IT Algemene controle
Meer organisaties besteden IT of andere processen uit. Deze uitbesteding brengt efficiëntie, maar ook risico’s met zich mee. Wordt de informatiebeveiliging goed beheerd? Hoe wordt er met privacy omgegaan? De ISAE 3402-standaard is de standaard voor betrouwbare uitbesteding en geeft antwoorden. Deze standaard zorgt ervoor dat aspecten zoals risicomanagement, informatiebeveiliging, privacy, antifraudemaatregelen en continuïteit worden gecontroleerd. Een ISAE 3402 | SOC 1-rapport beschrijft hoe risico’s worden beheerd. Een service-auditor controleert vervolgens of dit inderdaad gebeurt. Welke stappen moet je nemen om zo’n rapport te verkrijgen?
Ten eerste moet je het risicobeheer en de interne controlemaatregelen van de organisatie beschrijven in een rapport. Deze interne controlemaatregelen worden ook wel controles genoemd. Het rapport wordt een Service Organization Control Report (SOC) genoemd; een term uit de Verenigde Staten. Als het SOC-rapport betrekking heeft op uitbesteding van (financiële) processen, dan wordt dit rapport een SOC 1- of ISAE 3402-rapport genoemd. Als het rapport betrekking heeft op processen die geen invloed hebben op de jaarrekening (en gebaseerd zijn op bijvoorbeeld de Trust Service Principles), dan wordt het rapport een SOC 2– of ISAE 3000-rapport genoemd. Dit lijkt misschien ingewikkeld, maar je zou kunnen zeggen dat zodra je organisatie diensten levert die de jaarrekening van je klant ‘raken’, een SOC 1 van toepassing is, en als er geen gevolgen zijn voor de jaarrekening, dan is een SOC 2 van toepassing.
IT algemene controle
Er wordt geen financiële informatie verwerkt door de serviceorganisatie. Als het netwerk echter uitvalt, kan dit invloed hebben op de jaarrekening omdat het ERP-systeem op het netwerk draait. Daarom zijn IT General Controls (ITGC’s) belangrijk; de IT General Controls (ITGC) zijn de controlemaatregelen die een organisatie heeft geïmplementeerd om ervoor te zorgen dat de IT-systemen betrouwbaar en integraal zijn. Deze IT General Controls worden beschreven in het SOC 1-rapport (ISAE 3402) van de managed server provider. Daarnaast zijn een beschrijving van de organisatie en een beschrijving van risicomanagement opgenomen, zodat de klant deze controles vanuit het juiste perspectief kan bekijken.