Nieuws

Nieuwe Handreiking Service Organisatie Control Rapporten (SOC-2)

NOREA, de beroepsorganisatie van IT-auditors, presenteert een Handreiking om te voorzien in de groeiende vraag naar assurance-rapporten die bedoeld zijn om het vertrouwen van klanten en toezichthouders in IT-serviceorganisaties te versterken.

De handreiking is een gestandaardiseerd assurance-rapport, speciaal ontwikkeld voor IT-serviceorganisaties met betrekking tot beveiliging, beschikbaarheid, integriteit en/of vertrouwelijkheid van de gegevensverwerking. De rapport-lay-out is gebaseerd op het standaard 3402-rapport.

De gehanteerde toetsingsnormen zijn de Trust Services Principles and Criteria (TSP) van de AICPA, de Amerikaanse beroepsorganisatie van accountants. Het gebruik van deze internationaal geaccepteerde normenset betekent een standaardisatie (en daarmee voorspelbaarheid) van de reikwijdte van dit assurance-rapport. Door het gebruik van deze handreiking is er vanaf nu een assurance-rapportagemodel beschikbaar, speciaal gericht op IT-serviceorganisaties.

Het in de handreiking gedefinieerde Service Organisatie Control Rapport neemt het probleem weg dat algemene standaard voor assurance-rapporten (3000) inhoudelijk gezien weinig specifiek is en daarmee (te) veel vrijheid biedt. Om het assurance-rapport concreet te maken werd, veelal ten onrechte, teruggegrepen op het standaard  3402-rapport, dat eigenlijk bedoeld is voor processen die raakvlakken hebben met de financiële verslaglegging, en dan nog is de reikwijdte per definitie beperkt tot de betrouwbaarheid (juistheid, volledigheid en tijdigheid). Mocht het rapport andere kwaliteitsaspecten raken, denk aan beveiliging (integriteit), beschikbaarheid, vertrouwelijkheid (exclusiviteit), dan worden de grenzen van standaard 3402 overschreden en is er sprake van een vaktechnische misslag van de betreffende assurance-verlener.

Assurance-rapporten die betrekking hebben op IT-serviceorganisaties worden in de praktijk ook wel aangeduid met TPM-rapporten, een in de praktijk ontstaan begrip. Deze Third Party Mededeling is echter nergens gedefinieerd of onderbouwd. De invulling is afhankelijk van de interpretatie van de assurance-verstrekker. Met de komst van deze handreiking voor Service Organisatie Control-rapporten is er nu een gedefinieerde invulling voor assurance-rapporten onder de algemene assurance-standaard 3000 voor IT-serviceorganisaties.

Het Service Organisatie Control Rapport is specifiek gericht op het management van de gebruikende organisatie (de afnemers / klanten van de IT-serviceorganisatie). Het helpt het management om de uitbestede diensten te monitoren en om aan hun accountants en toezichthouders aan te tonen dat de uitbestede IT-processing in control is. In situaties dat de lezer de strekking van het rapport kan begrijpen kan het rapport ook worden gebruikt om toekomstige gebruikers te informeren. 

Het vertrekpunt voor een Service Organisatie Control Rapport is een rapportage van het management (aangeduid met 'management statement'; in het Nederlands 'vermelding van het management'). Daarin geeft het management van de serviceorganisatie aan voldaan te hebben de aanwijzingen voor de inrichting van het rapport en de implementatie (type I ) / werking (type II) van de beheersingsmaatregelen die leiden tot het bereiken van de beheersingsdoelstellingen, zoals deze zijn opgenomen in de Trust Service Principles and Criteria. Het is aan de serviceorganisatie om bepalen of alleen het beginsel 'beveiliging' of het beginsel 'beveiliging' in combinatie met de beginselen 'beschikbaarheid', 'integriteit van processen' en / of 'vertrouwelijkheid' in scope is.

De beheersingsdoelstellingen met betrekking tot beveiliging zijn in de TSP gegroepeerd in de volgende categorieën:

  • Organisatie en management
  • Communicatie
  • Risicomanagement
  • Monitoring
  • Logische en fysieke toegangsbeveiliging
  • Systeem operatie
  • Changemanagement

Het rapport past in context van de internationaal erkende assurance-standaarden voor accountants en auditors. De handreiking voor Service Organisatie Control-rapportages is afgeleid van SOC 2® en gebaseerd op de internationaal gangbare Trust Services Principles en Criteria.  Het is een volwaardig SOC 2®-equivalent opgesteld onder de voor Nederlandse auditors geldende beroepsregels.

De tekst van de handreiking is zowel in het Engels en Nederlands (vanaf blz. 41).

Gerelateerd

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.