SOC 2 Audit

Zekerheid over de veiligheid van uw dienstverlening

Veel bedrijven besteden diverse (financiële) activiteiten uit aan dienstverleners of service organisaties. Denk daarbij aan loonverwerking, IT (cloudoplossingen, infrastructuur etc.), vermogensbeheer, backoffice en nog veel meer. Een verstoring van deze processen kan een belangrijke invloed hebben op de continuïteit van hun ondernemingsactiviteiten. Bedrijven willen daarom zekerheid in de vorm van ‘assurance’ over belangrijke aspecten, zoals risico management, de interne beheersing of bijvoorbeeld data integriteit. De IT-auditors van Moore DRV helpen u die zekerheid aan klanten te geven met behulp van een onafhankelijke SOC 2 Audit.

Wat is een SOC 2 rapport?

System en Organizational Control (‘SOC’) 2 audit gaat over de effectiviteit van interne beheersing gerelateerd aan de Trust Service Criteria. De ‘Trust Service Criteria’ zijn gedefinieerd door de American Institute of Certified Public Accountants (AICPA). Deze Trust Service Criteria zijn Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Hiermee is de SOC 2 relevant voor gebruikers die geïnteresseerd zijn in de kwaliteit van informatiebeveiliging en privacy.

 

Wat is het verschil tussen een Type I of Type II audit

Vaak wordt gesproken over een Type I of Type II rapportage. Maar wat houdt dat nu in en wat is het verschil? Laten we beginnen om te stellen dat beide veel overeenkomsten hebben en dat het verschil met name in de diepgang zit. Bij een Type I audit wordt de opzet van de interne beheersingsmaatregelen beoordeeld en het bestaan vastgesteld op een specifiek moment. Wanneer de auditor een type II audit uitvoert dan wordt ook de effectieve werking over een specifieke periode gecontroleerd.

Voordelen van een SOC 2 audit

  • Aantoonbare beheersing van risico’s en kwaliteitsnormen.
  • Zekerheid voor afnemers, leveranciers en eindgebruikers en dus commercieel voordeel.
  • Nationale en internationale erkenning van regelgevende autoriteiten.
  • Externe toetsing van de eigen beheersing.
  • Meer grip op de interne processen.

Wat is het verschil met een ISAE 3402 en ISAE 3000 audit?

De ISAE 3402 standaard wordt toegepast wanneer financiële processen zijn uitbesteed aan een service organisatie. Denk aan een salarisverwerker, backoffice dienstverlener of vermogens- of debiteurenbeheer. De ISAE 3402 / SOC 1 assurance verklaring gaat in op de beheersing van de risico’s gerelateerd aan de financiële processen. Hierbij zijn de beheersingsdoelstellingen en -maatregelen in dit kader zelf samen te stellen.

De SOC 2 / ISAE 3000 audit is niet gericht op alleen de financiële processen maar bijvoorbeeld ook op de ‘Trust Service Criteria’ zoals gedefinieerd door de American Institute of Certified Public Accountants (AICPA). Deze Trust Service Criteria zijn Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Hiermee is de SOC 2 / ISAE 3000 veel meer gericht op informatiebeveiliging en privacy en niet alleen op de financiële processen zoals dit bij een ISAE 3402 het geval is.

 

Voor wie is een SOC 2 audit interessant?

De SOC 2 audit is veelal interessant voor bedrijven die data verwerken van haar klanten. De dienstverlening van deze bedrijven is gericht op het opslaan, verwerken of onderhouden van klantdata van andere bedrijven of hun klanten. Hierdoor is de sector vaak minder relevant en zijn deze bedrijven veelal gedreven door een hoge mate van automatisering . Voorbeelden van deze bedrijven zijn cloud service providers, hosting partijen, Datacenters en Software as a Service (SaaS) softwareplatformen.

Organisaties die onder de Wet Financieel Toezicht (‘WFT’) of de Pensioenwet vallen, moeten kunnen aantonen dat zij de (financiële) processen beheersen. Voor leveranciers die diensten leveren aan banken, notarissen, pensioenfondsen en verzekeraars is een Assurance opdracht op basis van SOC 2dus relevant.

 

Een SOC 2 rapportage verkrijgen

In een SOC 2 rapportage moet gerapporteerd worden over de ‘Trust Service Criteria’ zoals gedefinieerd door de American Institute of Certified Public Accountants (AICPA). Deze Trust Service Criteria zijn Security, Availability (Beschikbaarheid), Processing Integrity (Integriteit), Confidentiality (Geheimhouding) en Privacy. Als onderdeel van het beheersingsraamwerk moet een keuze gemaakt worden uit de relevante categorieën van Trust Service Criteria met uitzondering van ‘Security’ wat een gemeenschappelijk criterium is.

Door de AICPA zijn van iedere Trust Services Criteria aandachtspunten beschreven. Deze aandachtspunten zijn gerelateerd aan de vijf onderdelen van het COSO-Framework. Per component van het COSO-Framework zijn ongeveer 61 aandachtspunten beschreven waardoor het totaal op ongeveer 300 aandachtspunten uitkomt. De aandachtspunten bieden belangrijke aanknopingspunten bij de definitie van de interne beheersing voor alle Trust Service Criteria en de rapportage hierover.

Door deze rapportage heeft uw klant dus niet alleen inzicht in de betrouwbaarheid en de kwaliteit van uw dienstverlening. Ook heeft de klant een externe bevestiging (Third Party Memorandum ‘TPM’) dat uw interne beheersing bestaat en effectief werkt.

Wilt u goed van start met SOC 2? Dan helpen wij u graag bij:

  • Opzetten van een raamwerk.
  • Toetsen van het opgestelde raamwerk door een IT-auditor ingeschreven in het RE-register.

Meer weten over SOC 2 Audit?

Wilt u meer weten over de waarde die Moore DRV voor u kan toevoegen op het gebied van SOC 2 rapportage? Laat hier uw contactgegevens achter en wij nemen vrijblijvend contact met u op.

Max Platvoet MSc RA RE

Accountant en IT auditor

Contactformulier

  •  *
  •  *
  •  *
  •  *
  •  *