Een SOC1 (ISAE 3402) rapport bevat een beschrijving van de organisatie, haar controlesysteem en de geteste interne beheersmaatregelen, inclusief de bevindingen en het oordeel van de auditor over de effectiviteit daarvan.
Vermogensbeheer uitbesteden
ISAE 3402 is de standaard voor het rapporteren over de interne beheersing van een dienstverlenende organisatie aan een organisatie die activiteiten uitbesteedt. Deze organisaties kunnen zich richten op hun kernactiviteiten en noodzakelijke bedrijfsprocessen uitbesteden aan andere partijen.
Een voorbeeld van een dienstverlenende organisatie die een SOC 1-rapport nodig heeft, is een bedrijf dat vermogensbeheer levert aan financiële instellingen. De instellingen (gebruikersorganisaties) die gebruikmaken van het vermogensbeheerbedrijf erkennen de materiële impact van beleggingsprocessen op hun financiële overzichten en vragen om onafhankelijke zekerheid dat hun investeringen worden verwerkt en beheerd in overeenstemming met hun vereisten. Een ISAE 3402-rapport biedt gebruikers van het vermogensbeheerbedrijf redelijke zekerheid dat de interne beheersmaatregelen van de beleggingsprocessen passend zijn opgezet (Type I-rapport) of passend zijn opgezet én effectief werken (Type II-rapport).
ISAE 3402 -rapport bestaat doorgaans uit vijf onderdelen:
- De assuranceverklaring van de externe auditor
- Een verklaring opgesteld door het management van de dienstverlenende organisatie
- Een beschrijving van het systeem van de dienstverlenende organisatie
- Beschrijving van de uitgevoerde controlewerkzaamheden en de testresultaten
- Overige informatie
In de eerste twee onderdelen zijn het rapport van de auditor en de managementverklaring opgenomen. In het auditorrapport worden de reikwijdte van de audit (de opgenomen diensten), de controleperiode van de audit (Type II) of de peildatum van het rapport (Type I) en het type afgegeven oordeel vermeld, evenals of het ISAE 3402 -rapport een goedkeurend of gekwalificeerd oordeel bevat. In de managementverklaring doet het management van de dienstverlenende organisatie een aantal uitspraken, waaronder de bevestiging dat de beschrijving van het systeem een getrouw beeld geeft van het systeem (Type II). De controledoelstellingen waren passend opgezet (Type I) of passend opgezet en effectief werkend (Type II), evenals een toelichting op de gehanteerde criteria voor deze verklaring.
In de beschrijving van het systeem van een dienstverlenende organisatie is een algemene beschrijving van risicomanagement (in overeenstemming met COSO 2017 ERM of COSO 2013) opgenomen in het ISAE 3402 -rapport, waarin wordt beschreven hoe risico’s worden geïdentificeerd en beheerd. De beschrijving omvat tevens alle processen, beleidsregels, procedures, personeel en operationele activiteiten die deel uitmaken van de diensten van de dienstverlenende organisatie en die relevant zijn voor de jaarrekening van de gebruikersorganisatie. Dit omvat doorgaans alle operationele en/of financiële processen die door de dienstverlenende organisatie voor de gebruikersorganisatie worden uitgevoerd. Ook de Algemene IT-controles (General IT Controls of GITC’s) zijn opgenomen in de systeemomschrijving.
De algemene IT-controles (ITGC) zijn controles die van toepassing zijn op alle processen, systemen en gegevens van de organisatie binnen de informatietechnologie (IT)-omgeving. De algemene IT-controles die moeten worden opgenomen in een ISAE 3402-rapport zijn:
- Logische toegang tot de infrastructuur, systemen, applicaties en gegevens
- Wijzigingsbeheer van applicaties
- Fysieke beveiligingscontroles van het datacenter
- Gegevensintegriteit; back-up- en herstelcontroles van data
- Computeroperationele controles