ISAE 3402 | SOC 1 aangepast aan een organisatie?
Systemen en controles – SOC-rapportage draait om controles. Een ISAE 3402 | SOC 1-rapport richt zich op financiële uitbesteding, waaronder vermogensbeheer, SaaS-providers (financiële software), datacenters (opslag van financiële gegevens). Het SOC 2-rapport richt zich op een breder toepassingsgebied voor gebruikersorganisaties met aanvullende eisen op het gebied van beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Onze consultants begeleiden veel organisaties bij het bereiken van het ultieme doel; een professioneel SOC-rapport en een goedkeurende verklaring. Wat zijn de noodzakelijke stappen om dit te bereiken?
De Methode
De eerste stappen bestaan uit het begrijpen van de criteria, het selecteren van de juiste reikwijdte van de audit en het volgen van een gestructureerde aanpak voor de implementatie. In dit artikel schetsen we hoe dit proces verloopt. Het verkrijgen van een goedgekeurde betrouwbaarheidsverklaring is afhankelijk van verschillende factoren en vereist een aanzienlijke discipline van uw medewerkers bij het naleven van procedures en het uitvoeren van controles, maar een effectieve structurering en planning kunnen u enorm helpen!
Criteria
De criteria voor een ISAE 3402 SOC 1-rapport zijn voornamelijk afhankelijk van de rapportageprocedures van de gebruikersorganisatie, de SLA-overeenkomst en andere vereisten van de gebruikersorganisatie. De criteria voor een ISAE 3000 | SOC 2-rapport zijn ontwikkeld door het American Institute of Certified Public Accountants (AICPA). De AICPA heeft criteria ontwikkeld voor trustdiensten die meer beschrijvend zijn en betrekking hebben op de controleomgeving, risicobeheer, communicatie, gedetailleerde controles en gedetailleerde technische criteria.
Met andere woorden, de Trust Service Criteria schetsen in grote lijnen wat er moet gebeuren, maar het is aan organisaties om controles te ontwikkelen. Auditors die de controles van de organisatie verifiëren door middel van SOC-audits observeren en herformuleren controles om te bepalen of ze goed zijn opgezet, bestaan en effectief functioneren om het gewenste resultaat te bereiken. De eerste stap in het SOC-implementatieproces is het bepalen van de reikwijdte van de audit.
Reikwijdte van controle
Het verkrijgen van een overzicht van de omgeving en systemen is cruciaal voor het definiëren van de scope. Daarom beginnen Risklane SOC implementatieprojecten met een grondige analyse van de organisatie, infrastructuur, geleverde diensten en processen. Zonder deze analyse is de kwaliteit van het SOC-rapport mogelijk niet optimaal, wat uiteindelijk leidt tot een verklaring met beperking of op zijn minst een ineffectieve ISAE 3402- of ISAE 3000-audit. Voor een ISAE 3000 | SOC 2-rapport is de volgende stap het begrijpen van de Trust Service Criteria.
Criteria voor vertrouwensdiensten begrijpen
De eerste stap om de criteria te begrijpen is ze van de AICPA-website te halen en ze te bestuderen in relatie tot het gedefinieerde toepassingsgebied. De Trust Service Criteria staan in een uitgebreid document en de specifieke taal kan soms moeilijk te begrijpen zijn, maar tijd investeren in het bestuderen ervan zal in latere stadia van de audit lonen. De Trust Service Criteria bevatten voor elk criterium voorbeelden van de risico’s en de controles die deze risico’s doorgaans beperken. Na het begrijpen van de criteria moeten controles in kaart worden gebracht met risico’s en vice versa.
Risico’s en controles in kaart brengen
De meest voorkomende fouten die we in bestaande raamwerken aantreffen zijn niet-gematchte of overbodige controles. Niet-afgestemde interne controlemaatregelen zijn maatregelen die een bepaald risico of bepaalde risico’s waarvoor interne controlemaatregelen ontbreken, niet effectief afdekken (niet-afgestemde interne controlemaatregelen). Overbodige interne controlemaatregelen worden gedefinieerd als interne controlemaatregelen die door andere interne controlemaatregelen worden gedekt of die helemaal geen risico dekken. Deze overbodige controles bestaan in wezen zonder een echt doel. Na deze analyse en afstemming is de volgende stap het maken van een controlematrix.
Een controlematrix maken
Het documenteren van controledoelstellingen en gerelateerde controles in een gestructureerde controlematrix zal om meer dan één reden nuttig zijn; het zal de bron worden voor hoe risicocontroles worden gestructureerd en geïmplementeerd en het zal een belangrijk referentiedocument zijn voor uw SOC-auditors.
Zo zijn de Trust Service Criteria met betrekking tot monitoringcontroles gekoppeld aan een lijst van bevestigende controles, waaruit blijkt hoe deze controles het relevante risico beperken, goed ontworpen zijn en effectief zijn. In onze ervaring moeten deze zo gedetailleerd mogelijk zijn; wie voert de controle uit? Welke informatie wordt gebruikt? Wat is het resultaat? Hoe is dit gedocumenteerd? Het beantwoorden van deze vragen is erg nuttig voor je auditor om te valideren dat de genoemde interne controlemaatregelen aanwezig zijn, ontworpen zijn om controledoelstellingen te bereiken en effectief zijn. In toekomstige artikelen zullen we dieper ingaan op het structureren van je control framework. Na deze fase volgt de gereedheidsbeoordeling (pre-audit), waarna de rapportage op maat wordt gemaakt en de definitieve audit kan worden voorbereid.
Voorbereiding audit
Het hierboven beschreven proces lijkt misschien een beetje ontmoedigend, maar raak niet in paniek. We kunnen je hierbij ondersteunen. We kunnen je helpen de Trust Service Criteria te begrijpen en je adviseren over hoe je controles effectief kunt afstemmen op risico’s en overbodige controles kunt verwijderen. Natuurlijk kunt u ook een ControlReports licentie krijgen voor ISAE 3402 | SOC 1 implementatie of ISAE 3000 | SOC 2 implementatie, die een goed gedefinieerde aanpak en effectieve workflow biedt voor het onderzoeken, begrijpen en definiëren van de verschillende elementen. Beide resulteren uiteindelijk in SOC-rapportage in overeenstemming met onze best practices in de branche, gebaseerd op jarenlange ervaring. Neem contact op met Securance (+31) 30 2800888.