Wat zijn de vereisten voor een SOC 1 rapport?
Voor certificering heeft je organisatie een rapport nodig waarin het risicomanagement en de interne controle worden beschreven. Dit rapport staat ook bekend als een Service Organization Control Report (SOC), terminologie die afkomstig is uit de Verenigde Staten (AICPA). Als een SOC-rapport betrekking heeft op uitbestede activiteiten, wordt het een SOC 1-rapport (VS) of ISAE 3402-rapport genoemd. Als het rapport betrekking heeft op certificering volgens een specifieke standaard (bijvoorbeeld Trust Service Principles), wordt het een SOC 2– of ISAE 3000-rapport genoemd. Er kan ook een ISAE 3000-rapport worden opgesteld voor naleving van de General Data Protection Regulation (GDPR).
De vereisten staan vermeld in de standaard, die kan worden gedownload van de IFAC-website.
In grote lijnen bestaat de standaard uit de volgende onderdelen.
Om ‘gecertificeerd’ te zijn onder ISAE 3402 moet een organisatie een Service Organization Control Report (SOC) hebben. Een SOC is vormvrij, wat betekent dat de norm geen specifieke inhoud voorschrijft. Er zijn echter verschillende ‘praktijken’ ontstaan. Er zijn ook eisen voor rapporten van instanties zoals De Nederlandsche Bank, sectorinstituten of de serviceorganisaties zelf. Een SOC-rapport bestaat meestal uit twee delen: een algemeen deel met een beschrijving van de organisatie, het risicobeheersings- en interne controlesysteem en een ‘controlematrix’. De controlematrix bevat de controledoelstellingen en een beschrijving van de controlemaatregelen die deze doelstellingen waarborgen. Het uiteindelijke kader voor het ISAE 3402-rapport is de jaarrekening. Alle processen die een significante invloed hebben op de financiële processen moeten worden opgenomen. Over het algemeen zijn dit alle operationele en financiële processen en de algemene IT-controles.
ISAE 3402 Type I of Type II?
Er zijn twee soorten rapporten: een Type I en een Type II rapport. Een Type I rapport geeft een momentopname van de controleorganisatie op één moment in de tijd. Tijdens de controle beoordeelt de accountant de controlemaatregelen alleen op opzet en bestaan. Dit betekent dat de accountant het hele rapport (SOC) bekijkt en de processen één keer doorloopt. In een type II-rapport wordt naast opzet en bestaan ook de effectieve werking van beheersmaatregelen getoetst door de accountant. Vanwege de impact van ISAE 3402 op een organisatie wordt er meestal voor gekozen om te beginnen met een Type I rapport en in de daaropvolgende periode een Type II te implementeren.