SOC rapportage

Organisaties besteden activiteiten steeds vaker uit aan gespecialiseerde serviceorganisaties zoals datacenters, IT-beheerders, vastgoedbeheerders en salarisverwerkers. Dit levert enerzijds  gemak op, aan de andere kant vereist dit wederzijds vertrouwen en transparantie. Ook toezichthouders eisen steeds vaker zekerheid over uitbestede taken. Een Service Organisatie Control (SOC)-rapportage biedt die zekerheid.

Onze auditaanpak kenmerkt zich doordat het minder tijd van u vergt gedurende het auditproces en leidt tot waarnemingen die uw interne beheersingsmaatregelen én operationele effectiviteit verbetert. Meer weten?  Stel gerust uw vraag aan een van onze specialisten.

Er zijn verschillende typen van SOC-rapportages, welke verdeeld kunnen worden over twee groepen:

  • Rapportages specifiek gericht op systemen betrokken bij de verwerking van financiële transacties (SOC 1 – ISAE3402). Deze rapportage focust zich op interne beheersingsmaatregelen die verband houden met de verwerking van financiële transacties bij serviceorganisaties. 
  • Rapportages gericht op informatiebeveiliging, beschikbaarheid, integriteit, vertrouwelijkheid en privacy (SOC 2 en SOC 3). In SOC 2 en SOC 3-rapportages wordt over interne beheersingsmaatregelen bij IT-serviceorganisaties gerapporteerd. Verschil tussen SOC 2 en SOC 3-rapportage
  • SOC 2+® maakt het mogelijk om te rapporteren op basis van verschillende frameworks in één rapportage. De basis voor de SOC 2+® rapportage ligt in de algemene SOC 2-rapportage die specifiek is bedoeld voor IT service organisaties om te rapporteren op de deelgebieden security, availability, confidentiality, processing integrity en/of privacy. Met een SOC 2+® rapportage wordt de bestaande SOC 2-rapportage uitgebreid door hier de toetsing op basis van andere frameworks aan toe te voegen. De auditor vormt hierin een oordeel over zowel de SOC 2 criteria, als de criteria van de aanvullend toegevoegde frameworks.

Verschil tussen SOC2 en SOC3

Het verschil tussen een SOC 2-rapportage en een SOC 3-rapportage komt met name tot uiting in de verspreidingskring. Een SOC 2-rapportage is bedoeld voor een beperkte verspreidingskring. Dit betekent dat het rapport alleen bedoeld is voor uw klanten, eventueel hun accountants en andere belanghebbenden, zoals security officers van uw klanten.

Wilt u rapporteren aan een bredere  doelgroep? Dan is het SOC 3 rapport een passende oplossing. Deze ‘beknopte’ vorm van het SOC 2 rapport kent een ongelimiteerde verspreidingskring, waardoor u het bijvoorbeeld ook op uw website mag plaatsen.

Meer informatie over SOC-rapportages leest u tevens in deze factsheet

Efficiënte en persoonlijke aanpak

Onze aanpak kenmerkt zich door de persoonlijke benadering, waarbij onze specialisten proactief over uw specifieke situatie meedenken. In het proces staat het begrip ‘samenwerken’ dan ook centraal. Geen ideeën vanuit de theorie bedacht, maar samen met onze klanten werken we aan heldere en praktische oplossingen. 

Samen met u inventariseren we eerst welk type rapportage het beste bij uw dienstverlening aansluit en wat de scope is van de rapportage. Als service organisatie voert u vervolgens een risico analyse uit en stelt u het beheersingsraamwerk (control framework) op. Vervolgens stellen we vast welke beheersingsmaatregelen in opzet en bestaan door uw organisatie worden uitgevoerd. Daarna toetsen we of de beheersingsmaatregelen gedurende de verslagperiode hebben gewerkt. Ten slotte komen we tot een onafhankelijk oordeel en stellen we het assurance rapport op dat onderdeel vormt van uw Service Organisatie Control rapportage.

“Wij hebben de dienstverlening ook dit jaar weer als zeer professioneel een aangenaam ervaren. Het is fijn om een auditor te hebben die een scherpe blik heeft maar ook meedenkt met de organisatie."

Rohiet Jakhari | Risk & Compliance Officer, OGD

Maak kennis met onze specialisten

Bent u benieuwd hoe BDO u met een Service Organisatie Control (SOC)-rapportage kan helpen? Onze specialisten staan u graag te woord. U ontvangt van ons gegarandeerd:  

  • Een vrijblijvend kennismakingsgesprek waarin wij nadere uitleg geven over onze aanpak in relatie tot SOC trajecten. 
  • Advies van een ervaren professional, betrokken bij tientallen assurance-opdrachten op jaarbasis.
  • Een nieuw perspectief op uw situatie en bruikbare tips voor het vervolg van een SOC traject.

Laat in onderstaand formulier uw gegevens achter en we nemen zo snel mogelijk contact met u op voor een belafspraak:
 

Marco

Marco Francken

Partner IT Risk Assurance | BDO Digital
View Bio
Jeroen

Jeroen van Schajik

Partner IT Risk Assurance | BDO Digital
View Bio