Skip to main content
Service Organization Control rapport (SOC)

Wat past beter bij mijn organisatie? SOC 1 of SOC 2?

In de SSAE18 standaard (AICPA) uit de Verenigde Staten zijn twee soorten rapportages opgenomen; een Service Organization Control Report 1 (SOC 1) en een Service Organization Control Report 2 (SOC 2). Deze terminologie wordt steeds vaker een internationaal gebruikt. Een ISAE 3402 rapport is binnen die terminologie een SOC 1 rapport, een ISAE 3000 rapport is een SOC 2 rapport.

 

Een ISAE 3402 rapportage, is een rapportage over hoe de dienstverlener processen risico's beheerst over de processen die geoutsourcet zijn. Outsourcing en specifieker de financiële processen zijn het toetsingskader voor deze rapportage. Een alternatief voor deze rapportage is de SOC 2 rapportage waarbij niet outsourcing het primaire toetsingskader is, maar informatiebeveiliging. De criteria voor informatiebeveiliging en privacy zijn opgenomen in de Trust Service Criteria. Criteria ten aanzien van security, privacy, availability en confidentiality. Daarnaast is er een SOC 3 rapportage.

Heb ik een SOC 1 nodig?

Een Service Organization Control 1 is een audit van de interne beheersing gericht op het beveiligen van data van opdrachtgevers. SOC 1 audits worden verricht volgens Statement on Standards for Attestation Engagements No. 16 (SSAE 16). In een SOC 1 zijn beheersdoelstellingen opgenomen die gebruikt worden voor de interne beheersing over financiële rapportage. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist en volledig is opgenomen.

 

In andere woorden; indien u data bewerkt of host die een relatie heeft met een financieel proces, dan is SOC 1 van toepassing.

Heb ik een SOC 2 nodig?

Indien u data bewerkt of host die geen effect hebben op de jaarrekening van uw opdrachtgevers, dan is een SOC 2 van toepassing. In dit geval zijn uw opdrachtgevers voornamelijk geïnteresseerd of u op een juiste wijze omgaat met bijvoorbeeld informatiebeveiliging en privacy.

 

In een SOC 2 rapport zijn, overeenkomstig met een SOC 1 rapport, interne beheersingsmaatregelen opgenomen.

 

Welke soort rapportage is nu het beste voor mij: SOC 1 of SOC 2?

Een belangrijk verschil is dat privacy niet verplicht opgenomen is in een SOC 1 en in een SOC 2 op basis van de Trust Service Criteria, wel. Indien u klanten heeft die in beide categorieën vallen, dan is er een redelijke kans dat u gevraagd zult worden om beide aan te leveren. U kunt bepalen of u een SOC 1 of SOC 2 rapport nodig heeft zodat u de behoeften vervult van een groot variëteit opdrachtgevers. Risklane biedt een unieke Online Audit Tool (ControlReports) die u ondersteunt om de SOC 1 en SOC 2 audit te integreren, die resulteert in twee afzonderlijke rapportages. Zonder meerkosten.

 

Indien u meer informatie wilt over de impact van SOC 1 (ISAE 3402), SOC 2 (ISAE3000) voor uw organisatie neemt u dan contact op met Koen van der Aa, bel het algemene nummer (+31) 030 2800088.