagen en inefficiënties te verbeteren. Naast outsourcing in het algemeen is de toename van uitbesteding van software als service en andere cloudgebaseerde technologieën de laatste 10 jaar enorm toegenomen. Door die toename van outsourcing is ook de behoefte aan accountantsrapportages bij serviceorganisaties toegenomen om er op passende wijze voor te zorgen dat deze dienstverleners beschikken over adequate interne controles op hun systemen. Het toegenomen gebruik van serviceorganisaties heeft ook de vraag naar controles van Service Organizations Controls (“SOC”) verhoogd.

Servicebedrijven die software als een service, platform als een service, gegevenshosting en andere cloudgebaseerde technologieën leveren, worden vaak gevraagd om hun klanten een SOC 2- of een SOC 3-rapport te verstrekken. Naarmate deze verzoeken van klanten voor deze rapporten frequenter worden, kan het vaak verwarrend zijn over welk rapport u moet verstrekken en welk rapport nuttiger is voor de serviceorganisatie. Naast SOC 2 en 3 is er ook nog de SOC 1. Dit is eigenlijk de oude (gedateerde) SAS-70 aanpak. Hieronder ziet u de vergelijking.

Service Organization Control Report (SOC)

In de SSAE18 standaard (AICPA) uit de Verenigde Staten zijn twee soorten rapportages opgenomen; een Service Organization Control Report I (SOC I) en een SOC 2. Deze terminologie wordt steeds vaker een internationaal gebruikt. Een ISAE 3402 rapport is binnen die terminologie een SOC1 rapport, een ISAE 3000 rapport is een SOC 2 rapport.
Een ISAE 3402 rapportage, is een rapportage over hoe de dienstverlener processen risico’s beheerst over de processen die geoutsourcet zijn. Outsourcing en specifieker de financiële processen zijn het toetsingskader voor deze rapportage. Een alternatief voor deze rapportage is de SOC 2 rapportage waarbij niet outsourcing het primaire toetsingskader is, maar informatiebeveiliging. De criteria voor informatiebeveiliging en privacy
zijn opgenomen in de Trust Service Criteria. Criteria ten aanzien van security, privacy, availability en confidentiality. Daarnaast is er een SOC 3 rapportage.

Heb ik een SOC 1 nodig?

Een Service Organization Control 1 is een audit van de interne beheersing gericht op het beveiligen van data van opdrachtgevers. SOC 1 audits worden verricht volgens Statement on Standards for Attestation Engagements No. 16 (SSAE 16). In een SOC1 zijn beheersdoelstellingen opgenomen die gebruikt worden voor de interne beheersing over financiële rapportage. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist- en volledig is opgenomen. In andere woorden; indien u data bewerkt of host die een
relatie heeft met een financieel proces, dan is SOC 1 van toepassing.

Heb ik een SOC 2 nodig?

Indien u data bewerkt of host die geen effect hebben op de jaarrekening van uw opdrachtgevers, dan is een SOC 2 van toepassing. In dit geval zijn uw opdrachtgevers voornamelijk geïnteresseerd of u op een juiste wijze omgaat met bijvoorbeeld informatiebeveiliging en privacy. In een SOC2 rapport zijn overeenkomstig met een SOC 1 rapport interne beheersingsmaatregelen opgenomen. De auditor zal het risico management, de interne beheersing en procedures onderzoeken. Het belangrijkste verschil is dat SOC2 rapportages zich niet richten op financiële processen, maar op de Trust Service Criteria; security, availability, confidentiality,
proccesing integrity en privacy in een service organisatie. Zijn deze beheersmaatregelen dan wezenlijk anders dan in een SOC 1? Nee, in een SOC 1 worden ook de General IT Controls opgenomen; de maatregelen die
noodzakelijk zijn om de informatiebeveiliging van financiële processen waarborgen.

SOC 2 en SOC 3 Achtergrond

SOC 2 en SOC 3-rapporten worden uitgevoerd in overeenstemming met AT Section 101 en maken gebruik van de auditgids van AIPCA. SOC 2 en SOC 3-onderzoeken worden gebruikt voor serviceorganisaties die rapporteren over controles die niet relevant worden geacht voor de interne controle van de gebruikersentiteit over financiële rapportage. De SOC 2 en SOC 3 rapporten zijn attestonderzoeken die vereisen dat de bedieningsorganen van de serviceorganisatie voldoen aan de gespecificeerde Trust Service Principles zoals gedefinieerd door de AICPA. De AIPCA heeft ook binnen elk principe specifieke criteria voor vertrouwensdiensten uiteengezet waaraan de controles van de serviceorganisatie moeten voldoen om aan het principe te voldoen. Servicecontracten die een SOC 2 of SOC 3 ontvangen, kunnen de reikwijdte van hun SOC-rapport bepalen door de vertrouwensbeginselen die op hen van toepassing zijn, te bepalen op basis van de aan hun klanten verleende diensten.

SOC 2 vs. SOC 3 SOC 2 versus SOC 3

De SOC 2 en SOC 3 examens zijn afhankelijk van de serviceorganisatie die hun controls ontwerpt en gebruikt om te voldoen aan de Trust Services Principles van Security, Availability, Processing Integrity, Confidentiality en Privacy. Omdat beide rapporten moeten voldoen aan dezelfde vereisten voor vertrouwensdiensten, is het werk dat door de auditor tijdens het onderzoek wordt uitgevoerd, vergelijkbaar; het primaire verschil tussen de SOC 2 en SOC 3 heeft echter betrekking op rapportage.
Een SOC 2-onderzoek is een beperkt te gebruiken rapport, wat in wezen betekent dat het rapport beperkt is tot gebruik door het management, de klanten en potentiële klanten van de serviceorganisatie. Daarnaast bevat het SOC 2-rapport een accountantsverklaring, bewering van het management, een volledige beschrijving van het systeem, evenals de controles van de serviceorganisaties en de resultaten van de tests van de auditor van die controles. Het typische SOC 2-rapport bevat aanzienlijke details die specifiek betrekking hebben op welke besturingselementen aanwezig zijn bij de serviceorganisatie en ook hoe die controles door de auditor zijn getest.
Een SOC 3-rapport is daarentegen een rapport voor algemeen gebruik dat kan worden verspreid onder elke partij of partijen. Daarnaast is het rapport veel kleiner van omvang en bestaat het uit een korte controleverklaring, bewering door het management en een korte beschrijving met achtergrondinformatie over de serviceorganisatie.Het SOC 3-rapport bevat heel weinig details over de specifieke bedieningselementen die binnen de serviceorganisatie werken, aangezien het rapport op de webpagina van de serviceorganisatie kan worden gedistribueerd.
Service-organisaties krijgen steeds vaker aanvragen voor SOC 2- en SOC 3-rapporten en de vraag rijst vaak welk onderzoek en rapport ze hadden moeten uitvoeren om aan alle verzoeken te voldoen. Het antwoord op deze vraag is echt van geval tot geval; de auditwerkzaamheden die worden uitgevoerd voor zowel SOC 2 als SOC 3 zijn echter in essentie hetzelfde, aangezien beide onderzoeken rapporteren over de interne controles van het bedrijf die specifiek zijn voor de Trust Service Principles. Servicebedrijven hebben ook de mogelijkheid om beide rapporten te hebben omdat de uitgevoerde controlewerkzaamheden hetzelfde zijn, met als enige verschillen de structuur van de twee rapporten, wat over het algemeen slechts resulteert in een marginale kostenstijging voor het bedrijf. Alvorens het juiste rapport te bepalen, moeten serviceorganisaties bepalen of ze een algemeen gebruiksrapport willen dat ze online aan een groot aantal potentiële klanten kunnen verstrekken, of ze nu een rapport voor beperkt gebruik willen dat aan een beperkt aantal klanten wordt verstrekt. of mogelijk beide rapporten.

Afier IT Auditors helpt u graag met het zichtbaar maken uw betrouwbaarheid.