SOC 1 of SOC 2: wat is het verschil?

Als uw organisatie geoutsourcete technologie diensten levert dan gaan uw klanten mogelijk vragen naar een ISAE 3402 of SOC1 rapportage. Maar niet altijd is een ISAE 3402 of SOC1 de beste oplossing. Indien de diensten geen enkele relatie hebben met financiƫle informatie of de jaarrekening, dan kan een SOC2 rapportage meer voor de hand liggen. Wat is nu het verschil tussen deze twee rapportages?
De term SOC betekent Systems and Organization Control. Deze term en afkorting is afkomstig van de AICPA, de Amerikaanse accountantsorganisatie. In Nederland is een assurance rapportage volgense Standaard 3402 vrijwel hetzelfde als een SOC1 rapportage. Meestal worden rapportages aangeduid met ISAE 3402 | SOC1 zodat deze ook internationaal gebruikt kunnen worden. In Nederland is er geen vergelijkbare SOC2 standaard, daarom wordt voor deze standaard de criteria van de AICPA gebruikt; de SOC2 Trust Service Criteria. Om goed te begrijpen wat het doel is van respectievelijk een SOC1 of SOC2 rapportage en inzicht te krijgen in de verschillen, kan helpen bij het maken van een keuze tussen deze twee soorten rapportages. Uiteindelijk is het doel dat de SOC rapportage aansluit bij de assurance (de geruststelling) die uw klanten zoeken. Onderstaand is dit in kaart gebracht:

SOC 1

SOC 2

Doel

Een SOC 1 audit helpt serviceorganisaties bij het onderzoeken en rapporteren over interne beheersmaatregelen die relevant zijn voor de jaarrekening van klanten.

Een SOC 2 audit helpt serviceorganisaties bij het onderzoeken en rapporteren van interne beheersmaatregelen die relevant zijn voor de informatiebeveiliging, beschikbaarheid van systemen, verwerkingsintegriteit, vertrouwelijkheid en/of privacy van klantgegevens.

Inhoud

Een SOC1 audit is gericht op het verwerken en beveiligen van bedrijfsinformatie ten behoeve van de jaarrekening als IT processen. IT systemen moeten verplicht opgenomen worden in een SOC1 audit.

De beheersmaatregelen van een SOC 2 audit omvatten iedere combinatie van de vijf bovengenoemde criteria. De beheersmaatregelen van een SOC 1 en een SOC 2 kunnen identiek zijn, maar de SOC 2 maatregelen komen overeen met het voorgeschreven framework.

Voorbeeld

Een organisatie levert een software pakket als SaaS oplossing voor woningbouw corporaties waarin data (huur, kosten) verwerkt wordt ten behoeve van de jaarrekening van deze corporaties.

Een organisatie levert een platform voor de gaming industry vanuit zijn eigen datacenter. In plaats van dat klanten on-site inspecties moeten doen, kan de organisatie een SOC 2 rapport verschaffen waaruit blijkt dat alle beheersmaatregelen effectief werken.

SOC 1

Bij de voorbereidingen op een SOC 1 audit is de serviceorganisatie verantwoordelijk voor het bepalen van de belangrijkste beheersmaatregelen. De SOC 1 rapportage wordt vaak opgevraagd door het management van de klant, toezichthoudende instellingen zoals AFM of de Nederlandse Bank en externe accountants.

SOC 2

Bij de voorbereidingen van een SOC 2 audit is een serviceorganisatie verantwoordelijk voor het bepalen welke beheersmaatregelen relevant zijn voor de dienstverlening van haar klanten. Deze moeten zijn gebaseerd op het voorgeschreven framework van de AICPA.

SOC Type I of Type II?

Een SOC Type I audit evalueert en rapporteert over de opzet van beheersmaatregelen en procedures die vanaf een bepaald moment zijn ingevoerd. Door een SOC Type I audit kan een serviceorganisatie het ontwerp van haar beheersmaatregelen laten onderzoeken en erover rapporteren op een specifieke datum. Een SOC Type I audit kan een goede optie zijn wanneer een serviceorganisatie niet eerder een audit heeft laten uitvoeren, net een substantiƫle vernieuwing en verbetering van haar interne beheersmaatregelen heeft doorgevoerd, beleidslijnen en procedures heeft aangepast en/of door haar klanten is gevraagd om zo snel mogelijk een SOC rapportage te overleggen. Een SOC Type II audit brengt het hierboven beschreven proces een stap verder en biedt een serviceorganisatie de mogelijkheid om over een bepaalde periode te rapporteren over de werking van haar interne beheersmaatregelen. Door een SOC Type II audit kan een serviceorganisatie onderzoeken hoe haar ingerichte controles functioneerden over een periode van zes tot twaalf maanden, waardoor klanten een extra niveau van inzicht krijgen in de interne beheersing, beleid en procedures. En hierdoor meer geruststelling hebben dat de organisatie haar informatiebeveiliging goed op orde heeft.