11 augustus 2025

De Bridge Letter: Overbrug de kloof in uw SOC-rapportage

Service Organization Control (SOC)-rapportages, zoals SOC 1 en SOC 2, zijn cruciaal voor het aantonen van de betrouwbaarheid van uw interne beheersingsomgeving. Deze rapporten beslaan doorgaans een specifieke periode van 6 tot 12 maanden, die niet altijd naadloos aansluit op het boekjaar van uw klanten. Maar wat doet u als er een “gat” ontstaat tussen het einde van uw SOC-rapport en het jaareinde van uw klant? Het antwoord: de bridge letter.

Een bridge letter, ook wel gap letter genoemd, is een document dat deze kloof overbrugt. Het biedt klanten de zekerheid dat uw beheersingsmaatregelen ook na de rapportageperiode effectief zijn gebleven. Zo kunt u vertrouwen blijven bieden zonder de kosten en doorlooptijd van een volledig nieuw onderzoek.

Wat is een Bridge Letter precies?

Stel: uw meest recente SOC-rapport dekt de periode van 1 november 2023 tot en met 31 oktober 2024. Uw klant werkt echter met een boekjaar dat gelijkloopt aan het kalenderjaar en sluit af op 31 december 2024. Het SOC-rapport dekt dus 10 van de 12 maanden, waardoor er een gat van twee maanden overblijft.

Een bridge letter, opgesteld door het management van uw organisatie, bevestigt aan de klant dat er in die twee maanden geen materiële wijzigingen hebben plaatsgevonden die de conclusies van het oorspronkelijke SOC-rapport zouden beïnvloeden.

Belangrijk: een bridge letter wordt altijd ondertekend door het management van de dienstverlenende organisatie zelf. De externe CPA-auditor die de SOC-audit heeft uitgevoerd, is hierbij niet betrokken en ondertekent de brief dus niet. De auditor heeft immers geen aanvullende werkzaamheden uitgevoerd na de einddatum van het rapport.

Belangrijke onderdelen van een Bridge Letter

Een effectieve bridge letter bevat in ieder geval:

  1. Referentie naar het SOC-rapport
    Duidelijke vermelding van de titel en de dekkingsperiode (begin- en einddatum) van het meest recente rapport.

  2. Verklaring over wijzigingen
    Een expliciete verklaring over eventuele materiële wijzigingen in de interne beheersingsomgeving sinds de einddatum van het rapport.

  3. Bevestiging bij geen wijzigingen
    Indien van toepassing: een verklaring dat het management niet op de hoogte is van significante veranderingen, problemen of tekortkomingen die de opinie van de auditor zouden beïnvloeden.

  4. Verantwoordelijkheden van de klant
    Een herinnering dat de klant verantwoordelijk blijft voor het opvolgen van de complementary user entity controls (CUECs) zoals beschreven in het SOC-rapport.

  5. Disclaimer
    Een duidelijke vermelding dat de bridge letter geen vervanging is voor het volledige SOC-rapport en dat het rapport altijd geraadpleegd moet worden.

  6. Vertrouwelijkheid
    Een verklaring dat de brief uitsluitend bedoeld is voor de specifieke klant en niet door andere partijen gebruikt mag worden.

Voor welke periode is een Bridge Letter geldig?

Het doel van een bridge letter is om een korte periode te overbruggen. De algemeen aanvaarde norm is maximaal drie maanden.

Hoewel er geen formele regels zijn van instanties zoals de AICPA, hanteren veel audit- en accountantskantoren een beleid dat bridge letters voor periodes langer dan drie maanden niet worden geaccepteerd. Moet u een langere periode overbruggen, dan is dat vaak een signaal dat het tijd is voor een nieuwe, volledige SOC-audit. Regelmatige (minstens jaarlijkse) SOC-onderzoeken blijven essentieel voor het bieden van onafhankelijke zekerheid.

De waarde voor uw organisatie en klantrelaties

Een bridge letter is een waardevol instrument in uw compliance-toolkit. Het biedt klanten extra vertrouwen tussen formele audits door, versterkt de relatie en toont de continuïteit van uw betrouwbaarheid aan. Hoewel het nooit een vervanging kan zijn voor een volwaardig SOC-onderzoek, is het wel een efficiënte en kosteneffectieve manier om zekerheid te blijven bieden.

Naar overzicht

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
Nederland
+31 (0)76 5019470

BTW NL866595934B01
KVK 93995814