Categorie: Assurance

Home / Assurance
sep152019

SOC 2 vs. SOC 1 type 2

SOC 2 vs. SOC 1 type 2

Een ISAE 3000 | SOC 2-rapport en een ISAE 3402 | SOC 1 type 2-rapport zijn vergelijkbaar van opzet. Het grootste verschil ligt echter in de scope (het testkader).

Een ISAE type 2 rapport

Een ISAE 3402 | SOC 1-rapport is een assurantieverklaring die aan een organisatie wordt afgegeven. Een ISAE 3402 | SOC 1 type 2-rapport bespreekt hoe de serviceprovider risico’s beheert met betrekking tot uitbestede processen. Het beoordelingskader wordt gevormd door de uitbesteding zelf en de financiële processen (is er een relatie met de jaarrekening?). Het is vooral gebruikelijk in de financiële wereld om een ISAE 3402 | SOC 1-verklaring te kunnen aantonen. Een financiële instelling zal bijvoorbeeld altijd een ISAE 3402 | SOC 1-rapport van leveranciers vereisen voordat de leverancier de diensten mag leveren.

ISAE 3402 | SOC 1 is gebaseerd op de eis dat de doelstellingen moeten aansluiten bij de behoeften van de jaarrekening van de organisatie die de dienst afneemt. Met andere woorden: het controlekader (controle-doelstellingen en maatregelen) kan door ISAE zelf worden samengesteld. Het idee hierachter is dat de risico’s van uitbestedingsactiviteiten afhankelijk zijn van de situatie. De managementdoelstellingen en maatregelen die hierop gebaseerd zijn, zijn dus maatwerk.

Een ISAE 3000 | SOC 2 rapport

In een ISAE 3000 | SOC 2-rapport wordt het beoordelingskader niet gevormd door de uitbesteding zelf, maar door informatiebeveiliging. ISAE 3000 | SOC 2-rapporten richten zich daarom niet op financiële processen, maar op Trust Services Criteria zoals beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy in een serviceorganisatie. In een ISAE 3000 | SOC 2-rapport wordt de scope dus bepaald door deze vooraf gedefinieerde managementdoelstellingen (Trust Service Criteria).

ISAE 3000| SOC 2 gaat voornamelijk over de garantie dat de gegevens die worden verwerkt of gehost geen invloed hebben op de jaarrekening van klanten. Deze cliënten zijn vooral geïnteresseerd in de juiste omgang met informatiebeveiliging en privacy. Bijvoorbeeld, in een ISAE 3000 | SOC 2-rapport kan men denken aan het verkrijgen van zekerheid over externe gegevensverwerking en hosting.

jul212019

Hoe bereidt een serviceorganisatie zich voor op ISAE 3402?

Hoe werkt een serviceorganisatie

Voorbereiden op ISAE 3402?

De ISAE 3402-standaard vereist van serviceorganisaties dat ze proactief voldoen aan de eisen die worden gesteld door de service auditors (accountants). Daarom kunnen serviceorganisaties veel baat hebben bij het uitvoeren van een ISAE ‘Readiness Assessment’, die zal helpen bij het begrijpen van de rapportagevereisten.

Deze rapportagevereisten omvatten:

  1. Een beschrijving opstellen van het systeem van de serviceorganisatie.
  2. Opstellen van een schriftelijke managementverklaring, die wordt opgenomen in het definitieve ISAE 3402-rapport.

Daarnaast kan een interne audit binnen de serviceorganisatie worden betrokken bij het gehele assurance-proces als de auditor van de serviceorganisatie hun objectiviteit en professionaliteit acceptabel vindt. Het uitvoeren van een ISAE 3402 ‘Readiness Assessment’ zal dus van cruciaal belang zijn voor serviceorganisaties om de reikwijdte van de opdracht te begrijpen, evenals de rapportagevereisten voor de ISAE 3402-standaard.

jul212019

Risicobeheer voor bedrijven

Risicobeheer voor bedrijven

Als een organisatie haar doelstellingen wil bereiken, moet ze de risico’s die deze doelstellingen bedreigen beheren en beheersen. COSO heeft hiervoor de verschillende elementen van een intern controlesysteem gedefinieerd.

Het COSO-model illustreert de directe relatie tussen:

  1. De doelstellingen van de organisatie;
  2. De besturingscomponenten;
  3. De activiteiten/eenheden die interne controle vereisen.
  4. COSO identificeert de relaties tussen bedrijfsrisico’s en het interne controlesysteem. COSO ziet interne controle als een proces dat erop gericht is zekerheid te verschaffen over het behalen van doelstellingen in de volgende categorieën:
  5. Strategische doelstellingen bereiken (Strategisch);
  6. Effectiviteit en efficiëntie van bedrijfsprocessen (Operations);
  7. Betrouwbaarheid van financiële verslaglegging (Reporting);
  8. Naleving van relevante wet- en regelgeving (Compliance).

Organisaties moeten ook aan investeerders en andere belanghebbenden laten zien dat ze goed omgaan met onzekerheden (Code Tabaksblat en de Sarbanes-Oxley Act). In Securance’s benadering van Enterprise Risk Management (ERM) worden risico’s geïdentificeerd en de gevolgen ervan in kaart gebracht. Securance maakt gebruik van de nieuwste standaarden, methoden en technieken op het gebied van risicomanagement.

Wat biedt Enterprise Risk Management?

  • Inzicht in de belangrijkste risico’s van uw organisatie;
  • Kwalitatieve en kwantitatieve beoordeling van geïdentificeerde risico’s;
  • Inzicht in en advies over de huidige beheersing van risico’s;
  • Inzicht in de risicokosten van uw organisatie;
  • Een basis voor het ontwerpen en implementeren van risicomanagement binnen uw organisatie;
  • Hulp bij het afleggen van verantwoording voor risicobeheer.
jul212019

Een ISAE 3402 | SOC 1 Audit Checklist

Een ISAE 3402 | SOC 1 Audit Checklist

ISAE 3402 | SOC 1 is de standaard voor uitbesteding. De meeste organisaties besteden IT of andere activiteiten uit aan serviceorganisaties. Bij deze uitbesteding is het cruciaal dat de dienstverlenende organisatie die ICT-diensten levert betrouwbaar is.

Betrouwbaarheid kan worden onderverdeeld in verschillende aspecten: risicobeheer, informatiebeveiliging, privacy, fraudebestrijdingsmaatregelen en continuïteit. De ISAE 3402 SOC 1-standaard biedt uitgebreide mogelijkheden om over deze aspecten te rapporteren en deze rapportage te laten controleren (certificeren) door een externe accountant.

Aangezien het opstellen van SOC-rapporten een complex proces kan zijn waarbij je met meerdere taken moet jongleren, vinden veel bedrijven het handig om een ISAE 3402 | SOC 1 compliance checklist te gebruiken om ervoor te zorgen dat alle SOC-vereisten en ISAE 3402 | SOC 1 controles gedekt zijn:

  1. Is de organisatiestructuur van je bedrijf gedefinieerd?
  2. Heb je de taak van het ontwikkelen van beleid en procedures gedelegeerd aan specifieke medewerkers?
  3. Wat zijn jullie procedures voor antecedentenonderzoek en gedragsnormen voor werknemers?
  4. Leren werknemers en andere belanghebbenden hoe ze uw systemen moeten gebruiken?
  5. Zijn er procedures om wijzigingen tijdig en effectief aan te pakken?
  6. Heb je een formele risicobeoordeling uitgevoerd om potentiële bedreigingen voor je systeem te identificeren, analyseren en beperken?
  7. Evalueert uw organisatie regelmatig leveranciersmanagers?
  8. Evalueert u jaarlijks alle beleidsregels en procedures en werkt u ze waar nodig bij?
  9. Heb je fysieke en logische toegangscontroles geïmplementeerd?

De tijd nemen om een ISAE 3402 | SOC 1 audit checklist in te vullen kan erg nuttig zijn als u uw bewijsmateriaal organiseert ter voorbereiding op het werken met een CPA aan uw audit.