Door de toegenomen internationale concurrentie, druk op kostenbesparingen en technologische ontwikkelen besteden steeds meer bedrijven hun IT-diensten uit aan serviceorganisaties.
Assurance voor IT-serviceorganisaties
Er bestaan verschillende redenen waarom een IT-serviceorganisatie assurance over haar dienstverlening laat verstrekken. Het kan zijn dat het management van de serviceorganisatie zelf wil weten dat de dienstverleningsprocessen op orde zijn. Of ze willen zich met behulp van een assurancerapport profileren en zo concurrentievoordeel nastreven. In de praktijk blijkt echter dat het meestal de (potentiële) klanten zijn die om een assurancerapport vragen. Partijen zoals raden van commissarissen en accountants stellen ook steeds vaker de eis dat de uitbestedende organisaties hun IT-serviceorganisaties vragen om de kwaliteit van hun dienstverlening aan te tonen. Dit kan een auditor doen op basis van een SOC 2-assurancerapport.
SOC 2 rapport met de hulp van 2-Control
De afkorting SOC staat voor Service Organization Control (report). Een SOC 2-rapport is een assurancerapport over interne beheersingsmaatregelen bij een IT-serviceorganisatie. Dit rapport is bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders.
Een SOC 2 rapportage bestaat in 2 varianten:
- Bij de SOC 2 type 1 Assurance wordt gekeken naar de manier waarop de organisatie van plan is haar processen en controles te laten verlopen en vormt een momentopname.
- De SOC 2 Type 2 Assurance is een jaarlijks terugkerende controle waarbij gekeken wordt of voldaan is aan de afgesproken processen en controles en heeft betrekking op een periode.
Een SOC 2-rapport bevat de volgende elementen:
- Sectie I: Vermelding van het management
- Sectie II: Assurance-rapport van de onafhankelijke auditor
- Sectie III: Beschrijving van het systeem door de serviceorganisatie
- Sectie IV: Gehanteerde beginselen en criteria en de door de auditor gevoerde testwerkzaamheden inclusief de uitkomst daarvan (optioneel bij een type I rapport)
- Sectie V: Overige informatie verschaft door de serviceorganisatie die niet is onderzocht door de auditor (optioneel)
Verschil met ISAE 3402
Qua vorm lijkt een SOC 2-rapport sterk op het welbekende ISAE 3402-rapport, maar sluit inhoudelijk beter aan bij de dienstverlening van IT-serviceorganisaties. Voor een SOC 2-rapportage is niet de jaarrekening (zoals bij ISAE 3402), maar zijn de Trust Service Principles (TSP) het uitgangspunt. Dit is regelgeving uit de Verenigde Staten op het gebied van beveiliging, beschikbaarheid, integriteit van processen, vertrouwelijkheid en privacy. Een SOC 2-rapport is veel beter bruikbaar, omdat die rechtstreeks aansluit op deze beheersingsdoelstellingen die er voor de klant werkelijk toe doen.
Uiteindelijk is de vraag van de opdrachtgever (de gebruikersorganisatie) doorslaggevend voor welke rapportage gekozen wordt. Wat vraagt de opdrachtgever en waar wil de klant zekerheid over en met welk doel. Een assurancerapportage is nooit een verplichting, maar kan leiden tot een effectievere samenwerking en groter vertrouwen tussen leverancier en klant.
Wat de IT auditors van 2-Control voor u kunnen betekenen?
2-Control biedt IT audit experts die op korte termijn, professionele, duidelijke en betaalbare audits kunnen uitvoeren. Wij zijn aangesloten bij de Nederlandse Organisatie van Register EDP-auditors (NOREA).
Benieuwd naar de ervaring van één van onze SOC2 klanten? Lees dan hier het referentieartikel.
Wilt u een SOC2-audit laten uitvoeren of wilt u meer informatie over deze verklaring? Laat dan hieronder uw gegevens achter en wij nemen contact met u op.