Steeds meer organisaties besteden (delen van) hun processen uit (zgn. outsourcing). In veel gevallen van outsourcing betreft het de informatievoorziening (ICT).

Naast veel voordelen, brengt outsourcing risico’s met zich mee voor de gebruikersorganisatie. Een manier om die risico’s te beperken is om als gebruikersorganisaties van service organisaties te eisen dat zij transparant zijn over hun interne beheersing. Een mogelijkheid om hierover te rapporteren is door middel van een Service Organization Control Report dat opgemaakt wordt door een externe auditor conform de ISAE 3402-standaard (voor bedrijven in de VS geldt een ‘afwijkende’ standaard (SSAE16-standaard)).

SOC 2 rapportage Een SOC 2 rapportage rapporteert over de controls van een service organisatie welke relevant zijn voor de betrouwbaarheid, beschikbaarheid (continuiteit), de integriteit, de vertrouwelijkheid en privacy van de informatie die door het systeem verwerkt wordt. Een externe auditor voert vervolgens een audit op dit rapport conform de ISAE 3402-standaard.

Soorten SOC 2-rapportage Er zijn twee soorten SOC 2 rapporten: een Type 1- en een Type 2-rapportage. Een ISAE 3402 SOC 2 type 1-rapport heeft betrekking op de opzet en het bestaan en is uitsluitend gericht op het bestaan van interne beheersingsmaatregelen op een bepaald moment. Een ISAE 3402 SOC 2 type 2-rapport rapporteert over de effectieve werking voor een langere periode (deze dient minimaal zes maanden te bedragen).

Gebruik ISAE 3402-rapportage

Het gebruik van een ISAE3402-rapportage is beperkt tot bestaande gebruikers. Een ISAE3402-rapportage kan bijvoorbeeld door leveranciers van data-centra, maar ook door leveranciers van on-line software, gebruikt worden om te rapporteren over haar interne beheersing aan de gebruikersorganisaties.

Op de downloadpagina kunt u verschillende whitepapers over de IASE 3402 audit downloaden.

Meer informatie over Afgifte van TPM's