Met een SOC2 assurance rapport krijgen (internationale) klanten gemakkelijk inzicht in de beheersing van de uitbestede dienstverlening.
Het doel van SOC2 is het rapporteren over de beheersing van diensten die door klanten aan jouw organisatie zijn uitbesteed.
Je gaat eerst aan de slag om te bepalen welke beheersmaatregelen meegenomen worden in de rapportage. De basis hiervoor zijn de Trust Services Criteria voor Veiligheid, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. Als de beheersmaatregelen zijn bepaald moeten deze aantoonbaar in de bedrijfsprocessen worden geïmplementeerd. Eventueel kan hierbij een combinatie worden gemaakt met bestaande ISO certificeringen. De laatste stap in het proces is het laten uitvoeren van een audit door een onafhankelijke accountant waarna de rapportage beschikbaar kan worden gesteld.
Wat is het verschil tussen een type 1 en een type 2 verklaring?
Bij een type 1 verklaring wordt er gerapporteerd over de opzet en het bestaan van de beheersmaatregelen ofwel de implementatie. Er wordt in deze rapportagevorm geen betrouwbare uitspraak gedaan over de werking van de beheersmaatregelen in een bepaalde periode.
Bij het opmaken van de type 2 verklaring wordt op basis van uitgebreidere steekproeven en onderzoek bepaald of de maatregelen ook echt gewerkt hebben. In het implementatietraject adviseren wij jou graag over de vraag of je moet beginnen met een type 1 of een type 2 verklaring.
Wat is het verschil tussen een SOC1 en een SOC2 verklaring?
SOC1 is vooral gericht op de beheersing in relatie tot de financiële processen en geeft ruimte voor een vrije invulling van de beheersmaatregelen. De SOC2 verklaring is daarentegen gebaseerd op de Trust Services Criteria voor Veiligheid, Beschikbaarheid, Integriteit, Vertrouwelijkheid en Privacy. Het is gebruikelijk dat alle common criteria worden meegenomen in de opzet van het controle raamwerk. Als een organisatie gezien de omvang nog niet direct een SOC2 raamwerk wil implementeren dan kan het verstandig zijn om te beginnen met een vrijer in te delen SOC1 raamwerk dat later wordt uitgebreid naar een SOC2.
Resultaten SOC2
- Een pragmatisch raamwerk passend bij de klantbehoefte
- Ontzorgd vanaf de opzet tot aan het audit proces
- Eenvoudig combineren met bestaande certificeringen
- Jarenlange ervaring bij assurance trajecten