Skip to main content

Themes

Audit & Assurance

Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Control-rapportages

SOC 2 en SOC 3

In de Verenigde Staten zijn nieuwe richtlijnen ontwikkeld voor assurancerapporten met betrekking tot de beheersing van IT-processen. Dit artikel geeft een toelichting en gaat in op hoe deze toegepast kunnen worden in Nederland, vanuit het perspectief van

  • de gebruiker (ontvanger van het rapport);
  • de samensteller van het rapport (IT-serviceorganisatie);
  • de auditor van het rapport.

Inleiding

Service Organisation Control (SOC)-rapport 2 en SOC-rapport 3; nieuwe begrippen met de volgnummers 2 en 3. De nummering maakt duidelijk dat er wordt voortgeborduurd op de SOC 1. Verdergaan in coderingen: SOC 1 is de opvolger van SAS 70. De namen zijn helaas niet zelfverklarend. Voor het begrijpen van de inhoud van de begrippen SOC 1, SOC 2 en SOC 3 is een bestudering van de achterliggende documentatie een vereiste. Echter, lang niet iedereen die ermee in aanraking komt is een professional die zich de tijd heeft gegund om SOC 2 en SOC 3 in detail te begrijpen. Hierdoor kunnen misverstanden en teleurstellingen ontstaan vanuit een verkeerde perceptie, waarbij de richtlijnen in werkelijkheid net wat anders in elkaar steken dan wordt gedacht. Eigenlijk zouden de richtlijnen meer in lijn moeten liggen met de natuurlijke perceptie van de gebruiker van assurancerapporten; dit zou veel misverstanden voorkomen. Maar helaas, het ontbreekt aan betere alternatieven. In dit artikel zullen de auteurs niet ten strijde trekken, maar uitleggen waar het om gaat. Mogelijk zijn SOC 2 en SOC 3 niet helemaal wat de verschillende partijen verwachten, maar blijken ze uiteindelijk toch wel goed te gebruiken.

Service Organisatie Control-rapport

De letters SOC staan zoals hiervoor gemeld voor ‘Service Organisation Control’. Dit helpt u waarschijnlijk nog niet echt op weg. Hiervoor moeten wij terug naar de bron van het begrip. Zoals bekend, is de USA SAS 70-standaard vervangen door ISAE 3402, opgesteld door de International Auditing and Assurance Standards Board ([IFAC09]). Landen kunnen deze standaard ongewijzigd overnemen of aangepast invoegen in hun lokale set van audit- en assurancestandaarden. In de Verenigde Staten is de standaard ingepast in de bestaande set van standaarden onder de codering SSAE 16. Tegelijkertijd heeft het Amerikaanse instituut van accountants (AICPA) de standaard de merknaam SOC 1 ([AICPA13]) gegeven. Vanuit de Verenigde Staten is er veel promotie om de ISAE 3402-rapporten aan te duiden met SOC 1 in plaats van een verwijzing naar de standaard zoals in het verleden met SAS 70 het geval was.

De soorten SOC-rapporten zijn door een nummer onderscheidend gemaakt. ISAE 3402 / SOC 1-rapporten kunnen uitsluitend betrekking hebben op beheersingsmaatregelen die een (indirecte) relatie hebben met de financiële verslaglegging van de uitbestedende organisatie. Dit is zo in ISAE 3402 gedefinieerd. De standaard geeft aan dat in een situatie waarin er geen sprake is van een op de financiële verantwoording gerichte scope, gebruik moet worden gemaakt van assurancestandaard ISAE 3000. Waarbij wordt aangegeven dat het rapportagemodel van ISAE 3402 onder de algemene standaard ISAE 3000 kan worden gebruikt.

In lijn met SOC 1 heeft het Amerikaanse instituut van accountants in samenwerking met het Canadese instituut van accountants (CICA) een SOC 2-handleiding opgesteld voor rapportages met een specifiek IT-gerichte scope. Het is geen standaard maar een handleiding, die qua rapportageformaat en reviewwerkzaamheden verwant is aan de op ISAE 3402 gebaseerde SOC 1-handleiding ([AICPA11/1]). De handleiding SOC 2 is niet direct gerelateerd aan een specifieke standaard maar een toepassing van de algemene USA assurance standard AT 101, min of meer het equivalent van ISAE 3000.

De volgende in de rij is SOC 3. Dit rapport is een re-branding van Trust services-producten voor rapporten met betrekking tot serviceorganisaties. SOC 3 wordt gekenmerkt door een beperktere rapportage en de mogelijkheid tot een brede publicatie.

Nu de herkomst van de naam bekend is, volgt de uitleg over SOC 2 en SOC 3. Nadere informatie over SOC 1 (ISAE 3402) is te vinden in de recent verschenen KPMG praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 ([KPMG12]).

C-2013-2-Boer-t01

Figuur 1. De verschillen tussen SOC 1, SOC 2 en SOC 3. Bron: KPMG trainingsmateriaal.

Assurancerapport, de basisuitleg

De nu volgende basisuitleg is bedoeld om eenieder eenzelfde referentiekader te geven. Dit voorkomt misverstanden door verschillen in het begrip.

Verantwoordelijkheid voor de correcte uitvoering van een proces moet door de uitvoerder kunnen worden gedragen. Ten aanzien van eigen werk is dit niet zo moeilijk, daar is hij/zij zelf bij. Het wordt moeilijker als het werk door anderen wordt uitgevoerd. De verantwoordelijkheid moet dan worden gedragen door het uitvoeren van controles op de geleverde dienst/product en op basis van vertrouwen. Over het algemeen zijn geleverde tastbare producten goed op hun kwaliteit te beoordelen, bij diensten ligt dit meestal moeilijker. Afhankelijk van het belang van de dienst zal er behoefte zijn aan inzicht in de controlestructuur gericht op het voorkomen en tijdig herstellen van fouten.

De meest voor de hand liggende oplossing is om op bezoek te gaan bij de serviceorganisatie en zelf vast te stellen dat het proces onder controle is. Dit heeft een groot praktisch bezwaar. Het is in strijd met het realiseren van efficiëntievoordelen en het ontbreken van inhoudelijke kennis en ervaring om de controles te testen maakt deze vorm van controle moeilijk uitvoerbaar. Een oplossing is een onafhankelijk deskundige te vragen de controles te testen en hierover te rapporteren in de vorm van een assurancerapport. Dit kan in opdracht van de uitbestedende organisatie of in opdracht van de uitvoerende organisatie. Door als de uitvoerende organisatie (de serviceorganisatie) het initiatief te nemen houdt zij de regie over de reviews in handen. Het lijkt financieel voordeliger als het initiatief bij de uitbestedende organisatie ligt, maar dat ligt in de praktijk anders. Het coördineren van deze reviews, het toegang geven tot informatie over de uitgevoerde controles en het afstemmen van de bevindingen kost veel tijd. Ook dient rekening te worden gehouden met tijd voor de afstemming van het rapporteren om te voorkomen dat er door de reviewer een rapport wordt uitgebracht dat een negatiever beeld schetst dan de werkelijke situatie, hetgeen ook weer kan leiden tot extra vragen vanuit de opdrachtgever. Argumenten genoeg om als serviceorganisatie zelf het initiatief te nemen om tot een algemeen geaccepteerd assurancerapport te komen. Voor een review van een ISAE 3402 / SOC 1-, SOC 2- en SOC 3-rapport is de opdrachtgever altijd de serviceorganisatie.

Het uitbesteden van processen die van invloed zijn op de financiële verslaglegging kwam op gang bij de opkomst van de automatisering. IT[In het verleden Electronic Data Processing (EDP) genoemd.] was complex maar leidde tot een enorme efficiëntie. Op IT-services gerichte organisaties pakten deze dienstverlening op. Gezien de complexiteit en moeilijke schaalbaarheid wordt veelvuldig gebruikgemaakt van deze IT-serviceorganisaties. Accountants liepen er bij de controle van de jaarrekening tegenaan dat een deel van de beheersingsmaatregelen binnen de (uitbestede) IT-omgeving lag. Om in een situatie van uitbesteding zekerheid te krijgen over opzet, bestaan en werking van de voor de volledigheid en juistheid van de financiële verantwoording noodzakelijke beheersingsmaatregelen werd een rapport van een onafhankelijke auditor gevraagd ter bevestiging van de betrouwbaarheid van de verwerking. In de praktijk werden deze rapporten dikwijls aangeduid met ‘TPM’, wat staat voor ‘Third Party Mededeling’. Het is een verouderde en ongedefinieerde aanduiding; een term die heden ten dage dan ook niet meer kan worden gebruikt.

In het begin van deze eeuw vaardigden de Amerikanen de Sarbanes Oxley-wet uit. De wet leidde er onder andere toe dat beursgenoteerde bedrijven naast de jaarrekening ook een In-Control-verklaring moeten publiceren. Een verklaring die gebaseerd moet zijn op een gestructureerd en aantoonbaar internecontroleproces. De accountant moet de juistheid van de door het management afgegeven In-Control-verklaring beoordelen. Bij uitbesteding van delen van het bedrijfsproces kan, overeenkomstig aan de Sarbanes Oxley-wet gerelateerde auditstandaarden, een SAS 70 (later gevolgd door SOC 1 / ISAE 3402) gelden als onderliggende informatie om de beheersing van het uitbestede proces aan te tonen. Als eigen omspannende controls ontbreken zijn er slechts twee mogelijkheden: het zelf testen van de controls bij de serviceorganisatie of het opvragen van een SOC 1-rapport.

Veel aan de Amerikaanse beurs genoteerde bedrijven maken gebruik van serviceproviders buiten de Verenigde Staten respectievelijk sommige multinationals met een hoofdvestiging buiten de Verenigde Staten hebben ook een beursnotering in Amerika. Door het verplichte karakter van een assurancerapportage bij uitbesteding is de SAS 70-standaard, gevolgd door SOC 1 / ISAE 3402, breed in de belangstelling komen te staan. Het werd een de-factostandaard die ook werd gebruikt in uitbestedingsrelaties die geen enkele band hadden met de Verenigde Staten en die in Nederland de oude ‘TPM’ verdrong.

De beperking dat een SAS 70 volgens de standaard alleen betrekking kan hebben op beheersingsmaatregelen die een (indirecte) relatie hebben met de jaarrekening uitbestedende organisatie (de gebruikersorganisatie), werd dikwijls op een creatieve wijze opgelost. Zo ook de beperking dat de kwaliteitsaspecten continuïteit en compliance geen onderdeel uit kunnen maken van een SAS 70-rapport. Buiten de Verenigde Staten kon deze vrijheid worden veroorloofd omdat bijvoorbeeld vanuit de Nederlandse regels bezien uiteindelijk werd gewerkt onder de veel ruimere ISAE 3000-assurancestandaard. Hoewel het rapport met deze ruimere scope mogelijk onterecht de titel SAS 70 droeg, was het toch een volwaardig assurancerapport.

ISAE 3402 beperkt zich, gelijk SAS 70, tot een scope gerelateerd aan de financiële verslaglegging van de gebruikersorganisatie. De standaard is duidelijk. Artikel 3 stelt dat als er geen verband is met beheersingsmaatregelen met betrekking tot de financiële verslaglegging, de standaard niet van toepassing is. De standaard geeft concreet aan dat dan de algemene assurancestandaard ISAE 3000 van toepassing is. Hier is geen ontkomen aan!

Introductie SOC 2 en SOC 3

De ISAE 3402-standaard geeft aan dat het uitgewerkte rapportage- en assurancemodel ook gebruikt kan worden onder de algemene assurancestandaard, in de USA AT 101[AT 101 – Attest engagements in which a certified public accountant in the practice of public accounting is engaged to issue or does issue an examination, a review, or an agreed-upon procedures report on subject matter, or an assertion about the subject matter that is the responsibility of another party.], daarbuiten ISAE 3000[ISAE 3000 – Assurance engagements other than audits or reviews of historical financial information.]. Het Amerikaanse instituut van accountants heeft dit samen met zijn Canadese collega’s opgepakt en een assurancehandleiding ontwikkeld voor geautomatiseerde gegevensverwerking. Zij hebben dit in de markt gezet onder de naam ‘Reporting on Controls at a Service Organisation, relevant to security, availability, processing integrity, confidentiality, or privacy (SOC 2)’ ([AICPA11/2]).

In tegenstelling tot ISAE 3402 / SOC 1 ligt het normenkader vast in de SOC 2 / SOC 3-handleidingen. Het in de handleidingen opgenomen normenkader moet minimaal worden gevolgd. Het weglaten van onderdelen moet in het rapport worden gemotiveerd, bijvoorbeeld omdat ze niet van toepassing zijn. De beheersingsdoelstellingen zoals we deze onder ISAE 3402 kennen, zijn uitgewerkt in ‘Principles and Criteria’. Deze principles and criteria zijn niet nieuw. Ze komen overeen met de criteria en principles behorend bij door de AICPA en CICA ontwikkelde Trust Services Principles, Criteria and Illustrations ([AICPA12]).

Audittechnisch gezien zijn SOC 2 en SOC 3 gelijk. Ze zijn beide gebaseerd op the Trust Services Principles and Criteria. Het verschil is de rapportage en de verspreidingskring.

Een SOC 2-rapport is voor gebruik door een vooraf gedefinieerde groep gebruikers (gesloten verkeer), gelijk ISAE 3402 / SOC 1. Dit is over het algemeen het management van de organisaties waarvoor de in het rapport opgenomen processen zijn uitgevoerd en partijen die de betreffende organisaties controleren (accountants, toezichthouders). Ook de opbouw van het rapport is gelijk aan het format dat vastligt in ISAE 3402 / SOC 1.

Een SOC 3-rapport is een verkorte rapportage en heeft geen beperkingen in de gebruikerskring. Een auditor kan echter een SOC 3-auditorsreport slechts afgeven als voldaan is aan specifieke condities. Zo mag er geen sprake zijn van een ‘carve out’ en mogen er geen bevindingen zijn die aanleiding zouden geven voor kwalificaties in een SOC 3-auditorsrapport. Het te publiceren rapport heeft een karakter van een certificaat. Onder specifieke voorwaarden is publicatie op het internet mogelijk met gebruik van een SOC 3-beeldmerk (seal).

SOC 2- en SOC 3-rapporten kunnen betrekking hebben op een rapportagemoment (type I) of betrekking hebben op een rapportageperiode (type II). Hoewel niet zo strikt geformuleerd is onder normale omstandigheden de rapportageperiode een tijdvak van zes tot twaalf maanden. Onder bijzondere omstandigheden is een kortere tijdsperiode mogelijk. Het criterium is dat het rapport voor de gebruiker van toegevoegde waarde moet zijn en dat er geen misverstand mag kunnen ontstaan over de aard van de verstrekte zekerheid.

C-2013-2-Boer-02

Figuur 2. Criteria voor de keuze van het juiste SOC-rapport. Bron: http://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/pages/serviceorganization’smanagement.aspx.

Principles and Criteria

Het algemene assuranceraamwerk[NBA Stramien, NOREA assuranceraamwerk, IFAC assurance frame work.], de basis voor het uitvoeren van assuranceopdrachten door auditors, geeft aan dat een assurancerapport gebaseerd moet zijn op uitgangspunten (in het Engels criteria, in de standaard vertaald met het Nederlandse woord ‘criteria’ in de betekenis van benchmarks) die voldoen aan de kenmerken: relevantie, volledigheid, betrouwbaarheid, neutraliteit en begrijpelijkheid. In ISAE 3000 (de algemene assurancestandaard) ligt vast dat de kenmerken (criteria) van de rapportage aan deze vereisten moeten voldoen. ISAE 3402 vult de criteria specifiek in, waarmee het een ISAE 3402-rapport wordt. De verplichte systeembeschrijving, beschrijving van de transactieverwerking, beheersingsdoelstellingen/beheersingsmaatregelen, beschrijving van de controleomgeving komen direct voort uit de gedefinieerde criteria. De SOC 2-handleiding geeft aan dat de ISAE 3402-criteria van toepassing zijn en geeft een nadere concretisering voor de beheersingsdoelstellingen in de vorm van ‘Principles and Criteria’ Let hier op dat met criteria hier net wat anders wordt bedoeld. De ‘Principles and Criteria’ zijn in het Nederlands het beste aan te duiden met de normen waaraan de processen moeten voldoen.

SOC 3 is gebaseerd op dezelfde ‘Principles and Criteria’ die al eerder werden gebruikt voor de assuranceproducten WebTrust en SysTrust.

De gedefinieerde principles and criteria hebben betrekking op het beheersen van IT-infrastructuur, software, gegevens-/informatieopslag en de hierop betrekking hebbende handmatige en geautomatiseerde uitvoeringsprocedures.

De principles and criteria betreffen de volgende kwaliteitsaspecten:

  • Security

    ‘The system is protected against unauthorized access (physical and logical)’
  • Availability

    ‘The system is available for operation and use as committed or agreed’
  • Processing integrity

    ‘System processing is complete, accurate, timely and authorized’
  • Confidentiality

    ‘Information designated as confidential is protected as committed or agreed’
  • Privacy

    ‘Personal information is collected, used, retained, disclosed, and destroyed in conformity with the commitments’

Deze kwaliteitsaspecten zijn gedetailleerd uitgewerkt in de Trust Services Principles ([AICPA12]).

Het SOC 2- / SOC 3-rapport kan betrekking hebben op één of meer kwaliteitsaspecten. De principles and criteria met betrekking tot ‘Security’ vormen de basisset, die terugkomt bij de principles and criteria bij de overige vier kwaliteitsaspecten.

De principles and criteria zijn toegelicht met beheersingsmaatregelen: ‘illustrative controls’. Dit zijn voorbeelden respectievelijk suggesties. De review heeft betrekking op de werkelijk in de organisatie geïmplementeerde beheersingsmaatregelen. Voor het determineren van de beheersingsmaatregelen (controles) binnen de betreffende serviceorganisatie en om deze af te zetten tegen de principles and criteria is diepgaande IT-auditkennis en -ervaring nodig. Na het vaststellen van het aanwezig zijn van de juiste en volledige set van beheersingsmaatregelen is de volgende stap het uitvoeren van testen om vast te stellen dat de beheersingsmaatregelen zijn geïmplementeerd (type I) respectievelijk dat deze gedurende de rapportageperiode hebben gewerkt (type II).

SOC 2

De uitgangspunten (de principles and criteria) zijn voor een SOC 2- en SOC 3-rapport gelijk. Ook de werkzaamheden van de auditor om tot een assurancerapport te komen verschillen niet. Het verschil tussen SOC 2 en SOC 3 is de lay-out van de rapportage en de beoogde gebruikerskring.

De SOC 2-werkwijze en het rapportageformaat zijn vastgelegd in de AICPA guide ‘Reporting on controls at a service organisation’ ([AICPA11/1]). Deze guide bestaat uit de onderdelen:

  • Planning van de review
  • Uitvoeren van de review
  • Rapportering.

In de bijlagen van de handleiding staan voorbeelden van de management assertion en het auditors report opgenomen.

De opzet van de guide lijkt sterk op de, volledig op ISAE 3402 gebaseerde, SOC 1 guide ([AICPA11]). Het SOC 2-rapport krijgt hierdoor dezelfde ‘look and feel’ als het ISAE 3402 / SOC 1-assurancerapport. Het rapport bevat, kort samengevat:

  • Auditors report
  • Management assertion
  • Systeembeschrijving
  • Beschrijving van de algemene beheersingsmaatregelen (control environment)
  • Beheersingsdoelstellingen (afkomstig van Trust Services Principle and Criteria), beheersingsmaatregelen, door de auditor uitgevoerde testen en eventuele testbevindingen
  • Eventuele aanvullende informatie, deze valt buiten de scope van de testwerkzaamheden van de auditor.

Een SOC 2-assurancerapport is uitsluitend bestemd voor een gedefinieerde gebruikerskring. Deze wordt genoemd in het auditors report. Over het algemeen zal deze gebruikerskring zich beperken tot organisaties die gebruik hebben gemaakt van de service binnen de scope van het rapport. Bij een type 2-rapport zullen dit de organisaties zijn die gedurende de rapportageperiode gebruik hebben gemaakt van de services die binnen de scope van het rapport vallen en eventueel hun accountants en/of toezichthouders. Serviceorganisaties willen meestal ook de mogelijkheden hebben om het rapport te kunnen verstrekken aan potentiële gebruikers. Op zich is er geen bezwaar tegen om dit op voorhand toe te staan onder de conditie dat aan deze lezersgroep voorafgaande aan de verstrekking wordt gevraagd te bevestigen dat zij geen rechten aan het rapport kunnen ontlenen. Het rapport heeft immers betrekking op een periode waarin delen van processen van de potentiële relatie (nog) niet betrokken zijn in de scope van de review. Natuurlijk kan zonder meer de toezegging worden gedaan dat als zij klant worden, de door hen uitbestede processen in de scope van de review betrokken zullen worden.

SOC 3

De werkwijze en de te gebruiken teksten voor een SOC 3-rapportage zijn opgenomen in TSP Section 100 – Trust Services Principles, Criteria and illustrations for Security, Availability, Processing Integrity, Confidentiality and privacy. SOC 3 is een rebranding van WebTrust en SysTrust ([AICPA12]). Deze handleiding bestaat uit de principles and criteria, aanwijzingen systeembeschrijving en voorbeelden van management assertions en auditors reports. Het accent ligt op de te hanteren normen (principles, criteria and illustrations). De handleiding geeft nauwelijks aanwijzingen voor de wijze waarop de review moet worden uitgevoerd. Het uitgangspunt is de professionele werkwijze van de auditor. De aanwijzingen in de SOC 2-handleiding ten aanzien van het plannen en de uitvoering van een review moeten worden gezien als codificatie van een als in de professionele praktijk gevolgde werkwijze en zijn derhalve goed bruikbaar voor SOC 3-reviews.

Een SOC 3-rapport is bestemd voor eenieder die er kennis van wil nemen. Deze ongedefinieerde verspreidingskring brengt een aantal specifieke eisen met zich mee. Zo mag er geen carve out van subserviceorganisaties zijn toegepast en het auditors report mag geen kwalificaties bevatten. De rapportage is beperkter dan SOC 2-rapportage. Een type 2-rapportage kan met gebruik van een beeldlogo worden gepubliceerd op internet. Teruggaand in uw herinnering, dit is het model dat overeenkomt met het oude WebTrust/SysTrust. SOC 3 is niet meer dan een re-branding van deze producten. Overigens komt re-branding niet in de plaats van WebTrust en SysTrust. De assurance product brandings komen dus niet te vervallen.

Een SOC 3-rapport is alleen geschikt voor gebruikers die zekerheid willen hebben ten aanzien van de naleving van de principles and criteria binnen een serviceorganisatie, maar geen behoefte hebben aan een nadere onderbouwing. Is er wel behoefte aan een nadere onderbouwing, bijvoorbeeld voor de inpassing in het eigen control framework, dan is SOC 2 het geëigende rapportagemodel.

Publicatie op het internet

Voor de publicatie van een SOC 3-rapport op het internet wordt een verkort rapportagemodel gebruikt. Een model dat sterk lijkt op een certificaat. Dit kan ook. De gebruikte principles and criteria staan vast, de scope is eenduidig, en er mogen geen kwalificaties in het oordeel zijn.

Om gebruik te kunnen maken van het SOC 3-seal moet de auditorganisatie een licentie hebben. Voor de logistieke afhandeling zorgt het Canadese instituut voor accountants (CICA). Om publicatie te realiseren neemt de serviceauditor contact op met CICA voor het maken van de licentieafspraken. Voor de Nederlandse praktijk kan hierbij verwezen worden naar de door NBA als beroepsorganisatie gemaakte afspraken. Na het effectueren van de licentieafspraken tussen de lokale auditorganisatie en CICA kan de auditor rapporten aan CICA zenden om deze op hun server te publiceren. De serviceorganisatie plaatst het beeldmerk (WebTrust / SysTrust / SOC 3) op zijn website met een link naar de CICA WebTrust-server. Zie voor een voorbeeld http://www.godaddy.com met een link onder aan de site. Voor het gebruik van het seal worden door CICA aan de auditor licentiekosten doorbelast.

C-2013-2-Boer3a

Figuur 3. SOC 2 Guide.

Publicatie op het internet, met of zonder seal, heeft invloed op afspraken die de auditor met de serviceorganisatie zal maken. Zo zullen er afspraken gemaakt moeten worden over de tijdsduur dat het rapport op het internet toegankelijk is en over het eerder verwijderen van de publicatie op het moment dat er fundamentele veranderingen zijn waardoor de inhoud van het rapport niet meer aansluit op de actuele situatie. Let wel, de SOC 3-assurancerapportage geeft alleen een oordeel over een in het verleden liggende periode. Alhoewel het formeel niet kan, ontleent de gebruiker er toch zekere waarborgen voor de toekomst aan, de auditor moet hier rekening mee houden om misverstanden te voorkomen. Bij wijziging van de omstandigheden zal er (vervroegd) een nieuw assurancerapport moeten komen. Wordt het rapport niet vervangen of wordt het niet verwijderd dan kan de gebruiker in de veronderstelling verkeren dat de betreffende principles and criteria nog steeds worden gerealiseerd. De auditor zal de afspraken aangaande de publicatie vastleggen in de engagement letter of een specifieke release letter. De procedures aangaande het AICPA/CICA-webseal zijn vastgelegd in de ‘International Seal Usage Guide’ ([AICPA/CICA04]).

SOC 1, SOC 2, SOC 3 en andere rapportagevormen

Serviceorganisatierapporten zijn er in vele soorten. Het ISAE 3402 / SOC 1-rapport is gericht op beheersingsmaatregelen die van invloed zijn op de financiële verslaglegging van de uitbestedende organisatie. Dit is vastgelegd in een wereldwijd geaccepteerde standaard die weinig ruimte laat voor een eigen invulling. De kracht hiervan is dat de verwijzing naar de standaard aangeeft wat de gebruiker kan verwachten.

C-2013-2-Boer-03

Figuur 4. Webseals. Bron: www.webtrust.org.

Het Amerikaanse en het Canadese instituut van accountants hebben op basis van het ISAE 3402 / SOC 1-rapport rapportages ontwikkeld gericht op het geven van assurance over IT-gerelateerde processen met betrekking tot de kwaliteitsaspecten beveiliging, beschikbaarheid, betrouwbaarheid, vertrouwelijkheid en/of privacy onder de naam SOC 2 en SOC 3. Hetgeen in detail uitgewerkt is in een handleiding. Ook hier geldt weer dat door het gebruik van de aanduiding SOC 2 of SOC 3 precies bekend is wat verwacht mag worden.

Er is wel een verschil tussen enerzijds ISAE 3402 / SOC 1 en anderzijds SOC 2 / SOC 3. De laatste is een handleiding om een algemeen herkenbare maar ook specifieke invulling te geven aan de algemene assurancestandaard ISAE 3000[In Nederland door NBA en NOREA geïmplementeerd als NV COS 3000 respectievelijk richtlijn 3000.]. Het is geen keurslijf. De ISAE 3000-standaard geeft de elementen aan waaruit een assurancerapport opgebouwd moet zijn. Maar biedt binnen deze kaders veel keuzes ten aanzien van de mate van zekerheid, de opbouw van de rapportage, en de invulling van de normenset. Onderdelen uit de SOC 2 / SOC 3-handleiding zoals de opbouw en de gedefinieerde principles and criteria kunnen worden gebruikt om tot een passend assurancerapport te komen. Let wel op dat een rapport slechts een SOC 2 / SOC 3-rapportage genoemd kan worden als het geheel aan de richtlijnen voldoet. SOC 2 / SOC 3 zijn door middel van een US Service Mark beschermde producten.

Het voordeel van het gebruik SOC 2 / SOC 3 is dat het rapport voor de opdrachtgever simpel te benoemen is en voor de gebruiker direct herkenbaar zal zijn. Hetgeen van grote waarde is als het rapport gebruikt wordt in relatie tot breed gebruikte producten als IT-cloudservices.

C-2013-2-Boer-05

Figuur 5. SOC 1 vergelijken met SOC 2 en SOC 3. Bron: KPMG trainingsmateriaal.

Review door de auditor

De SOC 2 / SOC 3-rapportage wordt opgezet door de serviceorganisatie en wordt beoordeeld door de auditor. De auditor beoordeelt de toereikendheid van de systeembeschrijving en de beschreven beheersingsorganisatie gegeven de scope, waarna hij vaststelt dat de beschrijving overeenkomstig de werkelijkheid is op het rapportagemoment bij een type 1-rapport of gedurende de rapportageperiode voor een type 2-rapport. Ten aanzien van de controls stelt de auditor vast of deze toereikend zijn voor de van toepassing zijnde principles and criteria gevolgd door testen gericht op het vaststellen van een toereikende implementatie bij een type 1-rapport en de effectieve werking bij een type 2-rapport. In een SOC 2-rapport worden, gelijk als bij ISAE 3402 / SOC 1, de uitgevoerde testen in het rapport gedocumenteerd.

Het spreekt voor zich dat het genoemde beoordelingswerk alleen uitgevoerd kan worden door auditors die voldoende in de materie zijn onderlegd. Zowel ten aanzien van assurancerapportages als ten aanzien van de realisatie van de betreffende kwaliteitsaspecten in de IT-omgevingen waar de rapportage betrekking op heeft. Geconcretiseerd, bij uitstek het werkterrein van register IT-auditors, de RE.

De testen bestaan uit interviews, observaties, inspecties en het herhaald uitvoeren van beheersingsmaatregelen. SOC 2 / SOC 3 is hierin niet anders dan andere assurancerapporten. De handleiding geeft een template voor het auditorsrapport. Bij gebruik van deze template buiten de Verenigde Staten moet er een verwijzing in zijn opgenomen naar ISAE 3000 of de lokale implementatie (in Nederland NV COS 3000 / Richtlijn 3000).

Let op, de managementbewering is een verplicht rapportageonderdeel van een SOC 2 / SOC 3-rapport. Hierin geeft het management aan dat het rapport aan de criteria van de SOC 2 of SOC 3-handleidingen voldoet en dat de beschreven situatie overeenkomstig de werkelijke situatie is. Ook voor dit onderdeel geldt dat in de handleidingen een model managementbewering is opgenomen en dat dit model gebruikt moet worden wil er sprake zijn van een SOC 2- of SOC 3-rapport. De managementbewering is de verantwoordelijkheid van het management. De auditor spreekt zich, als bij ISAE 3402 / SOC 1, niet uit over de getrouwheid van de managementbewering, alhoewel hij wel vast moet stellen dat het management voldoende basis heeft om tot de bewering te komen.

Conclusie

SOC 2 / SOC 3-assurancerapportages bieden kansen voor het uniformeren van op IT-processen gerichte assurancerapportages. Een wereldwijde uniformiteit maakt de rapportages ook goed toepasbaar in een internationale werkomgeving.

De kort en krachtige SOC 3-rapportages sluiten bijzonder goed aan bij IT-cloudservices, ofwel ‘assurance in de cloud’. De aard van clouddiensten brengt met zich mee dat de gebruiker niet geïnteresseerd is in de details, een verkorte rapportage zal dus voldoen. Cloudservices kennen over het algemeen geen landsgrenzen, een internationaal herkend en erkend assuranceproduct past hier uitermate goed bij.

Een SOC 2-rapport past bijzonder goed als de gebruiker inzicht wil hebben in de verwerkingsprocessen en de beheersingsmaatregelen, en daar waar een ISAE 3402 door het ontbreken van een relatie met de financiële verslaglegging niet past.

Een tegenwerping voor het gebruik van deze producten zou kunnen zijn dat het Amerikaanse producten zijn. Maar de ervaring leert dat een in de Verenigde Staten breed gedragen product door de grote verbondenheid van de Verenigde Staten met de rest van de wereld al snel een internationaal karakter gaat krijgen. Vooral als er geen alternatieven voorhanden zijn. Doordat SOC 2 / SOC 3 goed kan worden ingepast in de ISAE 3000-standaard is er geen enkel beletsel om de SOC 2-handleiding voor assurancerapporten en Trusted services principles, criteria and illustrations (TSP 100) buiten Amerika en Canada te gebruiken. Het geeft een framework voor concrete rapportage en de op specifieke IT-kwaliteitscriteria gerichte normen geven een goede invulling van de inhoudelijk lege assurancestandaard ISAE 3000. In de Verenigde Staten en Canada is het wellicht een keurslijf, maar daarbuiten kunnen de SOC 2- en SOC 3-handleiding worden gebruikt om tot op maat gemaakte assurancerapporten te komen. Maatwerk, dat door het gebruik van een generieke handleiding als basis, waarborgen in zich heeft ten aanzien van kwaliteit en herkenbaarheid van het rapport.

Bronnen

[AICPA/CICA04] AICPA/CICA, International Seal USAGE Guide, 2004 (http://www.cica.ca/resources-and-member-benefits/growing-your-firm/trust-services/item10817.pdf).

[AICPA11/1] AICPA, guide Service organisations applying SSAE No. 16 Reporting on controls at a service Organisation (SOC 1), New York, May 2011.

[AICPA11/2] AICPA, guide reporting on controls at a service organisation relevant to Security Availability. Processing, Integrity, Confidentiality or Privacy (SOC 2), New York, May 2011.

[AICPA12] AICPA, TSP Section 100 Trust Services principles, criteria and illustrations for security, availability, processing integrity, confidentiality, and privacy, New York 2012.

[AICPA13] AICPA Service Organization Control Reports Logos, http://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/pages/soclogosinfo.aspx, maart 2013.

[IFAC09] IFAC, international auditing and assurance standards board, ISAE 3402, Assurance Reports on Controls at a Service Organization, New York, 2009.

[KPMG12] KPMG, praktijkgids 4, Service Organisatie Control-rapport, ISAE 3402 Amstelveen 2012.