SOC 1 of SOC 2: wat is het verschil?
Als uw organisatie geoutsourcete technologie diensten levert dan gaan uw klanten mogelijk vragen naar een ISAE 3402 of SOC1 rapportage. Maar niet altijd
is een ISAE 3402 of SOC1 de beste oplossing. Indien de diensten geen enkele relatie hebben met financiƫle informatie of de jaarrekening, dan kan een SOC2
rapportage meer voor de hand liggen. Wat is nu het verschil tussen deze twee rapportages?
De term SOC betekent Systems and Organization Control. Deze term en afkorting is afkomstig van de AICPA, de Amerikaanse accountantsorganisatie. In Nederland is een assurance
rapportage volgense Standaard 3402 vrijwel hetzelfde als een SOC1 rapportage. Meestal worden rapportages aangeduid met ISAE 3402 | SOC1 zodat deze ook internationaal gebruikt
kunnen worden. In Nederland is er geen vergelijkbare SOC2 standaard, daarom wordt voor deze standaard de criteria van de AICPA gebruikt; de SOC2 Trust Service Criteria. Om goed te
begrijpen wat het doel is van respectievelijk een SOC1 of SOC2 rapportage en inzicht te krijgen in de verschillen, kan helpen bij het maken van een keuze tussen deze twee soorten rapportages.
Uiteindelijk is het doel dat de SOC rapportage aansluit bij de assurance (de geruststelling) die uw klanten zoeken. Onderstaand is dit in kaart gebracht: