SOC 2 rapportage

Bij SOC 2 wordt onderscheid gemaakt in een SOC 2 Type 1 en SOC 2 Type 2 verklaring.

 

  1. Bij de SOC 2 Type 1 audit wordt gekeken naar de manier waarop de organisatie van plan is haar processen en beheersmaatregelen te laten verlopen. Tijdens deze audit wordt het bestaan van procedures en maatregelen getoetst.

  2. Het vervolg op het SOC 2 Type 2 rapport is en SOC 2 Type 2 audit. Bij SOC 2 Type 2 Assurance wordt getoetst of ook daadwerkelijk is gewerkt volgens de vastgestelde procedures en controles.
    Om een SOC 2 Type 2 verklaring te kunnen behouden vindt een jaarlijks terugkerende audit plaats, waarbij vergeleken wordt of de betreffende organisatie heeft gewerkt volgens de beschreven procedures en of de maatregelen effectief hebben gewerkt gedurende het voorgaande jaar. Een SOC 2 Type 2 rapport geeft bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die IT-service organisaties bieden aan hun gebruikers.

 

Het SOC 2 Type 1 rapport geeft een oordeel over:

  • In hoeverre de beschrijving van het systeem van de IT-serviceorganisatie, inclusief de interne controle maatregelen, een getrouw beeld geeft van de werkelijkheid en
  • In hoeverre de opzet van de interne controle maatregelen afdoende is.

Het SOC 2 Type 2 rapport voegt hier nog aan toe:

  • In hoeverre de interne controle maatregelen gedurende een periode ook effectief hebben gewerkt.