SOC 1 & SOC 2
De primaire en veelgebruikte term voor serviceorganisaties die rapporteren over risico’s van derden voor gebruikersorganisaties is het Systems and Organization Control Report, vaak het SOC-rapport genoemd. Deze term is geïntroduceerd door het American Institute of Certified Public Accountants (AICPA) als vervanging voor het SAS70-raamwerk.
Voorheen stonden deze bekend als Service Organization Control-rapporten. SOC omvat een reeks rapporten die hun oorsprong vinden in de Verenigde Staten. ISAE 3402 is afgestemd op de Amerikaanse standaard Statement on Standards for Attestation Engagements (SSAE) 18. Een ISAE 3402-rapport geeft zekerheid over de systeembeschrijving van een serviceorganisatie en de geschiktheid van het controleontwerp en de operationele effectiviteit zoals gepresenteerd in een Service Auditor’s Report.
ISAE 3402 | SOC 1: In een ISAE 3402 | SOC 1-rapport stellen organisaties hun eigen controledoelstellingen en controles vast en stemmen deze af op de eisen van de klant. De reikwijdte van een ISAE 3402-rapport omvat doorgaans alle operationele en financiële controles die van invloed zijn op financiële overzichten, evenals IT General Controls (bijv. beveiligingsbeheer, fysieke en logische beveiliging, wijzigingsbeheer, incidentbeheer en systeembewaking). Als een organisatie financiële informatie host die van invloed kan zijn op de financiële verslaglegging van de klant, is een ISAE 3402 | SOC 1 auditrapport de meest logische keuze. ITGC’s, operationele controles en financiële controles vallen binnen het bereik van een ISAE 3402 SOC 1-audit.
SOC 1: Bij een SOC 1-audit zijn controledoelstellingen vereist die essentieel zijn voor een nauwkeurige weergave van de interne controle over de financiële verslaglegging (ICOFR). Organisaties die in de Verenigde Staten bij de SEC gedeponeerd moeten worden, hebben meestal deze doelstellingen.
Gezien het belang van IT-serviceproviders, cloud-serviceproviders en datacenter/housing providers als belangrijke leveranciers aan financiële instellingen, hebben standaarden als SAS70, SSAE 18 SOC 1 en ISAE 3402 aan belang gewonnen in de IT-industrie. Ze zijn uitgegroeid tot de meest uitgebreide en transparante standaarden voor effectieve IT-uitbesteding en risicobeheer. Organisaties die op zoek zijn naar een ISAE 3402 | SOC 1-rapport overwegen vaak ISAE 3000 | SOC 2-rapporten.
ISAE 3000 | SOC 2: In ISAE 3000 | SOC 2-rapporten worden de Trust Services Principles and Criteria (TSP’s) toegepast. Deze TSP’s bestaan uit specifieke vereisten die zijn ontwikkeld door de AICPA en het Canadian Institute of Chartered Accountants (CICA) om zekerheid te bieden met betrekking tot beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en privacy. Een organisatie kan de specifieke aspecten selecteren die aansluiten bij de behoeften van hun klanten. Een ISAE 3000 | SOC 2-rapport kan een of meer principes omvatten. Als een organisatie verschillende soorten informatie voor klanten verwerkt die geen invloed hebben op de financiële verslaglegging, is een ISAE 3000 SOC 2-rapport relevanter. In dergelijke gevallen zijn klanten vooral bezorgd over de veilige omgang met en beschikbaarheid van hun gegevens, zoals vastgelegd in hun overeenkomsten. Een SOC 2-rapport evalueert, net als een SOC 1-rapport, interne controles, beleidsregels en procedures.
SOC 1 of SOC 2: Organisaties die systemen of informatie beheren, verwerken of hosten die van invloed zijn op de financiële verslaglegging moeten altijd een ISAE 3402 | SOC 1-rapport leveren. ISAE 3000 | SOC 2 is geschikt als alle systemen en processen geen verband houden met financiële verslaglegging. Leveranciers van datacenters, Infrastructure as a Service (IaaS) en Platform as a Service (PaaS) geven vaak hybride rapporten uit, met zowel een ISAE 3402 | SOC 1 voor financiële processen en systemen als een ISAE 3000 | SOC 2 voor niet-gerelateerde processen en systemen. De inhoud van beide rapporten is meestal identiek.