Samenvatting

Het onderzoek “SOC 2: toepassing en uitvoering” is uitgevoerd in opdracht van AuditConnect B.V.SOC (Service Organisation Control) 2 is een assurancerichtlijn ontwikkeld in Amerika, gericht op het verstrekken van een redelijke mate van assurance over de beheersing van uitbestede IT-processen. De richtlijn is vernieuwend vanwege de scoping en werkwijze: assuranceverklaringen geven weinig mogelijkheid om te bepalen wat en hoe er getoetst wordt. SOC 2 daarentegen biedt de mogelijkheid om modulair een verklaring samen te laten stellen op basis van enkele thema’s. Deze thema’s, principles genoemd, zijn:    Security    Availability    Processing Integrity    Confidentiality    PrivacyDeze thema’s geven een organisatie de mogelijkheid om gericht te toetsen. Zo kan een organisatie kiezen om confidentiality achterwege te laten omdat er geen relevantie is met de te toetsen materie. Deze “principles” zijn ontleend aan de Trust Services Principles and Criteria (TSP) Sectie 100, het geïntegreerde normenkader van SOC 2. SOC 2 toetst exclusief op basis van de TSP Sectie 100, waar andere richtlijnen geen normenkader verplicht stellen. De principles die de TSP Sectie 100 aanreikt bestaan uit controls (beheersmaatregelen) gerelateerd aan het principle, met indien nodig enkele aanvullende controls. Zodoende wordt er diepgaand getoetst op de beheersing van de systeembeveiliging, systeembeschikbaarheid, integriteit van de verwerking van gegevens, vertrouwelijkheid van informatie en privacyaspecten van de verwerking van data of informatie. De aanleiding van het onderzoek komt voort uit de introductie van de SOC 2-richtlijn in Nederland. De toepasbaarheid en uitvoering van de richtlijn zijn gedurende het onderzoek inzichtelijk gemaakt om zo een advies te kunnen formuleren aan AuditConnect B.V. en de IT-auditbranche als geheel. Voor het onderzoek is de volgende probleemstelling gehanteerd:Welk type organisatie heeft baat bij een SOC 2-rapportage en hoe kan de SOC 2-richtlijn het meest effectief geïmplementeerd en/of getoetst worden, op basis van welke uitvoeringscriteria en leidt dit tot een algemeen toepasbare oplossing?Het doel van het onderzoek betreft het opstellen van een algemeen toepasbare implementatieaanpak waarin een zo breed mogelijk toepassingsgebied wordt behouden. Om deze aanpak te ontwikkelen is er tijdens het onderzoek uitgebreid aandacht besteed aan hoe assurancerapporten en -opdrachten werken, wat een organisatie stimuleert om te kiezen voor een bepaald assurancerapport en hoe de markt kan worden aangemoedigd om te kiezen voor een SOC 2-rapportage.Gedurende het onderzoek is inzichtelijk gemaakt hoe SOC 2 de markt kan beïnvloeden: de rapportage biedt organisaties mogelijkheden op de gebieden van standaardisatie en vereenvoudiging. Daarnaast zijn er voor organisaties met internationale aspiraties kansen om onderhandelingen te versoepelen met een SOC 2-rapportage vanwege de internationale acceptatie van de verklaring.Een rapport conform de SOC 2-richtlijn brengt echter ook nieuwe uitdagingen met zich mee.Nederlandse en Amerikaanse wet- en regelgeving zijn op het gebied van privacy sterk uiteenlopend, waardoor dit niet conform de TSP Sectie 100 “Privacy”-criteria kan worden getoetst. Het American Institute of Certified Public Accountants (AICPA) heeft ook meerdere trademarks belegd op SOC 2 waardoor de toepassing van de Amerikaanse SOC 2