System and Organization Controls (SOC) rapporten worden snel een noodzaak voor het opbouwen van vertrouwen en voor het geven van zekerheid aan de klanten van een organisatie (en potentiële klanten) over de diensten die de organisatie levert.
Het aantal inbreuken en incidenten als gevolg van kwetsbaarheden in het systeem van een organisatie of van de leveranciers van de organisatie neemt toe, en veel organisaties willen zich beschermen tegen kostbare cybercriminaliteit.
Naarmate cyberbeveiliging en interne controles meer aandacht en nadruk krijgen in het bedrijfsleven van vandaag, krijgen SOC-rapporten dat ook.
Kort aan tijd? Luister en leer in deze aflevering van onze podcast: Waarom is SOC-rapportage belangrijk voor dienstverleners?
Wat is een SOC-rapport?
Een SOC-rapport is het resultaat en de bevindingen van een SOC-onderzoek, dat is ontworpen om zekerheid te geven over de werking van de interne controles van een organisatie.
Wie kan een SOC-rapport afgeven?
SOC-onderzoeken worden uitgevoerd door onafhankelijke Certified Public Accountants (service-auditors) volgens de attestatienormen van het American Institute of Certified Public Accountants (AICPA).
Wat zijn interne controles?
Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) definieert interne controle in grote lijnen als “een proces, uitgevoerd door de raad van bestuur, het management en ander personeel van een entiteit, dat is ontworpen om redelijke zekerheid te verschaffen over de verwezenlijking van doelstellingen met betrekking tot activiteiten, rapportage en naleving.”
In wezen zijn interne controles de maatregelen die uw organisatie neemt met betrekking tot haar eigen interne activiteiten om de efficiëntie te verhogen, bescherming te bieden tegen aansprakelijkheid en te blijven voldoen aan wet- en regelgeving.
Hoe kan mijn organisatie een SOC-certificering verkrijgen?
De term “SOC-certificering” is eigenlijk een verkeerde benaming die het gevolg is van een veelvoorkomend misverstand over SOC-rapporten. Organisaties vragen vaak hoe ze “SOC-gecertificeerd” of “SOC-compliant” kunnen worden, maar er is geen certificering en geen slagen of zakken met SOC-rapporten.
Als het SOC-onderzoek is voltooid, wordt een rapportagepakket uitgebracht met het verslag van de onafhankelijke service-auditor, de door de auditor uitgevoerde tests en de resultaten van die tests, en de bewering en beschrijving van de serviceorganisatie van het systeem (of een beschrijving van de controles).
In dat verslag van de onafhankelijke service-auditor geeft de service-auditor een oordeel. Als de beschrijving van het systeem eerlijk is gepresenteerd (SOC 1) of in overeenstemming is met de beschrijvingscriteria (SOC 2), de controles adequaat zijn ontworpen en de controles effectief werken (Type 2’s), zal de service-auditor waarschijnlijk een “ongewijzigd advies” afgeven, wat meestal het gewenste resultaat is.
Als er echter tijdens het testen significante problemen worden aangetroffen of als de beschrijving misleidend is of relevante informatie mist, kan de service-auditor een verklaring met beperking of zelfs een afkeurende verklaring afgeven, afhankelijk van de alomtegenwoordigheid van de problemen.
Wie heeft een SOC-verslag nodig?
De beslissing om een SOC-onderzoek te laten uitvoeren, wordt meestal ingegeven door verzoeken of vereisten voor een SOC-verslag van de klanten of toekomstige klanten van de serviceorganisatie. Dus, hoogstwaarschijnlijk, zult u weten dat u een SOC-rapport nodig hebt omdat uw klanten u om een vragen.
Voor veel bedrijven is het vragen om een SOC-rapport van hun leveranciers meestal onderdeel van goede leveranciersbeheerprocessen en typisch voor due diligence die wordt uitgevoerd op de leveranciers van een organisatie om risico’s aan te pakken die gepaard gaan met het uitbesteden van diensten aan die leverancier.
Het is belangrijk om te onthouden dat, hoewel uw klanten of potentiële klanten diensten kunnen uitbesteden, zij nog steeds verantwoordelijk zijn voor de bescherming van hun eigen informatie, en SOC-rapporten zijn een methode voor hen om vertrouwen op te bouwen in uw bedrijf en de diensten die u aan hen levert.
Organisaties zouden een SOC-rapport moeten hebben als ze:
- worden beschouwd als een “serviceorganisatie” (een organisatie die diensten verleent aan gebruikersentiteiten);
- worden vaak gevraagd door huidige of potentiële klanten om een gedetailleerde vragenlijst in te vullen over de beveiliging van de organisatie of over de interne controles die zijn ingesteld om risico’s aan te pakken die een bedreiging vormen voor het bereiken van gecontracteerde diensten of systeemverbintenissen; of
- worden vaak gevraagd door huidige of potentiële klanten om een SOC-rapport te leveren. (Dit kan de beslissende factor zijn bij het behouden van huidige klanten of het binnenhalen van de opdracht van een potentiële klant.)
Wat is de typische tijdslijn voor het laten uitvoeren van een SOC-onderzoek?
SOC-onderzoeken kunnen een langdurig proces zijn, dat soms enkele maanden of zelfs een jaar in beslag kan nemen, afhankelijk van hoe goed de organisatie is voorbereid om aan de vereisten te voldoen.
Voor organisaties die al beschikken over robuuste beleidslijnen, procedures en interne controles, kan het proces zeker korter zijn.
Als deze dingen niet aanwezig zijn, raden we doorgaans aan dat de organisatie een Readiness Assessment doorloopt om te bepalen of ze gereed is, om hiaten of gebieden voor verbetering te identificeren en om te voorkomen dat ze te snel in een SOC-examen springen. Op die manier kunnen hopelijk belangrijke uitzonderingen of tekortkomingen in het SOC-verslag worden vermeden wanneer het is voltooid.
Of de organisatie nu kiest voor een proactieve aanpak of een SOC-onderzoek laat uitvoeren naar aanleiding van een verzoek daartoe, uiteindelijk hopen we dat ze ook onschatbare kennis zal opdoen over hoe goed hun interne controleprocessen werken en op welke gebieden verbetering cruciaal is.
Zijn er verschillende varianten van SOC-examens?
Ja.
Voor dienstverlenende organisaties zijn er SOC 1®-, SOC 2®- en SOC 3®-examens. Naast deze examens heeft de AICPA ook een SOC voor Cybersecurity en een SOC voor Supply Chain geformuleerd.
De AICPA heeft de SOC-suite van diensten en rapportageopties als volgt gebrandmerkt:
| SOC voor dienstverlenende organisaties | |
| SOC 1 Onderzoeken (Types 1 en 2) |
|
| SOC 2-onderzoeken (Types 1 en 2) |
|
| SOC 3 Examens |
|
| SOC voor cyberbeveiliging | |
|
|
| SOC voor toeleveringsketen | |
|
|
Omdat SOC 1- en SOC 2-rapporten het meest worden gevraagd door gebruikersentiteiten, is een meer gedetailleerd overzicht van deze twee rapportopties gerechtvaardigd.
Beide van deze rapporten kennen twee typen: Type 1 en Type 2, die ook worden geschetst.
Wat is een SOC 1 rapport?
In SOC 1 rapporten, is er geen gespecificeerde criteria. De service-organisatie ontwikkelt en auteurs de algemene controledoelstellingen en de gerelateerde controles die specifiek zijn voor het bereiken van de controledoelstellingen. De serviceorganisatie is ook verantwoordelijk voor de beschrijving van het systeemgedeelte van het rapport.
SOC 1-rapporten zijn bedoeld om te rapporteren over controles bij een serviceorganisatie die relevant zijn voor de interne controle van een entiteit over financiële verslaglegging (ICFR), en ze worden meestal uitgevoerd over diensten zoals werknemersuitkerings- of pensioenregelingen, financiële/huishoudelijke diensten, salarisverwerking, betalingsverwerking, leningsdienstverlening, enz.
SOC 1-rapporten zijn voorbehouden aan het management van de dienstverlenende organisatie, de gebruikersentiteiten en hun accountants.
Wat is een SOC 2-rapport?
In SOC 2-rapporten heeft de AICPA de criteria voor trustdiensten gespecificeerd die worden gebruikt om controles te evalueren en biedt aandachtspunten die organisaties kunnen gebruiken om te helpen bij het bepalen van toepasselijke controles en controletaal.
De criteria voor trust services kunnen worden ingedeeld in vijf categorieën:
- beveiliging;
- beschikbaarheid;
- verwerkingsintegriteit;
- vertrouwelijkheid; en
- privacy.
Wanneer wordt gekozen voor SOC 2-onderzoeken, moet de beveiligingscategorie (ook aangeduid als de “gemeenschappelijke criteria”) worden gebruikt, en vervolgens kunnen aanvullende categorieën worden gekozen als deze van toepassing zijn op de dienstverplichtingen of systeemvereisten van de organisatie.
Bijvoorbeeld, als de serviceorganisatie in haar service level agreements schetst dat het systeem of softwareplatform 24/7, 365 dagen per jaar beschikbaar zal zijn voor haar gebruikers en dat procedures voor bedrijfscontinuïteit en noodherstel zijn ingevoerd en ten minste jaarlijks worden getest, zou de categorie Beschikbaarheid relevant zijn voor hun rapport.
De AICPA heeft ook bepaalde normen ontwikkeld die de serviceorganisatie moet gebruiken bij het opstellen van de beschrijving van het systeem voor SOC 2-rapporten, die worden uiteengezet in de Beschrijving Criteria (DC) Section 200.
SOC 2-onderzoeken worden meestal uitgevoerd voor Data Center Co-locaties, Software as a Service (SaaS) providers, Cloud Service providers, Managed IT Services providers, enz.
Deze rapporten zijn voorbehouden aan gebruikersentiteiten van het systeem, zakelijke partners, potentiële gebruikersentiteiten en zakelijke partners, en regelgevende instanties die inzicht hebben in de serviceorganisatie en de controles daarop.
Wat is het verschil tussen een SOC-rapport van type 1 en type 2?
Een SOC-verslag van type 1 dateert van een bepaalde datum en garandeert dat de beschrijving van het systeem correct is (SOC 1-verslag) of in overeenstemming is met de beschrijvingscriteria (SOC 2-verslag), en dat de controles op de gespecificeerde datum naar behoren zijn opgezet. Er wordt een walk-through van de controles en een test van één uitgevoerd, maar er zijn geen gedetailleerde tests.
Een type 2-verslag heeft betrekking op een bepaalde periode, gewoonlijk niet minder dan zes maanden. Het advies geeft zekerheid over de beschrijving en geschiktheid van de opzet van de controles, en ook over de doeltreffendheid van de controles. Het type 2-onderzoek omvat gedetailleerde tests van de controles over de gehele verslagperiode.
Hoe worden SOC-verslagen opgesteld?
De stappen voor het uitvoeren van een SOC-onderzoek variëren, afhankelijk van hoe voorbereid de organisatie is om aan de vereisten te voldoen. Normaal gesproken adviseren wij als service-auditor bij het uitvoeren van een SOC-onderzoek het onderstaande proces in vier stappen te volgen:
SOC-onderzoek Stap 1: Voer een opdracht-/planningsvergadering uit
De service-auditor vergadert met de service-organisatie om de reikwijdte van het systeem of de diensten te bepalen, de SOC-optie die het meest van toepassing is op de behoeften van de organisatie, en het tijdschema, de planning en de kosten van de opdracht.
SOC-onderzoek Stap 2: een gereedheidsbeoordeling uitvoeren
Er worden bijeenkomsten gehouden om de beleidslijnen, processen en procedures te bespreken die de organisatie heeft ingevoerd of die moeten worden ontwikkeld of verfijnd. Walk-throughs, observaties en vragen over processen en procedures worden uitgevoerd door de service-auditor.
De organisatie is verantwoordelijk voor het ontwikkelen van controledoelstellingen en gerelateerde controles (SOC 1-rapport), of specifieke controles om te voldoen aan de SOC 2-rapportcriteria; de service-auditor kan echter kennis delen, advies geven of geschikte controletaal aanbevelen om de organisatie bij deze taak te helpen.
Alle hiaatgebieden die door de service-auditor worden geïdentificeerd, worden gerapporteerd aan de service-organisatie, zodat processen en controles kunnen worden verfijnd om redelijke zekerheid te geven dat de organisatie goed is voorbereid voordat het SOC-onderzoek wordt uitgevoerd.
SOC-onderzoek Stap 3: Type 1-onderzoek en rapportage (SOC 1 of SOC 2)
Organisaties kunnen ervoor kiezen het Type 1-onderzoek te laten uitvoeren voordat zij overgaan tot het Type 2-onderzoek om ervoor te zorgen dat de controles vanaf een bepaalde datum naar behoren zijn opgezet en uitgevoerd.
Er wordt nog steeds een formeel rapport uitgebracht door de service-auditor; Aangezien de doeltreffendheid van de controles echter niet in detail wordt getest, worden de controles gewoon vermeld als onderdeel van de systeembeschrijving van de organisatie. Het oordeel van de service-auditor wordt gegeven met betrekking tot de eerlijkheid van de presentatie van de beschrijving (SOC 1) of volgens de beschrijvingscriteria (SOC 2), en of de controles adequaat zijn ontworpen.
Hoewel niet alle organisaties ervoor kiezen om de Type 1 te laten uitvoeren, is het zeker een optie om te overwegen om meerdere uitzonderingen of tekortkomingen te voorkomen die zouden kunnen ontstaan door te snel naar de Type 2 over te stappen.
SOC-onderzoek Stap 4: Type 2-onderzoek en rapportage (SOC 1 of SOC 2)
Wanneer de organisatie ervoor kiest om het Type 2-onderzoek te laten uitvoeren, zullen gedetailleerde tests worden uitgevoerd door de service-auditor gedurende de gehele rapportageperiode zoals gespecificeerd tijdens het planningsproces.
In dit rapport neemt de service-auditor een beschrijving op van de uitgevoerde tests, en het oordeel zal wederom betrekking hebben op de getrouwheid van de presentatie van de beschrijving (of beschrijvingscriteria), of de controles adequaat zijn opgezet, en ook of de controles gedurende de verslagperiode effectief hebben gefunctioneerd.
Hoe kan mijn organisatie een SOC-onderzoek laten uitvoeren voor een SOC-rapport?
De risico-, beveiligings- en technologieprofessionals van Warren Averett werken nauw samen met dienstverlenende organisaties om een grondig inzicht te krijgen in de vereisten van hun belanghebbenden, zodat we de juiste oplossingen voor hun behoeften kunnen bepalen als het gaat om SOC-onderzoeken en attesteringsdiensten.
Laat een adviseur van Warren Averett contact met u opnemen om het gesprek aan te gaan over hoe een SOC-rapport er voor uw organisatie uit zou kunnen zien.
Deze blog is oorspronkelijk gepubliceerd op 16 december 2019 en is voor het laatst bijgewerkt op 3 november 2020.