SOC 2 voor IT-serviceorganisaties

Steeds meer bedrijven maken gebruik van IT-serviceorganisaties voor hun geautomatiseerde gegevensverwerking, variërend van een web-applicatie tot aan de volledige uitbesteding van de automatisering. Voor deze IT-serviceorganisaties is het, voor het vertrouwen van hun klanten, van toegevoegde waarde om een onafhankelijk oordeel over de beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy te kunnen overleggen.
IT-serviceorganisaties kunnen hiervoor gebruik maken van de internationaal erkende Service Organisatie Control standaard (SOC 2).

Wat is SOC 2?

SOC 2 biedt een IT-serviceorganisatie  een uniforme mogelijkheid om klanten en de auditors van klanten inzicht te geven in de, op de service van toepassing zijnde, beheersmaatregelen en -processen. In een SOC 2-onderzoek beoordeelt een onafhankelijke audit-organisatie de beheersingsdoelstellingen en -maatregelen van de serviceorganisatie. In een formeel SOC 2 assurance-rapport wordt een verklaring van de auditor opgenomen. Hiermee geeft u bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die u biedt aan uw gebruikers. Hiermee toont u aan dat u SOC 2 compliant bent.

De SOC 2 assurancerapportage verschilt van andere, traditionele certificeringen omdat de SOC 2 assurancerapportage uitgebreider is en deze jaarlijks wordt uitgevoerd door middel van een audit. SOC 2 onderscheidt twee typen rapportages, SOC 2 Type 1 & SOC 2 Type 2.
Lees hier meer over SOC 2 Type 1 en Type 2 verklaringen.

SOC 2 audit ondersteuning

Wij hebben jarenlange ervaring met SOC 2 trajecten bij IT-serviceorganisaties. Onze organisatie bestaat uit een enthousiast team van bij NOREA geregistreerde IT-auditors (RE's), die u van begin tot einde begeleiden bij het verkrijgen van SOC 2 Type 1 en SOC 2 Type 2 verklaring. Wij begeleiden de SOC2 audits voor start ups en scale ups.

Voordelen SOC 2 voor IT-serviceorganisatie

  • De kwaliteit van de aan u uitbestede processen is gewaarborgd aan uw klanten.
  • U krijgt van een externe partij bevestigd dat uw organisatie goed beheerst wordt.
  • De accountant van een gebruikersorganisatie kan steunen op deze rapportage voor de audit van een jaarrekening.
  • Het is niet langer noodzakelijk dat opdrachtgevers auditors bij u langs sturen.
  • Uw organisatie is 'in control' en dit draagt u uit naar (potentiële) klanten.

SOC 2 aanpak 2-Control

Onze doelstelling is te komen tot een assurance-verklaring over beveiliging (verplicht), beschikbaarheidintegriteitvertrouwelijkheid en/of privacy, zoals uiteengezet in de SOC 2 richtlijnen, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA. 

Om aan deze doelstelling te kunnen voldoen doorlopen wij met u de volgende fasen:

  1. Nulmeting:
    a. Afstemming van scope;
    b. Afstemming van normen.

  2. Beoordeling van beschrijving en opzet van beheersmaatregelen: SOC 2 type 1 audit
    a. Controleren van getrouw beeld van de beschrijving van het systeem;
    b. Vaststellen van opzet van beheersmaatregelen door o.a. interviews, bestuderen documentatie en maatregelen, waarneming, testen en steekproeven;
    c. Vergelijken werkelijkheid met normen;
    d. Kwaliteitsbeoordeling en rapporteren over beschrijving en opzet (SOC type 1 verklaring).

  3. Beoordeling van effectieve werking van beheersmaatregelen: SOC 2 type 2 audit
    a. Periodiek vaststellen van werking van beheersmaatregelen door o.a. interviews, waarneming, testen en steekproeven;
    b. Vergelijken werkelijkheid met normen;
    c. Kwaliteitsbeoordeling en rapporteren (SOC 2 type 2 verklaring).

Verschillen SOC 2 en ISO 27001

  • ISO 27001 is een security standaard, in deze standaard zijn richtlijnen opgenomen voor informatiebeveiliging van een organisatie. SOC 2 is een audit standaard over uitbestede IT-processen. ISO 27001 heeft om die reden een beperkte toegevoegde waarde voor een accountant.
  • ISO 27001 kent ook geen toetsingskader, zoals SOC 2 dat kent.
  • Een ISO audit leidt uiteindelijk tot een certificaat en SOC 2 tot een assurance-rapport.
  • Een SOC 2 assurance-rapport geeft de klant inzicht in de organisatie, middelen en processen, die de kwaliteit van de geautomatiseerde gegevensverwerking bij de IT-serviceorganisatie waarborgen. Op basis van een ISO certificaat ontbreekt dit inzicht.

Verschillen SOC 2 en ISAE 3402

  • ISAE 3402 wordt met name gebruikt om een oordeel te geven over processen die impact hebben op financial reporting. Denk hierbij aan het outsourcen van administratie, credit management, vermogensbeheer, vastgoedbeheer, payroll & HR services en pensioenuitvoering. SOC 2 wordt gebruikt door IT-serviceorganisaties om klanten het vertrouwen te kunnen overleggen over beveiligingbeschikbaarheidintegriteitvertrouwelijkheid en/of privacy.
  • Voor lezers van een SOC 2 assurance-rapport is direct duidelijk op basis van welke criteria dit vertrouwen wordt gegeven. Bij SOC 2 dient de auditor de zogenaamde voorgeschreven Trust Service Criteria te hanteren als toetsingskader. Lezers van een ISAE 3402 assurance-rapport kunnen pas op basis van de details van het rapport vaststellen op basis van welke criteria vertrouwen wordt gegeven. De toetsingscriteria zijn bij ISAE 3402 vormvrij.

Uiteindelijk is echter vaak de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel? Een assurance-rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.

Joram Dictus
RE IT-auditor

Benieuwd wat wij voor u kunnen betekenen? Neem dan gerust contact met mij op.

SOC 2 Verklaring nodig? Neem contact op.

SOC 2 verklaringen

SOC 2 onderscheidt Type 1 en Type 2 verklaringen. Type 1 audit beoordeelt de opzet van processen en controles van een IT-serviceorganisatie. Type 2 audit, een jaarlijkse controle, beoordeelt of de organisatie daadwerkelijk volgens deze processen en controles heeft gewerkt.

SOC 2 verklaringen

2-Control

076-5019470

Neem contact met ons op

Heeft u vragen of opmerkingen over onze IT-auditdiensten? Wij horen graag van u. Vul uw gegevens in het onderstaande formulier in en wij nemen zo snel mogelijk contact met u op. U kunt ook rechtstreeks contact met ons opnemen via het telefoonnummer aan de linkerkant.

Ons toegewijde team staat klaar om u te helpen met eventuele vragen of problemen. Wij streven ernaar om u de best mogelijke service te bieden.

Vul ons contactformulier in