Service Organization Control Report (SOC): SOC 1
In de SSAE18 standaard (AICPA) uit de Verenigde Staten zijn twee soorten rapportages opgenomen: een Service Organization Control Report I (SOC 1) en een SOC 2. Deze terminologie wordt steeds vaker internationaal gebruikt. Een ISAE 3402 rapport is binnen die terminologie een SOC 1 rapport, een ISAE 3000 rapport is een SOC 2 rapport.
SOC 1 of SOC 2?
Een SOC 1 (ISAE 3402) rapportage, is een rapportage over hoe de serviceorganisatie risico's beheerst van de processen die zijn geoutsourcet en gerelateerd zijn aan financiële verslaglegging. Outsourcing en specifieker de financiële processen zijn het toetsingskader voor deze rapportage.
Een alternatief voor deze rapportage is de SOC 2 rapportage waarbij niet outsourcing het primaire toetsingskader is, maar informatiebeveiliging. De criteria voor informatiebeveiliging en privacy zijn opgenomen in de Trust Service Criteria. Criteria ten aanzien van security, privacy, availability en confidentiality.
Heb ik een SOC 1 nodig?
Een Service Organization Control 1 is een audit op de interne beheersing van financieel gerelateerde data van opdrachtgevers. SOC 1 audits worden verricht volgens Statement on Standards for Attestation Engagements No. 18 (SSAE 18). In een SOC 1 zijn beheersdoelstellingen opgenomen die gebruikt worden voor de interne beheersing over financiële rapportage. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist- en volledig is opgenomen. Met andere woorden: indien u data bewerkt of host die een relatie heeft met een financieel proces, dan is SOC 1 van toepassing. Hiervoor kunt u ook de ISAE 3402 gebruiken.
Heb ik een SOC 2 nodig?
Bedrijven besteden steeds vaker activiteiten uit aan gespecialiseerde serviceorganisaties zoals vastgoedbeheerders, datacenters, IT-beheerders en salarisverwerkers. Dat levert niet alleen gemak op, het vereist ook wederzijds vertrouwen en transparantie. De uitbestedende partij verwacht dat gemaakte afspraken worden nageleefd. Ook toezichthouders eisen steeds vaker zekerheid over uitbestede taken. Een Service Organisatie Control (SOC)-rapportage biedt die zekerheid. SOC 2 richt zich op de interne beheersmaatregelen bij IT-gerelateerde activiteiten bij serviceorganisaties.
Meer informatie over SOC 1 of SOC 2?
Voor meer informatie over SOC 1 of SOC 2 of over de dienstverlening van de IT-audit Company kunt u contact opnemen met Mischa van der Vliet, via telefoonnummer 06-25057951 of via de mail.
