Skip to main content
Eisen voor een SOC 1 rapport

Wat zijn de eisen voor een SOC 1 rapport ?

Voor een certificering heeft uw organisatie een rapport nodig waarin het risicomanagement en de interne beheersing zijn beschreven. Deze rapportage wordt ook een Service Organization Control Report (SOC) genoemd, deze terminologie komt oorspronkelijk uit de Verenigde Staten (AICPA). Indien een SOC rapportage betrekking heeft op uitbestede activiteiten dan wordt deze rapportage een SOC 1 (VS) of ISAE 3402 rapportage genoemd. Indien de rapportage betrekking heeft op de certificering volgens een bepaalde standaard (bijvoorbeeld Trust Service Principles) dan wordt de rapportage een SOC 2 of een ISAE 3000 rapportage genoemd. Een ISAE 3000 rapportage kan bijvoorbeeld ook opgesteld worden voor de naleving van de Algemene verordening gegevensbescherming (AVG)

 

De eisen staan opgenomen in de standaard die te downloaden is via de IFAC.

 

Globaal bestaat de standaard uit de volgende onderdelen.

 

Om ISAE 3402 ‘gecertificeerd’ te worden moet een organisatie een Service Organization Control Report (SOC) hebben. Een SOC is vormvrij, de standaard geeft geen specifieke voorschriften voor de inhoud. Maar er zijn inmiddels diverse ‘practices’ ontstaan. Er zijn er ook vereisten aan rapportages vanuit bijvoorbeeld De Nederlandsche Bank, sectorinstituten of service- organisaties zelf. Een SOC rapport is meestal onderverdeeld in twee delen; een algemeen deel met een beschrijving van de organisatie, het risicomanagement- en interne beheersingssysteem en een ‘control matrix’. In de control matrix zijn de beheersdoelstellingen opgenomen en een beschrijving van de beheersmaatregelen die deze beheersdoelstellingen waarborgen. Het uiteindelijke toetsingskader voor de ISAE 3402 rapportage is de jaarrekening. Alle processen die een significant effect hebben op financiële processen moeten opgenomen worden. In het algemeen zijn dit alle operationele-, financiële processen en de General IT Controls.

 

ISAE 3402 type I of type II?

Er zijn twee soorten rapportages; een type I en een type II rapportage. Een type I rapportage geeft een beeld van de beheersorganisatie op één moment. Bij de audit door de accountant worden de beheersmaatregelen alleen getoetst op opzet en bestaan. Dit betekent dat de accountant het totale rapport (SOC) beoordeelt en de processen één keer doorloopt. Bij een type II wordt naast de opzet en het bestaan ook de effectieve werking van beheersmaatregelen door de accountant getoetst. Door de impact van ISAE 3402 op een organisatie wordt meestal gekozen voor eerst een type I rapport en een type II implementatie in de daaropvolgende periode.

 

Over Risklane

Risklane biedt diensten aan op het gebied van informatiebeveiliging, riskmanagement en governance. Naast advisory services en risk sourcing, biedt Risklane softwareoplossingen die organisaties in staat stelt complexe standaarden zelfstandig te implementeren. Risklane is hiermee vooruitstrevend en marktleider in Nederland. Risklane realiseert oplossingen voor de beheersing van risico’s en de implementatie van onder andere ISAE 3402 (SOC 1)ISAE 3000 (SOC 2)GDPR/AVGISO 27001ISO 9001 en COSO