Skip to the content

SOC 2 voor IT-serviceorganisaties

SOC 2 audit

Wat is SOC 2?

Steeds meer bedrijven maken gebruik van IT-serviceorganisaties voor hun geautomatiseerde gegevensverwerking, variërend van een web-applicatie tot aan de volledige uitbesteding van de automatisering. Voor deze IT-service organisaties is het, voor het vertrouwen van hun klanten, van toegevoegde waarde om een onafhankelijk oordeel over de beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy te kunnen overleggen.
IT-serviceorganisaties kunnen hiervoor gebruik maken van de internationaal erkende Service Organisatie Control standaard (SOC 2).

SOC 2 biedt een IT-serviceorganisatie  een uniforme mogelijkheid om klanten en de auditors van klanten inzicht te geven in de, op de service van toepassing zijnde, controlemaatregelen en -processen. In een SOC 2-onderzoek beoordeelt een onafhankelijke audit-organisatie de beheersdoelstellingen en -maatregelen van de serviceorganisatie. In een formeel SOC2 assurance-rapport wordt een verklaring van de auditor opgenomen. Hiermee geeft u bestaande en potentiële klanten inzicht in de kwaliteit van de IT-services die u biedt aan uw gebruikers. Hiermee toont u aan dat u SOC 2 compliant bent.

De SOC 2 Assurancerapportage verschilt van andere, traditionele certificeringen omdat de SOC 2 Assurancerapportage uitgebreider is en deze jaarlijks wordt uitgevoerd door middel van een audit. SOC 2 onderscheidt twee typen rapportages, SOC2 Type 1 & Type 2.
Lees hier meer over SOC 2 Type 1 en Type 2 verklaringen.

Onze SOC 2-audit ondersteuning

2-Control heeft SOC 2 specialisten die u op korte termijn kunnen helpen met een SOC 2 verklaring. Wij hebben jarenlange ervaring met SOC 2 trajecten bij IT-serviceorganisaties. Onze organisatie bestaat uit een enthousiast team van bij de NOREA geregistreerde IT-auditors (RE) die u van begin tot einde begeleiden naar het verkrijgen van SOC 2 Type 1 en Type 1 verklaring.

Benieuwd naar de ervaring van een SOC 2 klant? Lees hier een referentieartikel

Voordelen SOC 2 voor uw IT-serviceorganisatie

  • De kwaliteit van de aan u uitbestede processen is gewaarborgd aan uw klanten.
  • U krijgt van een externe partij bevestigt dat uw organisatie goed beheerst wordt.
  • De accountant van een gebruikersorganisatie kan steunen op deze rapportage voor de audit van een jaarrekening.
  • Het is niet langer noodzakelijk dat opdrachtgevers auditors bij u langs sturen.
  • Uw organisatie is 'in control' en dit draagt u uit naar (potentiële) klanten.

Aanpak van 2-Control

Onze doelstelling is te komen tot een assurance-verklaring over beveiliging (verplicht), beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy, zoals uiteengezet in de SOC 2-richtlijnen, uitgegeven door het Assurance Services Executive Committee (ASEC) van de AICPA. 

Om aan deze doelstelling te kunnen voldoen doorlopen wij met u de volgende fasen:

  1. Nulmeting:
    a. Afstemming van scope;
    b. Afstemming van normen.

  2. Beoordeling van beschrijving en opzet van beheersmaatregelen: SOC 2 type 1
    a. Controleren van getrouw beeld van de beschrijving van het systeem;
    b. Vaststellen van opzet van beheersmaatregelen door o.a. interviews, bestuderen documentatie en maatregelen, waarneming, testen en steekproeven;
    c. Vergelijken werkelijkheid met normen;
    d. Kwaliteitsbeoordeling en rapporteren over beschrijving en opzet (SOC type 1 verklaring).

  3. Beoordeling van effectieve werking van beheersmaatregelen: SOC 2 type 2
    a. Periodiek vaststellen van werking van beheersmaatregelen door o.a. interviews, waarneming, testen en steekproeven;
    b. Vergelijken werkelijkheid met normen;
    c. Kwaliteitsbeoordeling en rapporteren (SOC 2 type 2 verklaring).

Verschillen SOC 2 en ISO 27001

  • ISO 27001 is een security standaard, in deze standaard zijn richtlijnen opgenomen voor informatiebeveiliging van een organisatie. SOC 2 is een audit standaard over uitbestede IT-processen. ISO 27001 heeft om die reden een beperkte toegevoegde waarde voor een accountant.
  • ISO 27001 kent ook geen toetsingskader, zoals SOC 2 dat kent.
  • Een ISO audit leidt uiteindelijk tot een certificaat en SOC 2 tot een assurance-rapport.
  • Een SOC 2 assurance-rapport geeft de klant inzicht in de organisatie, middelen en processen, die de kwaliteit van de geautomatiseerde gegevensverwerking bij de IT-serviceorganisatie waarborgen. Op basis van een ISO certificaat ontbreekt dit inzicht.

Verschillen SOC 2 en ISAE 3402

  • ISAE 3402 wordt met name gebruikt om een oordeel te geven over processen die impact hebben op financial reporting. Denk hierbij aan het outsourcen van administratie, credit management, vermogensbeheer, vastgoedbeheer, payroll & HR services en pensioenuitvoering. SOC 2 wordt gebruikt door IT-serviceorganisaties om klanten het vertrouwen te kunnen overleggen over beveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en/of privacy.
  • Voor lezers van een SOC 2 assurance-rapport is direct duidelijk op basis van welke criteria dit vertrouwen wordt gegeven. Bij SOC 2 dient de auditor de zogenaamde voorgeschreven Trust Service Criteria te hanteren als toetsingskader. Lezers van een ISAE 3402 assurance-rapport kunnen pas op basis van de details van het rapport vaststellen op basis van welke criteria vertrouwen wordt gegeven. De toetsingscriteria zijn bij ISAE 3402 vormvrij.

Uiteindelijk is echter vaak de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel? Een assurance rapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en meer vertrouwen tussen leverancier en klant.

Voor meer informatie over het verkrijgen van SOC 2 Type 1 & SOC 2 Type 2 verklaring kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens in onderstaand contactformulier invullen. Wij nemen dan zo spoedig mogelijk contact met u op.

Kom in contact met onze SOC 2 specialisten!

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief. 

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

Contact IT auditor

Wilt u SOC 2 verklaring om bestaande en potentiële klanten inzicht te geven in de kwaliteit van uw IT-services? Neem dan vandaag nog contact met ons op!