Categorie: Assurance

Home / Assurance
sep222021

Wat is een SOC 2 en wat zijn de voordelen?

Wat is een SOC 2 en wat zijn de voordelen?

Het aantal organisaties dat data van klanten beheert neem toe. Hierdoor neemt ook de vraag toe naar SOC 2 rapporten die antwoord geven op de vraag of informatiebeveiliging bij deze organisaties goed geregeld is. Van IT bedrijven wordt tegenwoordig verwacht dat ze SOC 2 compliant zijn, in het bijzonder wanneer ze data opslaan in de cloud.

SOC 2 compliance betekent dat een organisatie strikte procedures heeft ingericht voor onder andere informatiebeveiliging en privacy beveiliging, afhankelijk de reikwijdte van de SOC 2 rapportage. De reikwijdte van een SOC 2 rapportage is gedefinieerd in de Trust Service Criteria (TSCs) van AICPA, deze variëren van informatiebeveiliging (1), beschikbaarheid van systemen (2), integriteit van processen (3) tot vertrouwelijkheid (4) en privacy(5). Een organisatie maakt zelf de keuze aan welke van deze principes ze voldoet, waarbij in ieder geval informatiebeveiliging opgenomen dient te worden.

Wat is een SOC 2 rapport?

In een SOC 2 rapport zijn deze TSCs uitgewerkt in beheersmaatregelen en een beschrijving van het volledige risicomanagement systeem. Een externe accountant controleert of deze beschrijving klopt met de werkelijkheid; zijn de systemen inderdaad zo ingericht als beschreven en voorziet, na zijn of haar goedkeuring, de SOC 2 rapportage van een assurance verklaring.

Waarom vraagt iedereen tegenwoordig naar een SOC 2?

Organisaties moeten aan hun klanten aantonen dat ze data goed beveiligen. Dat betekent dat het risicomanagement systeem is ingericht, maar ook dat de leveranciers waar zij gebruik van maken op dezelfde wijze risico’s beheerst. Klanten vragen om bewijs dat dit inderdaad het geval is. Dit kan aangetoond worden door SOC 2 compliance.

Voordelen SOC 2 rapportage

  • SOC 2 rapportages door organisaties gebruikt als marketing instrument. Nieuwe en bestaande klanten weten door SOC 2 direct dat ze te maken hebben met een betrouwbare partij. Organisaties die niet beschikken over een dergelijke rapportage mist mogelijk belangrijke nieuwe kansen.
  • Implementatie zal een positief effect hebben op de kwaliteit van risicomanagement
  • Vertrouwen bij klanten verbetert dat risico’s daadwerkelijk effectief worden beheerst
  • IT-vragen van partners en klanten kunnen efficienter beantwoord worden
  • Mogelijkheden ontstaan om nieuwe klanten te werven en klanten te behouden

Voordeel bij aanbesteding

Het gebeurt vaak dat een klant tijdens het verkoopproces zijn leverancier vraagt om een IT vragenlijst in te vullen die is opgesteld door bijvoorbeeld een team van engineers. Als dit het geval is dan kan een SOC 2 rapport waarschijnlijk op een effectieve manier antwoord geven op deze vragen. Het zal het proces aanzienlijk versnellen. Snelle beantwoording zal de klant ook eerder het gevoel geven en vertrouwen geven dat processen inderdaad op orde zijn.

SOC 2 en de cloud

SOC 2 certificering wordt steeds belangrijker naar mate de vraag naar cloud gebaseerde oplossingen toeneemt. Een SOC 2 rapport wordt steeds meer gezien als de industriestandaard die een leverancier van IT oplossingen onderscheidt van haar concurrentie Indien u wilt dat uw organisatie zich beter onderscheidt van uw klanten, neem dan contact met één van onze consultants.

Aan de slag met SOC 2

Bent u bereid om uw toewijding aan robuuste informatiebeveiliging en gegevensprivacypraktijken aan te tonen door middel van SOC 2-compliance? Securance biedt uitgebreide SOC 2-auditservices om u door dit strenge certificeringsproces te loodsen. Onze ervaren auditors voeren een grondige audit uit van uw controles aan de hand van de SOC 2 Trust Services Criteria en leveren een gedetailleerd rapport en aanbevelingen om volledige naleving te bereiken. Neem vandaag nog contact op met Securance om uw SOC 2-journey te starten.

Neem contact met ons op
aug152021

Wat past beter bij mijn organisatie? SOC 2 of ISO 27001?

Wat past beter bij mijn organisatie? SOC 2 of ISO 27001?

Indien uw organisatie business-to-business IT of financiele diensten levert, dan is de kans groot dat uw opdrachtgevers vragen om een SOC 2 of ISO 27001 certificering of verklaring. Het proces kan een hoop resources en tijd van uw organisatie vragen. In dit artikel wordt uitgelegd wat de overeenkomsten en verschillen zijn tussen beide certificeringen. Een SOC 2 verklaring en een ISO 27001 certificaat kunnen worden vergeleken met nauwe verwanten. En er zijn mogelijkheden voor efficiëntie doordat als het ene certificaat behaald is, het enorm veel tijd zal schelen om het andere certificaat te behalen.

1. Reikwijdte

Er is een grote overeenkomst want zowel SOC 2 als ISO 27001 zijn vergelijkbaar ontworpen zodat zij hun klanten het gevoel kunnen geven dat de gegevens beschermd zijn. De opdrachtgevers hebben overeenkomsten, ze hebben allemaal betrekking op belangrijke aspecten van het beveiligen van informatie, zoals vertrouwelijkheid, integriteit en beschikbaarheid. Beide frameworks zijn algemeen erkende certificeringen die klanten bewijzen dat uw bedrijf de beveiliging serieus neemt.

Een groot verschil tussen deze certificaten is dat het SOC 2 certificaat voornamelijk gefocust is op het aantonen dat beveiligingsmaatregelen die klantgegevens beschermen, effectief zijn geïmplementeerd. ISO 27001 vraagt uitsluitend dat een organisatie een Information Security Management System (ISMS) heeft; een voorgeschreven set van beveiligingsmaatregelen.

2. Bruikbaarheid in de markt

Een grote overeenkomst is dat beide certificeringen erg bekende informatie beveiligingsnormen zijn die algemeen worden geaccepteerd om aan te tonen dat een organisatie over de juiste beveiliging beschikt. Vooral in de Verenigde Staten worden deze certificeringen door zowel kleine organisaties als grote corporates geaccepteerd. Beide worden in de meeste branches volledig geaccepteerd en zorgen ervoor dat een organisatie wordt ervaren als een solide leverancier die zijn informatiebeveiliging op orde heeft.

3. De externe partij

Beide certificeringen worden getoetst door derden partijen, door ISO 27001 auditor of (register) accountants. Het belangrijkste verschil is dat een door de Nederlande Beroepsorganisatie van Accountants (NBA)-erkende bedrijf een SOC 2 verklaring afgeeft; terwijl een erkende ISO 27001-geaccrediteerde auditor ISO 27001 certificeert. Securance heeft zowel erkende accountants als erkende ISO27001 auditoren in dienst die kunnen adviseren over de uitvoering van een audit.

4. De kosten

Beide certificeringen hebben vergelijkbare operationele kosten. Deze kosten zijn de interne kosten voor het team dat de beheersmaatregelen implementeert en ook bewijs verzamelt dat vereist is om conformiteit met SOC 2 of ISO 27001 te bewijzen.

De prijzen van de twee soorten certificeringen kunnen erg verschillen. Doorgaans zijn de kosten van een SOC 2 certificering wat hoger dan de kosten van een ISO 27001 certificering. Dit wordt voornamelijk veroorzaakt doordat SOC2 redelijk veel documentatie vereisten kent voor de auditors die een SOC 2 audit uitvoeren.

5. Doorlooptijd

De projectaanpak voor beide certificering is gelijk en bestaat uit globaal over overeenkomstig fasen. Omdat de SOC 2 en de ISO 27001 redelijk dezelfde beheersmaatregelen kennen, is ook de doorlooptijd van de implementatie fasen redelijk overeenkomstig. Een SOC2 audit kan echter door de eerder genoemde documentatievereisten meer interne en externe (auditors) tijd kosten.

Na afloop van de auditperiode moeten de SOC 2 en de ISO 27001 certificeringen periodiek worden vernieuwd om daadwerkelijk ook bruikbaar te zijn voor gebruikersorganisaties. ISO 27001 omvat bij de meeste opdrachten een cyclus van drie jaar waarbij u in het eerste jaar een audit op een bepaald moment hebt en daarna ieder jaar wordt verlengd.

Over ons

Onze missie drijft ons ertoe om meer te doen dan alleen de groei en het succes van onze klanten te bevorderen. We zijn toegewijd aan het exploreren van mogelijkheden, het mogelijk maken van excellence, het stimuleren van groei, het aantrekken van nieuwe klanten en het verbeteren van interne processen. Om deze missie te verwezenlijken moeten we innovaties op het gebied van Risk Management ontwikkelen, de efficiëntie optimaliseren door middel van automatisering, een divers wereldwijd team cultiveren en een positieve bijdrage leveren aan de gemeenschappen waarin we actief zijn. Daarnaast zijn we vastberaden om te fungeren als toegangspoort voor bedrijven om duurzamer en transparanter te worden en zo een duidelijke en waardevolle bijdrage te leveren aan de maatschappij. Ons standvastig streven naar de hoogste kwaliteit zorgt ervoor dat we geslaagd zijn wanneer aan alle doelstellingen van de klant is voldaan en onze klanten 100% tevreden zijn.

Neem contact met ons op
aug102021

Wat is ISAE 3402 | SOC 1?

Wat is ISAE 3402 | SOC 1?

ISAE 3402 is de standaard voor uitbesteding. Om gecertificeerd te worden moet een organisatie een Service Organization Control (SOC) Report hebben. Een SOC rapport is een rapportage waarin een beschrijving van het risicomanagementsysteem is opgenomen. Deze rapportage wordt vervolgens door een service auditor jaarlijks gecontroleerd. Een organisatie die diensten verleent wordt een serviceorganisatie genoemd. Een serviceorganisatie legt door middel van een ISAE 3402-rapportage verantwoording af aan een andere organisatie (een gebruikersorganisatie) over de uitgevoerde processen in de SLA en de beheersing hiervan in een ISAE 3402 rapportage. De standaard is de opvolger van de SAS 70 standaard en ingevoerd in 2011.

ISAE 3402 en outsourcing

Organisaties besteden steeds meer uit, vooral op het gebied van IT. Organisaties die uitbesteden willen inzicht in onder andere de beveiliging van informatie (security), fraude preventie en risicobeheersing in het algemeen. Vooral omdat steeds meer cruciale bedrijfsprocessen worden uitbesteed en het daarom meer van belang wordt, om inzicht te hebben in wie er toegang heeft tot informatie en of er bijvoorbeeld voldoende functiescheidingen zijn om fraude te voorkomen. Een ISAE 3402 rapport geeft dit inzicht.

Inhoud rapport

Naast het algemene inzicht moeten de processen die een mogelijk effect hebben op de jaarrekening (financiële processen) opgenomen worden. Hierbij gelden ook de IT processen, de zogenaamde General IT Controls. Daarnaast kan een ISAE 3402 rapport zekerheid geven dat processen die uitbesteed zijn, volgens gemaakte afspraken (SLA), uitgevoerd worden. De SOC rapportage bestaat uit een algemeen deel volgens de COSO 2013 standaard en een controlmatrix. Lees meer over de inhoud van het rapport en de twee typen rapportages; ISAE 3402 type I en type II.

Voorbeeld uitbesteding

Een pensioenfonds besteedt vermogensbeheer uit aan een vermogensbeheerder. Pensioenfondsen moeten voldoen aan de Pensioenwet (PW). De PensioenWet eist van het pensioenfonds dat zij kan aantonen dat de uitbestede processen beheerst worden. Het pensioenfonds is in dit geval de gebruikers (user) organisatie en de vermogensbeheerder is de serviceorganisatie. Afspraken tussen het pensioenfonds en de vermogensbeheerder zijn vastgelegd in de vermogensbeheerovereenkomst en eventueel een SLA. Het pensioenfonds vraagt daarom van de serviceorganisatie een ISAE 3402. Met deze rapportage toont het pensioenfonds aan dat de uitbeheersing ‘in control’ is en dat zij ook voor deze uitbesteding voldoet aan de PensioenWet. Het pensioenfonds (de ‘user-organisatie’) wil in een dergelijke situatie inzicht in:

  • Of beleggingen juist- en volledig verwerkt worden ten behoeve van de jaarrekening
  • Het vermogensbeheer in overeenstemming met wet- en regelgeving gebeurt
  • Er voldoende waarborgen zijn tegen fraude
  • Security toereikend is ingericht bij de vermogensbeheerder
  • Er wordt voldaan aan specifieke compliance voorschriften die zijn opgenomen in de PensioenWet.

Het pensioenfonds zal van de vermogensbeheerder eisen dat bovenstaande onderwerpen zijn opgenomen zijn in de reikwijdte van de ISAE 3402 rapportage. De accountant van het pensioenfonds zal het ISAE 3402 rapport van de vermogensbeheerder raadplegen binnen het kader van de jaarrekeningcontrole van het pensioenfonds. De accountant hoeft niet nog afzonderlijk procedures te testen bij de vermogensbeheerder omdat hierover al gerapporteerd is door de service auditor.

Toegevoegde waarde

De belangrijkste toegevoegde waarde voor een gebruikersorganisatie is dat deze, op basis van het Service Organization Control rapport, kan vaststellen of bijvoorbeeld de informatiebeveiliging of fraudepreventiemaatregelen voldoende zijn. Voor de accountant van de gebruikersorganisatie is dit ook belangrijke informatie. De accountant van de gebruikersorganisatie kan vaststellen of de maatregelen bij de service organisatie voldoende zijn ingericht binnen het kader van de jaarrekeningcontrole van de gebruikersorganisatie. Daarnaast heeft een (erkende) andere accountant vastgesteld of deze maatregelen bestaan (type I) en effectief gewerkt hebben (type II). De accountant hoeft dan geen afzonderlijke controles meer te verrichten bij de serviceorganisatie.

aug92021

ISAE 3402 Type I of Type II?

ISAE 3402 Type I of Type II?

Er zijn twee soorten ISAE 3402 rapportages; een type I rapport en een type II rapport. Inhoudelijk zijn beide typen rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet) en bestaan op één bepaald moment. Om dit vast te stellen ‘loopt’ de accountant processen door. Deze controles worden lijncontroles genoemd. Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook daadwerkelijk effectief gewerkt hebben. Een type I rapportage heeft betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.

Meer zekerheid

Een gebruikersorganisatie heeft met een type II rapportage meer zekerheid dat de dienstverlening beheerst wordt zoals is overeengekomen. De periode waarin de ISAE type II audit plaatsvindt is minimaal zes maanden, tenzij er een bijzondere situatie is, zoals de aankoop van een nieuw organisatie onderdeel of de introductie van een nieuw IT-systeem.

Verplichte onderdelen

Een ISAE 3402 rapportage is relatief ‘vormvrij’. De standaard schrijft onder andere voor dat risk management ingericht moet zijn, dat de IT infrastructuur beheerst moet worden en dat het risicomanagementsysteem effectief gemonitord moet worden. In een ISAE 3402 rapportage moeten een aantal onderdelen verplicht opgenomen worden;(1) een beschrijving van het interne controle raamwerk, (2) een bevestiging van de service organisatie en (3) een service auditor assurance rapport. Er zijn dus wel verplichte onderdelen voorgeschreven, maar niet voor alle onderdelen is opgenomen op welke wijze deze onderdelen gepresenteerd moeten worden in de rapportage. Ook kent ISAE 3402 kent geen onderverdeling in secties, zoals de SAS 70 standaard deze wel kende (ref. standaard 3402.9 sub j). Ondanks dat er geen verplichte onderdelen zijn is er in Nederland een best practice ontstaan.

Best practices

In de best practice zijn een aantal onderdelen opgenomen; een algemene beschrijving, een beschrijving van het control framework en een control matrix. In het algemene deel is een beschrijving van de organisatie opgenomen. In de beschrijving van het control framework; wordt het volledige risicoraamwerk meestal volgens COSO beschreven. Het COSO-framework is in 2013 geupdate naar het COSO 2013 framework en in 2017 tot het COSO 2017 ERM-framework. Een belangrijk verschil met het oorspronkelijke COSO-framework is dat in de laatste versies principles zijn opgenomen.

Control Matrix

In de control matrix worden doelstellingen verbonden aan risico’s en zijn de maatregelen opgenomen die deze risico’s verminderen; de zogenaamde controls. Alle controls die relevant zijn voor de gebruikersorganisatie worden opgenomen.

Assurance rapport

Een accountant toetst of alle controls die hij verwacht zijn opgenomen, tijdens de audit. Na deze controle voorziet de accountant de rapportage van een assurance mededeling volgens standaard 3402*. Een dergelijke assurance mededeling wordt ook wel een ISAE 3402 certificering genoemd, feitelijk is het geen certificaat, maar een assurance rapportage volgens standaard 3402.

* Standaard 3402 is de Nederlandse vertaling van de internationale ISAE 3402-standaard

Lees meer over Securance en ISAE 3402.

Aan de slag met ISAE 3402

ISAE 3402-rapporten worden niet alleen gelezen door je klanten, maar ook door hun accountants. Een rapport dat niet voldoet aan best practices of dat minder professioneel is beschreven, zal waarschijnlijk als minder professioneel worden ervaren door je klant of hun accountant. Met de ervaring van Securance in ISAE 3402 sinds 2004, zijn we goed uitgerust om professionele rapporten te produceren. We kunnen je ook adviseren over hoe je je maatregelen kunt verbeteren om risico’s beter te beheersen.

Neem contact met ons op