Wat is het verschil tussen ISAE 3402 en SOC 2?

Wat is ISAE 3402?

ISAE 3402 (International Standard on Assurance Engagements 3402) is een internationale assurance standaard die specifiek gericht is op de interne beheersing van een serviceorganisatie die van invloed kan zijn op de financiële rapportage van de gebruikersorganisaties. Denk hierbij aan organisaties die salarisadministratie, pensioenadministratie of IT-diensten (zoals cloud computing) leveren die direct impact hebben op de financiële cijfers van hun klanten. Het rapport, opgesteld door een onafhankelijke accountant, geeft gebruikersorganisaties en hun auditors zekerheid over de opzet, bestaan en werking van de relevante interne beheersingsmaatregelen van de serviceorganisatie over een bepaalde periode. Er zijn twee typen ISAE 3402 rapporten:

• Type 1: Beschrijft de opzet en het bestaan van de beheersingsmaatregelen op een specifiek moment.

• Type 2: Beschrijft de opzet, het bestaan én de werking van de beheersingsmaatregelen over een periode (meestal 6 of 12 maanden).

Wat is SOC 2?

SOC 2 (Service Organization Control 2) is een rapportagestandaard, ontwikkeld door het AICPA (American Institute of Certified Public Accountants), die zich richt op de interne beheersing van serviceorganisaties met betrekking tot de beveiliging, beschikbaarheid, integriteit van de verwerking, vertrouwelijkheid en privacy van data. Deze criteria staan bekend als de Trust Services Criteria (TSC). SOC 2 is met name relevant voor technologie- en cloud computing-bedrijven, SaaS-providers en andere serviceorganisaties die klantgegevens opslaan, verwerken of anderszins beheren. Het rapport geeft gebruikersorganisaties zekerheid over hoe goed de serviceorganisatie hun gegevens beschermt. Net als bij ISAE 3402 zijn er twee typen SOC 2 rapporten:

• Type 1: Evalueert de opzet en het bestaan van de beheersingsmaatregelen op een specifiek moment.

• Type 2: Evalueert de opzet, het bestaan én de werking van de beheersingsmaatregelen over een periode.

De belangrijkste verschillen

Hoewel beide standaarden assurance bieden over interne beheersing, liggen de kernverschillen in hun focus en doelgroep: Focus:

• ISAE 3402: Gericht op beheersingsmaatregelen die relevant zijn voor de financiële rapportage van gebruikersorganisaties.

• SOC 2: Gericht op beheersingsmaatregelen met betrekking tot de Trust Services Criteria (beveiliging, beschikbaarheid, integriteit van de verwerking, vertrouwelijkheid en privacy). Doelgroep:

• ISAE 3402: Primair bedoeld voor de gebruikersorganisaties en hun financiële auditors.

• SOC 2: Bedoeld voor een bredere groep stakeholders, waaronder management, toezichthouders, klanten en zakenpartners die zich zorgen maken over data-beveiliging en privacy. Criteria:

• ISAE 3402: De te toetsen beheersingsdoelstellingen en -maatregelen worden bepaald door de serviceorganisatie zelf, in overleg met de accountant, op basis van de diensten die impact hebben op financiële rapportage.

• SOC 2: Gebruikt de gestandaardiseerde Trust Services Criteria als basis voor de evaluatie. Een organisatie kiest welke van de vijf criteria relevant zijn (beveiliging is verplicht, de andere vier zijn optioneel). Rapportage:

• ISAE 3402: Het rapport bevat een beschrijving van het systeem van de serviceorganisatie, de beheersingsdoelstellingen en -maatregelen, de toetsing door de accountant en de resultaten.

• SOC 2: Het rapport bevat een beschrijving van het systeem, de gekozen Trust Services Criteria, de getoetste beheersingsmaatregelen, de toetsing door de accountant en de resultaten.

Overeenkomsten

Ondanks de verschillen zijn er ook belangrijke overeenkomsten:

• Beide resulteren in een assurance rapport opgesteld door een onafhankelijke accountant.

• Beide rapporten kunnen worden uitgevoerd als een Type 1 (opzet en bestaan op een moment) of Type 2 (opzet, bestaan en werking over een periode).

• Beide helpen serviceorganisaties om vertrouwen op te bouwen bij hun klanten en andere stakeholders.

• Beide vereisen een grondige evaluatie van de interne beheersingsomgeving van de serviceorganisatie.

Wanneer kies je welk rapport?

De keuze tussen een ISAE 3402 en een SOC 2 rapport (of soms zelfs beide) hangt af van de aard van de diensten die een serviceorganisatie levert en de informatiebehoeften van hun klanten:

• Krijgen jouw klanten een controle op hun financiële overzichten en hebben zij informatie nodig over de impact van jouw diensten op hun financiële rapportage? Dan is een ISAE 3402 rapport waarschijnlijk het meest relevant.

• Verwerk je gevoelige klantgegevens en willen klanten zekerheid over hoe je hun data beveiligt, beschikbaar houdt, en omgaat met privacy? Dan is een SOC 2 rapport, gericht op de Trust Services Criteria, de juiste keuze.

• Lever je diensten die zowel impact hebben op de financiële rapportage als op de beveiliging/privacy van data (bijvoorbeeld een cloud-gebaseerd financieel systeem)? Dan kan een combinatie van beide rapporten relevant zijn.

Tot slot

ISAE 3402 en SOC 2 zijn waardevolle standaarden voor serviceorganisaties om transparantie te bieden over hun interne beheersing. Het belangrijkste verschil ligt in hun focus: ISAE 3402 op financiële rapportage en SOC 2 op data-beveiliging en privacy gerelateerde aspecten (de Trust Services Criteria). Door het juiste rapport te kiezen, kunnen serviceorganisaties effectief communiceren over de betrouwbaarheid van hun processen en het vertrouwen van hun klanten versterken.