Skip to main content

Gavias Slider Slider SERVICE ORGANIZATION CONTROL REPORT (SOC)

SERVICE ORGANIZATION CONTROL REPORT (SOC)

SOC 1 of SOC 2?

Heb ik een SOC 1 nodig?

Een Service Organization Control 1 is een audit van de interne beheersing gericht op het beveiligen van data van opdrachtgevers.

 

SOC 1 audits worden verricht volgens Statement on Standards for Attestation Engagements No. 16 (SSAE 16). In een SOC 1 zijn beheersdoelstellingen opgenomen die gebruikt worden voor de interne beheersing over financiële rapportage. De jaarrekening is dus uiteindelijk het toetsingskader voor deze rapportage. Dit betekent dat alle processen zo zijn ingericht dat deze waarborgen dat alle data in de jaarrekening juist- en volledig is opgenomen.

 

In andere woorden; indien u data bewerkt of host die een relatie heeft met een financieel proces, dan is SOC 1 van toepassing.

Heb ik een SOC 2 nodig?

Indien u data bewerkt of host die geen effect hebben op de jaarrekening van uw opdrachtgevers, dan is een SOC 2 van toepassing.

 

In dit geval zijn uw opdrachtgevers voornamelijk geïnteresseerd of u op een juiste wijze omgaat met bijvoorbeeld informatiebeveiliging en privacy.

 

 

In een SOC2 rapport zijn overeenkomstig met een SOC 1 rapport interne beheersingsmaatregelen opgenomen.

 

 

De auditor zal het risico management, de interne beheersing en procedures onderzoeken. Het belangrijkste verschil is dat SOC2 rapportages zich niet richten op financiële processen, maar op de Trust Service Criteria; security, availability, confidentiality, proccesing integrity en privacy in een service organisatie.

 

Zijn deze beheersmaatregelen dan wezenlijk anders dan in een SOC 1? Nee, in een SOC 1 worden ook de General IT Controls opgenomen; de maatregelen die noodzakelijk zijn om de informatiebeveiliging van financiële processen waarborgen.

Welke soort rapportage is nu het beste voor mij; een SOC 1 of een SOC 2?

Een belangrijk verschil is dat privacy niet verplicht opgenomen is in een SOC 1 en in een SOC 2 op basis van de Trust Service Criteria, wel. Indien u klanten heeft die in beide categorieën vallen, dan is er een redelijke kans dat u gevraagd zult worden om beide aan te leveren. U kunt bepalen of u een SOC 1 of SOC 2 rapport nodig heeft zodat u de behoeften vervult van een groot variëteit opdrachtgevers. Risklane biedt een unieke Online Audit Tool (SOCassurance) die u ondersteunt om de SOC 1 en SOC 2 audit te integreren, die resulteert in twee afzonderlijke rapportages. Zonder meerkosten.

Indien u meer informatie wilt over de impact van SOC 1 (ISAE 3402), SOC 2 (ISAE3000) voor uw organisatie neemt u dan contact op met Koen van der Aa, bel het algemene nummer (+31) 030 2800088.