Skip to main content
IT general control

IT General Control

Steeds meer organisaties besteden IT of andere processen uit. Deze uitbesteding zorgt voor efficiency, maar brengt ook risico's met zich mee. Is informatiebeveiliging goed geregeld? Hoe wordt omgegaan met privacy? De ISAE 3402 standaard is de standaard voor betrouwbare uitbesteding en geeft hier een antwoord op. Deze standaard waarborgt dat aspecten als risicobeheersing, informatiebeveiliging, privacy, anti-fraude maatregelen en continuïteit worden beheerst. In een ISAE 3402 | SOC 1 rapportage is beschreven hoe risico's worden gemanaged. Een service auditor controleert dan of dit ook daadwerkelijk gebeurt.  Welke stappen moet u maken om zo'n rapportage te krijgen?

 

Ten eerste moet u het risicomanagement en de interne beheersingsmaatregelen van de organisatie beschrijven in een rapportage. Deze interne beheersingsmaatregelen worden ook controls genoemd. De rapportage wordt een Service Organization Control Report (SOC) genoemd; een term uit de Verenigde Staten. Als de SOC rapportage betrekking heeft op uitbesteding van (financiele) processen, dan wordt deze rapportage een SOC 1 of ISAE 3402 rapportage genoemd. Als de rapportage betrekking heeft op processen die geen invloed hebben op de jaarrekening (en zijn opgesteld op basis van bijvoorbeeld de Trust Service Principles), dan wordt de rapportage een SOC 2 of een ISAE 3000 rapportage genoemd. Dit lijkt ingewikkeld, maar u zou kunnen zeggen dat zodra uw organisatie diensten biedt die de jaarrekening van uw klant 'raken', dan is een SOC 1 van toepassingen, als er geen gevolgen zijn voor de jaarrekening, dan is een SOC 2 van toepassing. 

 

IT general control

Er wordt geen financiele informatie door de service organisatie verwerkt. Als het netwerk faalt, dan kan dit wel effect hebben op de jaarrekening, want het ERP systeem draait op het netwerk. Daarom zijn de IT General Controls (ITGC's) van belang; de IT General Controls (ITGC) zijn de beheersmaatregelen die een organisatie heeft ingericht om te zorgen dat de IT-systemen betrouwbaar en integer zijn. In het SOC 1 (ISAE 3402) rapport van de managed server provider worden deze IT General Controls beschreven. Daarnaast is een beschrijving van de organisatie en een beschrijving van het risicomanagement opgenomen, zodat de klant deze controls binnen het juiste perspectief kan zien.