SOC Rapportering
Third Party Assurance Rapportering
Veel organisaties besteden één of meer van hun activiteiten uit aan serviceorganisaties die over de nodige middelen en expertise beschikken. Het gaat hierbij vaak over activiteiten die niet tot de core business van de organisatie behoren en/of waarbij de veiligheid en continuïteit van cruciaal belang zijn. Denk bijvoorbeeld aan: HR en payroll-processen, financieel management, IT dienstverlening en data centers.
Indien uw onderneming optreedt als serviceorganisatie is de kans groot dat uw klanten vragen stellen over de wijze waarop uw interne processen zijn ingericht. Uw klanten blijven immers eindverantwoordelijk en wensen graag voldoende zekerheid te bekomen over de nodige confidentialiteit, integriteit en beschikbaarheid van uw dienstverlening.
Bovendien zijn dit geen eenmalige vragen van uw klanten, maar blijvende noden waar u periodiek aan zal moeten voldoen.
Een System & Organisation Controls (SOC) Rapport (e.g. ISAE3402, ISAE3000) is een efficiënte manier waarop u als serviceorganisatie naar de betrokkenen, zoals uw klanten, de nodige assurance kan communiceren over de manier waarop risico’s beheerst worden.
Service Provider
Distinguish yourself as a service organisation and obtain a competitive advantage
Cost savings due to integrated assurance reporting
Assurance reporting to a broad range of clients with a single report
Able to demonstrate compliance requirements are in place
User Organisation
Assurance reporting on the design and effectiveness of controls at the service provider
Cost savings due to integrated assurance reporting
Able to demonstrate compliance requirements are in place
Monitoring of the service level agreements with your third party
Wat is een ISAE 3402/3000 (SOC) rapport?
ISAE rapporten zijn ‘System and Organisation Control (SOC)’ attesten om klanten en andere relevante stakeholders een objectief oordeel te geven over de controleomgeving van uw serviceorganisatie.
Er kan een onderscheid worden gemaakt tussen een SOC 1- en SOC 2-verslag.
- ISAE3402 (SOC 1) is een assurance-rapport dat een redelijke mate van zekerheid geeft over de interne controles van een serviceorganisatie die relevant zijn voor de financiële verslaggeving van een gebruikersorganisatie (klant). Controledoelstellingen hebben betrekking op bedrijfsprocessen én informatietechnologie (General IT Controls zoals bijvoorbeeld security, change management, continuïteit en toegangsbeveiliging).
- ISAE 3000 (SOC 2) is een assurance-rapport dat redelijke zekerheid verschaft over de effectiviteit van de niet-financiële controles van serviceorganisaties. De controledoelstellingen hebben betrekking op de volgende criteria: beveiliging, beschikbaarheid, vertrouwelijkheid, verwerkingsintegriteit en data privacy.
Welk type van rapportering u dient te kiezen zal dus voornamelijk afhangen van de vraag van uw klant. Waarover wil de klant zekerheid (assurance) krijgen en met welk doel?
Nieuws
GDPR uitdagingen anno 2022
Meer dan vier jaar na het in werking treden van de nieuwe GDPR-wetgeving of Algemene Verordening Gegevensbescherming (AVG) worstelen nog heel wat bedrijven met het beheer en de...
Internal Audit and Robotic Process Automation (RPA)
Wij leggen uit hoe Interne Audit de voordelen kan benutten van de integratie van innovatieve technologie zoals RPA in hun eigen manier van werken.
Common Pitfalls on IT Disaster Recovery
Vul onze 2-minuten self-assessment in om een snelle score te krijgen voor het huidige beheer van uw bedrijfscontinuiteit (BCM) van uw organisatie.