Interne beheersing aantonen: ISAE- en SOC-rapportages vergroten klantvertrouwen

Interne beheersing omvat het geheel aan maatregelen waarmee een organisatie de gestelde doelen wil behalen, binnen randvoorwaarden als kosten en naleving van gemaakte afspraken. Zodra een significant bedrijfsproces wordt uitbesteed, wil een organisatie natuurlijk graag de zekerheid hebben dat de organisatiedoelstellingen nog steeds worden gehaald. Met het oog daarop kan een organisatie rapportages opvragen bij de leverancier.

ISAE 3000 versus ISAE 3402

De International Standards on Assurance Engagements (ISAE) zijn breed ingestoken en hebben betrekking op interne beheersing. Uitbesteding van diensten heeft een vlucht genomen met de opkomst van internet, begin jaren ‘90 van de vorige eeuw. Op dat moment bestond er alleen een Amerikaanse richtlijn voor accountants van serviceorganisaties voor het opstellen van een rapportage waarmee accountants van gebruikersorganisaties hun jaarrekeningcontrole konden uitvoeren zonder bezoek aan de serviceorganisatie zelf. De rapportage had (en heeft nog steeds) alleen betrekking op betrouwbaarheid van de gegevensverwerking bij de serviceorganisatie, omdat de primaire doelstelling van jaarrekeningcontrole is: een oordeel geven over het getrouwe beeld van de jaarrekening. De ISAE 3402-richtlijn dient tegenwoordig dit doel.

Maar er is ook interesse voor rapportages over de dienstverlening van serviceorganisaties vanuit andere partijen dan accountants die hun jaarrekeningcontrole uitvoeren. Bijvoorbeeld gebruikersorganisaties die geïnformeerd willen worden over de kwaliteit van dienstverlening van hostingpartijen of SaaS-leveranciers. En ook bij aanbestedingen wordt steeds vaker gevraagd om een bewijs van een onafhankelijke auditor dat de dienstverlening van voldoende kwaliteit is. Behalve betrouwbaarheid worden vaak ook andere kwaliteitsaspecten meegenomen, zoals continuïteit en vertrouwelijkheid van de gegevensverwerking. Bij dit type onderzoeken dient gebruik gemaakt te worden van de (minder strenge) ISAE 3000-richtlijn.

SOC 1 versus SOC 2

De ISAE-richtlijnen bevatten echter geen normenkaders waartegen de auditor zijn toetsing kan uitvoeren. Een eis voor het aanleveren van een ISAE-rapportage is daarom weinig zinvol als niet ook aangegeven wordt welk normenkader gebruikt dient te worden. Veel gebruikte normenkaders zijn die met betrekking tot de Service Organization Controls (SOC).

De van oorsprong Amerikaanse standaard SOC 1 werd ontwikkeld door de Association of International Certified Professional Accountants (AICPA). SOC 1 dient in principe gebruikt te worden door de auditor van de serviceorganisatie die een onderzoek uitvoert en rapportages opstelt voor de accountants van de gebruikersorganisaties. SOC 1 heeft geen vooraf gedefinieerd normenkader. Dit dient op basis van risicoanalyse opgesteld te worden door de auditor van de serviceorganisatie. SOC 1 is onlosmakelijk verbonden met de ISAE 3402-richtlijn.

SOC 2 werd eveneens ontwikkeld door de AICPA en biedt een vooraf gedefinieerd normenkader met 13 mogelijke beheersdoelstellingen die door middel van 61 beheersmaatregelen behaald kunnen worden. SOC 2 is bedoeld en geschikt voor onder andere hostingpartijen, SaaS-leveranciers en datacenters. De beheersdoelstellingen, ook wel Trust Service Criteria genoemd, betreffen:

• Beheersomgeving;
• Communicatie en informatie;
• Risicoanalyse;
• Monitoringactiviteiten;
• Maatregelen;
• Logische en fysieke toegangsbeveiliging;
• Systeemoperaties;
• Wijzigingsbeheer;
• Risicomitigatie;
• Beschikbaarheid;
• Vertrouwelijkheid;
• Integriteit gegevensverwerking;
• Privacy.

Niet alle beheersdoelstellingen dienen verplicht mee te worden genomen. De beheersdoelstellingen die niet toepassing zijn, kunnen buiten beschouwing worden gelaten. Bij SOC 2-onderzoeken dient van de ISAE 3000-richtlijn gebruik te worden gemaakt.

Type I versus type II

Afhankelijk van de mate waarin zekerheid moet worden verkregen door de (accountant van de) klant van de serviceorganisatie bestaan er twee soorten onderzoeken c.q. rapportages:

• type I
  Hierbij wordt onderzoek gedaan naar het ontwerp van de interne beheersing van een serviceorganisatie, de geschiktheid van de criteria (stelsel van normen) en de implementatie van deze criteria;

• type II
  Hierbij wordt onderzoek gedaan naar het ontwerp van de interne beheersing van een serviceorganisatie, de geschiktheid van de criteria (stelsel van normen) en de operationele effectiviteit van deze criteria.

Het belangrijkste verschil tussen type I- en type II-onderzoeken is dat een type I-rapport wordt afgegeven over een peildatum, bijvoorbeeld het behalen van beheersdoelstellingen op 31 december. Een type II-rapport wordt afgegeven over een verslagperiode, bijvoorbeeld het behalen van beheersdoelstellingen over de periode 1 januari tot en met 31 december. Het ligt voor de hand dat een type II-rapport voor de klant meer waarde heeft dan een type I-rapport. Type I-rapporten worden ook minder vaak afgegeven dan type II-rapporten en worden meestal eenmalig gebruikt door de serviceorganisatie om kennis te maken met dit soort onderzoeken.

Meer informatie

Wilt u meer weten over ISAE-richtlijnen en/of SOC-rapportages? Neem dan vrijblijvend contact met ons op.