SOC 2 voor IT-serviceorganisaties

SOC 2 biedt een IT-serviceorganisatie  een uniforme mogelijkheid om klanten en de auditors van klanten inzicht te geven in de, op de service van toepassing zijnde, beheersmaatregelen en -processen. In een SOC 2-onderzoek beoordeelt een onafhankelijke audit-organisatie de beheersingsdoelstellingen en -maatregelen van de serviceorganisatie. In een formeel SOC 2 assurance-rapport wordt een verklaring van de auditor opgenomen. Hiermee geeft u bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die u biedt aan uw gebruikers. Hiermee toont u aan dat u SOC 2 compliant bent.

De SOC 2 assurancerapportage verschilt van andere, traditionele certificeringen omdat de SOC 2 assurancerapportage uitgebreider is en deze jaarlijks wordt uitgevoerd door middel van een audit. SOC 2 onderscheidt twee typen rapportages, SOC 2 Type 1 & SOC 2 Type 2.
Lees hier meer over SOC 2 Type 1 en Type 2 verklaringen.

SOC 2 audit ondersteuning

Wij hebben jarenlange ervaring met SOC 2 trajecten bij IT-serviceorganisaties. Onze organisatie bestaat uit een enthousiast team van bij NOREA geregistreerde IT-auditors (RE's), die u van begin tot einde begeleiden bij het verkrijgen van SOC 2 Type 1 en SOC 2 Type 2 verklaring. Wij begeleiden de SOC2 audits voor start ups en scale ups.

Voordelen SOC 2 voor IT-serviceorganisatie

• De kwaliteit van de aan u uitbestede processen is gewaarborgd aan uw klanten.
• U krijgt van een externe partij bevestigd dat uw organisatie goed beheerst wordt.
• De accountant van een gebruikersorganisatie kan steunen op deze rapportage voor de audit van een jaarrekening.
• Het is niet langer noodzakelijk dat opdrachtgevers auditors bij u langs sturen.
• Uw organisatie is 'in control' en dit draagt u uit naar (potentiële) klanten.

SOC 2 aanpak 2-Control

Onze doelstelling is te komen tot een assurance-verklaring over beveiliging (verplicht), beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy, zoals uiteengezet in de SOC 2 richtlijnen, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA. 

Om aan deze doelstelling te kunnen voldoen doorlopen wij met u de volgende fasen:

1. Nulmeting:
   a. Afstemming van scope;
   b. Afstemming van normen.
   
   
2. Beoordeling van beschrijving en opzet van beheersmaatregelen: SOC 2 type 1 audit
   a. Controleren van getrouw beeld van de beschrijving van het systeem;
   b. Vaststellen van opzet van beheersmaatregelen door o.a. interviews, bestuderen documentatie en maatregelen, waarneming, testen en steekproeven;
   c. Vergelijken werkelijkheid met normen;
   d. Kwaliteitsbeoordeling en rapporteren over beschrijving en opzet (SOC type 1 verklaring).
   
   
3. Beoordeling van effectieve werking van beheersmaatregelen: SOC 2 type 2 audit
   a. Periodiek vaststellen van werking van beheersmaatregelen door o.a. interviews, waarneming, testen en steekproeven;
   b. Vergelijken werkelijkheid met normen;
   c. Kwaliteitsbeoordeling en rapporteren (SOC 2 type 2 verklaring).

Verschillen SOC 2 en ISO 27001

• ISO 27001 is een security standaard, in deze standaard zijn richtlijnen opgenomen voor informatiebeveiliging van een organisatie. SOC 2 is een audit standaard over uitbestede IT-processen. ISO 27001 heeft om die reden een beperkte toegevoegde waarde voor een accountant.
• ISO 27001 kent ook geen toetsingskader, zoals SOC 2 dat kent.
• Een ISO audit leidt uiteindelijk tot een certificaat en SOC 2 tot een assurance-rapport.
• Een SOC 2 assurance-rapport geeft de klant inzicht in de organisatie, middelen en processen, die de kwaliteit van de geautomatiseerde gegevensverwerking bij de IT-serviceorganisatie waarborgen. Op basis van een ISO certificaat ontbreekt dit inzicht.

Verschillen SOC 2 en ISAE 3402

• ISAE 3402 wordt met name gebruikt om een oordeel te geven over processen die impact hebben op financial reporting. Denk hierbij aan het outsourcen van administratie, credit management, vermogensbeheer, vastgoedbeheer, payroll & HR services en pensioenuitvoering. SOC 2 wordt gebruikt door IT-serviceorganisaties om klanten het vertrouwen te kunnen overleggen over beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy.
• Voor lezers van een SOC 2 assurance-rapport is direct duidelijk op basis van welke criteria dit vertrouwen wordt gegeven. Bij SOC 2 dient de auditor de zogenaamde voorgeschreven Trust Service Criteria te hanteren als toetsingskader. Lezers van een ISAE 3402 assurance-rapport kunnen pas op basis van de details van het rapport vaststellen op basis van welke criteria vertrouwen wordt gegeven. De toetsingscriteria zijn bij ISAE 3402 vormvrij.

Uiteindelijk is echter vaak de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel? Een assurance-rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.