Risicomanagement is een hulpmiddel om risico’s systematisch en expliciet te identificeren, te evalueren en beter te beheren door ze proactief aan te pakken. Risicomanagement is gebaseerd op het uitvoeren van risicoanalyses.

Bij risicomanagement worden risico’s beheerst door te bepalen hoe de waarschijnlijkheid dat het risico optreedt of de gevolgen voor geïdentificeerde risico’s worden beheerst.

Omdat organisaties ernaar streven om voortdurend te voldoen aan de eisen van klanten en aan wettelijke vereisten, is er een toenemende behoefte om meerdere ISO-certificeringen te behalen en te behouden. Een veelgebruikte combinatie die steeds populairder wordt, is ISO 9001 en ISO 27001.

Op 15 december 2014 eindigde de overgangsperiode voor de implementatie van het COSO-raamwerk 2013. Wat zijn de kansen en risico’s die voortvloeien uit deze overgang? Het COSO Internal Control Integrated Framework (ICIF) 2013 is een uitgebreide update van het COSO ICIF 1992 model.

Om duidelijk te maken welke SOC-typen jouw organisatie nodig heeft, volgt hier de essentiële informatie.

Wie kan waarde verwachten van ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 is speciaal ontworpen voor dienstverleners die klantgegevens opslaan in de cloud. Dit betekent dat ISAE 3000 | SOC 2 assurance waarde kan toevoegen aan bijna elk SaaS-bedrijf, evenals aan elke organisatie die de cloud gebruikt om klantgegevens op te slaan.

Om een ISAE 3402-certificering te verkrijgen, heb je een beschrijving nodig van je interne controle, ook wel een Service Organization Control Report (SOC) genoemd.

Voor certificering heeft je organisatie een rapport nodig waarin het risicomanagement en de interne controle worden beschreven. Dit rapport staat ook bekend als een Service Organization Control Report (SOC), terminologie die afkomstig is uit de Verenigde Staten (AICPA). Als een SOC-rapport betrekking heeft op uitbestede activiteiten, wordt het een SOC 1-rapport (VS) of ISAE 3402-rapport genoemd.

Van volledige uitbesteding van complexe functies zoals IaaS, PaaS-diensten of de productie van componenten tot kleine contracten met lokale serviceproviders en leveranciers, organisaties in verschillende sectoren en groottes vertrouwen sterk op externe serviceorganisaties.

DeISAE 3402 standaard is een internationaal erkende controlestandaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). Het onderzoek door de auditor van een serviceorganisatie wordt algemeen geaccepteerd, omdat het een grondige beoordeling is van de interne controledoelstellingen en -activiteiten van een serviceorganisatie. Het auditraamwerk en de bijbehorende controlemaatregelen worden gedetailleerd beschreven in het System and Organization Report (SOC).

De SSAE18-standaard (AICPA) uit de Verenigde Staten omvat twee soorten rapporten; een Service Organization Control Report 1 (SOC 1) en een Service Organization Control Report 2 (SOC 2). Deze terminologie wordt steeds vaker internationaal gebruikt. Een ISAE 3402 -rapport is binnen deze terminologie een SOC 1-rapport, een ISAE 3000-rapport is een SOC 2-rapport.