Nederlandse handreiking voor SOC 2 komt eraan!

2 oktober 2015
In dit artikel:

Auditors krijgen steeds vaker opdrachten om assurancerapporten uit te brengen over de interne controle van IT-serviceorganisaties. In de Verenigde Staten is hiervoor in 2012 een handreiking gelanceerd: SOC 2. Het is de concretisering van ISAE 3402 (in Amerika geïmplementeerd onder de naam SOC 1) gericht op IT-serviceorganisaties. NOREA haakt hierop in en schept duidelijkheid hoe IT-auditors in Nederland moeten omgaan met SOC 2. Maar er is meer om over na te denken.

Organisaties die IT-diensten hebben uitbesteed, variërend van IT-housing tot cloud computing, en die assurance over de uitbestede gegevensverwerking nodig hebben vragen hun IT-serviceorganisaties meestal specifiek om rapporten volgens NOREA-richtlijn 3402.1 De reden hiervoor is dat ze bekend zijn met dit type rapportage en/of omdat anderen (bijvoorbeeld de accountant) daarop aandringen. Dit stelt IT-serviceorganisaties voor een dilemma. Ze willen enerzijds tegemoetkomen aan de vraag van hun klanten, die niets anders wensen te ontvangen dan een 3402-rapportage. Maar anderzijds beseffen ze dat er essentiële inhoudelijke kwaliteitsaspecten van de dienstverlening zijn die niet kunnen worden afgedekt door een 3402-rapport. Dit betreft met name beveiliging, beschikbaarheid en databescherming.

Sinds de lancering van SOC 2 kunnen zij dit dilemma oplossen door de auditor te vragen een assurancerapport op basis hiervan af te geven. Dit type rapport lijkt qua vorm sterk op het in de markt reeds bekende 3402-rapport – en is dus als rapporttype uit te leggen aan hun klanten – maar sluit inhoudelijk beter aan bij de dienstverlening van IT-serviceorganisaties. Het brengt een standaardisatie aan in de vele initiatieven – vaak aangeduid als Third Party Mededelingen (TPM) – om tot een passend assurancerapport te komen. Het is daarom te verwachten dat het SOC 2-rapport in de sector van de IT-serviceorganisaties de 3402-rapportages zal gaan verdringen. De kosten om een SOC 2-rapport uit te brengen zijn vergelijkbaar met die van een richtlijn 3402-rapport. De rapportage is echter veel beter bruikbaar omdat die rechtstreeks aansluit op de beheersingsdoelstellingen die er voor de klant werkelijk toe doen.

Minder focussen op standaardformaat rapportages

Dit artikel is bedoeld om IT-auditors te attenderen op het bestaan van SOC 2, te schetsen hoe ze SOC 2 onder richtlijn 3000 in de Nederlandse situatie kunnen toepassen en om aandacht te vragen voor de plaats van SOC 2-assurance binnen de context van toezicht op IT-serviceorganisaties.

Hierna schetst dit artikel de grote lijnen van SOC 2 en daarna de uitgangspunten voor de implementatie in Nederland. Vervolgens komt de NOREA-werkgroep aan de orde die guidance voor toepassing van SOC 2 in Nederland ontwikkelt. Dan volgen enkele samenvattende overwegingen over de rol van auditors in het kader van assurance over IT-services. De slotparagraaf benadrukt dat assurance slechts het sluitstuk is van een heel bouwwerk dat tot vertrouwen leidt.

SOC 2

De afkorting SOC staat voor Service Organization Control (report). SOC 2 is een van de leden van een familie van drie rapportagetypen, die bestaat uit:

  • SOC 1 – assurancerapport over interne beheersing bij IT-serviceorganisaties in relatie tot de financiële verslaggeving, bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders;
  • SOC 2 – assurancerapport over interne beheersing bij IT-serviceorganisaties, bedoeld voor de klanten van de serviceorganisatie en hun toezichthouders;
  • SOC 3 – verkort assurancerapport over interne beheersing bij IT-serviceorganisaties bedoeld voor het algemeen verkeer.
  • Deze paragraaf behandelt in vogelvlucht SOC 2.

Ontstaan

Het bezwaar van assurance via de 3402-standaard is dat deze strikt genomen alleen geschikt is om assurance te geven als er een relatie is met de financiële verslaggeving (Zie tekstkader ‘ISAE 3402/NOREA-richtlijn 3402’). Daarom heeft het American Institute of Certified Public Accountants (AICPA) specifiek voor IT-serviceorganisaties guidance ontwikkeld voor assurancerapporten over security, availability, processing integrity, confidentiality en privacy. AICPA heeft dit rapporttype de merknaam SOC 2 meegegeven. De guideline (SOC 2 is een guideline, geen standaard) volgt de structuur van ISAE 3402 en is verder gebaseerd op de algemene Amerikaanse assurance-standaard AT 101 (vergelijkbaar met NOREA-richtlijn 3000) en het Amerikaans/Canadese raamwerk Trust Services Principles & Criteria.2 Net als ISAE 3402 onderscheidt de SOC 2-guidance twee varianten: type I (opzet en bestaan) en Type II (effectieve werking).

AICPA heeft SOC 2 ontwikkeld in aansluiting op SOC 1. SOC 1 is de merknaam voor de Amerikaanse implementatie van ISAE 3402, de opvolger van de Amerikaanse (maar ook internationaal gebruikte) standaard SAS 70. In Nederland heeft ­NOREA ISAE 3402 overgenomen in de vorm van richtlijn 3402 (zie tekstkader ‘ISAE 3402/NOREA-richtlijn 3402’).

Essentie SOC 2

Zoals gezegd is de indeling van een SOC 2-rapport gelijk aan die van een richtlijn 3402-rapport; het bevat de volgende elementen:

  • auditorsrapport;
  • managementbewering;
  • systeembeschrijving en beschrijving algemene beheersingsmaatregelen;
  • beheersingsdoelstellingen (bij SOC 2 criteria genoemd) en beheersingsmaatregelen die er op gericht zijn om de in de Trust Services Principles & Criteria gedefinieerde criteria te realiseren; bij een type II aangevuld met een beschrijving van de door de auditor uitgevoerde tests en de testbevindingen.

In tegenstelling tot 3402 is bij SOC 2 voor een type II-rapport geen minimumperiode voorgeschreven en is het aan de auditor om vast te stellen of de door de IT-serviceorganisatie gedefinieerde periode acceptabel is, geven het doel van de rapportage (zie raamwerk voor assurance-opdrachten door IT-auditors, artikel 8b, laatste punt: opdracht moet een rationeel doel dienen). Net als een 3402-rapport is een SOC 2-rapport uitsluitend bestemd voor de klanten van de serviceorganisatie en hun toezichthouders.

Verschil met ISAE 3402

Een essentieel verschil met een richtlijn 3402-rapport is dat voor een SOC 2-rapport de op te nemen beheersingsdoelstellingen vastliggen in het hiervoor reeds genoemde raamwerk Trust Services Principles & Criteria. Dit is wat SOC 2 specifiek geschikt maakt voor assurance in de sector van de IT-serviceorganisaties. Het raamwerk onderscheidt de volgende vijf common principles: security, availability, proces integrity, confidentiality en privacy. De basis is het common principle ‘security’ en het is aan de serviceorganisatie om te bepalen of en hoe uitgebreid de overige principles in de audit worden betrokken. Recentelijk is dit raamwerk herzien, met uitzondering van het privacy principle – die update is binnenkort (nog in 2015) te verwachten.

Privacy

Het privacy principle is anders opgebouwd en staat hierdoor los van de overige principles in de Trust Services Principles & Criteria. De criteria (beheersingsdoelstellingen) voor dit principle sluiten niet aan op de Nederlandse/Europese privacyregelgeving. In afwachting van de uitwerking van dit principle voor de Nederlandse situatie blijft het aspect privacy tijdelijk buiten de 3000/SOC 2-rapportage. Dit raakt alleen de maatregelen gericht op de compliance met de regelgeving. Denk bijvoorbeeld aan de vormgeving van het inzage- en correctierecht. Voor de IT-technische maatregelen geldt dat ze ook al worden afgedekt door criteria voor de security- en vertrouwelijkheids-principles.

ISAE 3402/NOREA-richtlijn 3402

ISAE 3402 en NOREA-richtlijn 3402 betreffen assurancerapporten over interne beheersingsmaatregelen bij een serviceorganisatie, voor zover die van belang kunnen zijn voor de betrouwbaarheid van de financiële verslaggeving van diens klanten. ISAE 3402 geeft invulling aan de standaard ISA 402, die de financial auditor kaders geeft indien een belangrijk deel van de administratieve processen wordt uitgevoerd door derden (serviceorganisaties). Een 3402-assurancerapport bevat uitspraken over de kwaliteitsaspecten juistheid, volledigheid en tijdigheid van de onderzochte processen. Het nadeel van een 3402-rapport is dat het alleen bruikbaar is om assurance te geven over de betrouwbaarheid van processen die een relatie hebben met de financiële verantwoording. Auditors moeten daarom op een andere manier tegemoet komen aan de vraag naar assurance over de overige processen en/of kwaliteitsaspecten die essentieel zijn bij IT-dienstverlening. Zie hiervoor de paragraaf ‘Implementatie in Nederland’.

Gebruikmaken van een SOC 2-rapport

De beroepsregels van de RE (en ook die van de RA) bepalen dat de auditor een opdracht alleen mag uitvoeren als zijn of haar deskundigheid toereikend is. Als een auditor bij de uitvoering van een auditopdracht gebruik wil maken van een SOC 2-rapport, heeft deze dus voldoende kennis en ervaring nodig om te kunnen vaststellen of hij of zij kan vertrouwen op een SOC 2-rapport. Dit vereist specifieke training en ervaring op het terrein van information security management en de technische implementatie van beveiligingsmaatregelen – zaken die niet tot de standaardbagage van de auditor behoren. Zonder deze achtergrond kan een auditor de review op het SOC 2-onderzoek niet met voldoende diepgang uitvoeren. Een van de meest relevante vragen is of de auditor die het SOC 2-onderzoek heeft uitgevoerd wel voldoende gekwalificeerd is. De beroepskwalificatie en de reputatie van het kantoor van deze auditor zijn aandachtspunten bij het vinden van een antwoord op deze vraag. Ook de gevolgde aanpak kan aanwijzingen geven. De auditor die de assurance verstrekt zal bijvoorbeeld controls moeten toetsen die de serviceorganisatie heeft geïmplementeerd op basis van relevantie in de specifieke situatie. Als de assuranceverstrekkende auditor in plaats van deze op maat gemaakte controls de algemene voorbeelden heeft getoetst – deze zijn slechts ter illustratie in de Trust Services Principles & Criteria opgenomen – is dat een aanwijzing dat diens deskundigheid ontoereikend was.

SOC 3

Naast SOC 1 (alleen van toepassing als er een relatie is met de financiële verantwoording) en SOC 2 is er nog een derde lid van de SOC-familie: SOC 3. Dit servicemerk is tegelijk met SOC 2 gelanceerd. Een SOC 3 is een verkort assurancerapport gerelateerd aan een of meer van de genoemde Trust Services Principles & Criteria. Waar een SOC 2-rapport als verspreidingskring de klanten van de dienstverlener en hun toezichthouders heeft, is het SOC 3-rapport bedoeld voor brede verspreiding. Voor wie bekend is met Systrust: op de keper beschouwd is SOC 3 een re-branding van deze oude trust-service, toegespitst op IT-serviceorganisaties. Voorwaarde voor het kunnen uitbrengen van een SOC 3-rapport is dat processen die de dienstverlener op zijn beurt heeft uitbesteed niet buiten beschouwing worden gelaten (carve out). Ook moet de auditor een oordeel geven zonder beperking (qualification). In principe zijn de door de auditor uit te voeren werkzaamheden bij SOC 3 gelijk aan die van SOC 2, alleen is de rapportage bedoeld voor het algemeen verkeer en daarom beperkter. De guidance voor het uitbrengen van SOC 3–rapporten is (nog) beperkt. Gezien de bescheiden toepassing en de onvolwassenheid van SOC 3 gaat dit artikel niet dieper in op SOC 3-rapporten.

Implementatie in Nederland

Voor assurance bij IT-serviceorganisaties was tot voor kort alleen ISAE 3402 als meest concrete standaard beschikbaar. Deze standaard betreft weliswaar serviceorganisaties, maar is alleen van toepassing als er een relatie is met de financiële verantwoording van de uitbestedende organisatie. Auditors lossen dat in de praktijk op allerlei manieren op. Zo werden in het verleden rapporten uitgebracht onder de vage noemer Third Party Mededeling (TPM). Tegenwoordig brengen auditors deze assurancerapporten uit op basis van de algemene assurance-richtlijn 3000. Het nadeel hiervan is echter dat deze richtlijn weinig specifiek is en geen uitspraken bevat over de inhoud van de rapportage. De inhoud van een dergelijk rapport is daardoor onvoorspelbaar. Het gevolg is dat de gebruiker keer op keer specifiek moet aangeven waarover hij precies assurance nodig heeft. In de praktijk werkt dit niet door onvoldoende kennis bij de (inkoop)functionarissen die om een assurancerapport verzoeken. Op nationaal niveau is in Nederland en in de ons omringende landen geprobeerd hiervoor een oplossing te vinden door diverse normstelsels en rapportageformaten te ontwikkelen. Een zeer recent voorbeeld is het PvIB/NOREA studierapport Algemene beheersing van IT-diensten. [PVIB14] Het gebruik van deze oplossingen is echter altijd kleinschalig gebleven doordat ze geen van alle een breed internationaal draagvlak hebben verworven.

Het assuranceproduct SOC 2 vult deze lacune op. Een SOC 2-rapport is sterk gestandaardiseerd. In het kader van de opdrachtverstrekking is het voldoende om afspraken te maken over scope, moment (bij type I) of periode (bij type II) en de af te dekken principles. Het rapportformaat en de te onderzoeken beheersingsdoelstellingen (criteria) liggen vast in de handreikingen en de Trust Services Principles & Criteria waar de handreiking naar verwijst.

We moeten echter goed beseffen dat SOC 2 een specifiek Amerikaans product is. Het is door het Amerikaanse instituut van accountants AICPA op de markt gezet en als servicemerk in de Verenigde Staten gedeponeerd. Bovendien berust het copyright van de onderliggende Trust Services Principles & Criteria bij de Amerikaanse (AICPA) en de Canadese (CICA) beroepsorganisatie van accountants. De begeleidende (Amerikaanse) guideline is gebaseerd op de US attestation standaard AT 101, op de Amerikaanse beroepsregels en op Amerikaans recht. Een Nederlandse auditor kan dus niet zonder meer een SOC 2-review doen of een SOC 2-auditrapport opstellen. Voor Nederlandse auditors heeft SOC 2 bovendien als nadeel dat Nederlandse gebruikers van assurancerapporten vaak niet bekend zijn met de uitgangspunten en juridische consequenties van een SOC 2-rapport. Dit is op te lossen door SOC 2-audits in de Nederlandse context (ook al wordt ons werk internationaal gebruikt) uit te voeren onder Nederlandse beroepsregels. NOREA-richtlijn 3000 is hiervoor geschikt. Deze richtlijn is verglijkbaar met de Amerikaanse assurancestandaard AT 101 die de basis vormt voor de SOC 2-guideline.

Aanpak NOREA-werkgroep

Omdat SOC 2 een gedeponeerd merk van AICPA is, is afstemming met die beroepsorganisatie nodig om de SOC 2-guideline (in combinatie met richtlijn 3000) in Nederland te kunnen toepassen. SOC 2 ligt meer op het werkterrein van de RE dan dat van de RA. Daarom is het NOREA die in overleg met NBA het voortouw heeft genomen om tot een Nederlandse handreiking te komen en met AICPA het gebruik van het service-merk SOC 2 af te stemmen op een voor onze Amerikaanse collega-auditors herkenbare wijze. De communicatie met AICPA verloopt in samenwerking met NBA omdat NOREA in Amerika niet bekend is, terwijl dat met NBA als zusterorganisatie van het Amerikaanse AICPA wel het geval is.

NOREA heeft een werkgroep ingesteld om guidance voor de toepassing van SOC 2 in Nederland te ontwikkelen onder de naam Richtlijn 3000/SOC 2. Deze werkgroep kiest ervoor om in de handreiking alleen zaken op te nemen die specifiek zijn voor de Nederlandsche implementatie. Voor het overige verwijst de handreiking naar de SOC 2-guideline, waarvan AICPA nog in 2015 een update publiceert (naar verwachting gedetailleerder dan de huidige versie). Een eerste concept van de handreiking richtlijn 3000/SOC 2 wordt op moment van schrijven (juli 2015) afgestemd met de diverse vaktechnische gremia van NOREA en NBA.3

De criteria die betrekking hebben op het principle ‘privacy’ blijven in de Nederlandse uitwerking voorlopig buiten beschouwing. Door grote verschillen tussen de Amerikaanse en Nederlandse wetgeving is het nodig om het Amerikaanse stelsel van criteria naar de Nederlandse situatie om te zetten. De Europese en daarmee de Nederlandse privacywetgeving is echter volop in beweging, waardoor het nu te vroeg is voor zo’n invulling. Een andere reden voor uitwerking op een later moment is dat AICPA ons heeft laten weten dat de criteria van het privacy principle binnenkort worden aangepast.

Op het moment dat de nieuwe Nederlandse privacywetgeving stabiel is en de bijgestelde criteria van het AICPA privacy principle bekend zijn kan de NOREA-werkgroep de privacy criteria zonder al te grote inspanning inpassen in de Nederlandse SOC 2-guidance. De werkgroep zal dit in samenwerking met de NOREA-kennisgroep Privacy doen. Een kanttekening in dit verband is dat de SOC 2-rapportages door hun procesgerichtheid inzicht geven in de beheersingsmaatregelen (controls) die bedoeld zijn om de regels binnen de organisatie te handhaven en niet in de feitelijke compliance met de privacyregels. Mocht er een uitspraak over de naleving van wetgeving nodig zijn dan zal hier een separaat rapportformaat voor moeten worden ontwikkeld, vergelijkbaar met de in 2006 uitgebrachte maar nu verouderde, NIVRA/NOREA-richtlijn 3600: ‘Assurance-opdrachten met betrekking tot de bescherming van persoonsgegeven (Privacy-audits)’. [NIVR06]

SOC 2 niet blind omarmen

Enige reserve is op zijn plaats – laten we SOC 2 niet blind omarmen. De internationale beroepsorganisaties van accountants en IT-auditors, en in hun voetsporen de nationale beroepsorganisaties, ontwikkelen op basis van signalen uit de markt standaarden en guidance op het gebied van assurance. Deze vormen de uitgangspunten voor de werkzaamheden van auditors die onder de beroepsregels van hun beroepsorganisatie vallen. Ze stellen normen aan de assurancerapporten en maken het de beroepsorganisatie mogelijk toezicht te houden op de professionele kwaliteit van de beroepsuitoefening. Het zijn echter slechts kaders. De daadwerkelijke invulling vindt plaats in het krachtenveld dat bestaat uit de verantwoordelijke voor het object van onderzoek, de gebruiker van het rapport en de assuranceverlener. Dit is een driehoek van vraag en aanbod met, in het kader van SOC 2, als spelers de IT-serviceorganisatie, de uitbestedende organisatie met haar toezichthouders, en de IT-auditor. Deze driehoek komt in de volgende paragraaf aan de orde.

IT-serviceorganisaties

Een IT-serviceorganisatie heeft vaak een aantal redenen om assurance over haar dienstverlening te laten verstrekken. Om te beginnen kan het zijn dat het management van de serviceorganisatie vanuit zijn eigen verantwoordelijkheid zeker wil weten dat de dienstverleningsprocessen op orde zijn. De praktijk wijst echter uit dat de voornaamste reden is dat hun klanten om een assurancerapport vragen. Ook zijn er dienstverleners die behoefte hebben aan assurancerapportages omdat ze concurrentievoordeel nastreven door zich te profileren op aantoonbare kwaliteit. Bovendien komt vaak een extra stimulans van de kant van stakeholders, waaronder toezichthouders zoals raden van commissarissen, accountants en DNB. Deze partijen stellen steeds vaker de eis dat uitbestedende organisaties hun IT-serviceorganisaties vragen de kwaliteit van hun dienstverlening aan te tonen.

Het is te verwachten dat hetzelfde verschijnsel zal gaan plaatsvinden als we bij de ISO 27001-certificaten hebben zien gebeuren. Dat is dat nadat de early adopters gestart zijn assurance-opdrachten te verstrekken, de concurrentie niet kan achterblijven omdat ook hun klanten erom beginnen te vragen. Als dit inderdaad gebeurt, zal ook een SOC 2-assurancerapport binnenkort niet meer onderscheidend zijn. Het is dan de norm geworden en wie geen assurancerapport kan tonen onderscheidt zich negatief. SOC 2-assurance zal vanaf dat moment een commodity zijn.

Een assurance-onderzoek brengt substantiële kosten met zich mee voor de IT-serviceorganisatie. Naast de uitgaven voor auditors zijn er ook de kosten van de eigen inspanning van de serviceorganisatie om te bereiken dat de geleverde services aantoonbaar robuust zijn. Natuurlijk vormt de assurance-audit hier niet de directe oorzaak van. Per slot van rekening moet de serviceorganisatie ook los van een audit veel investeren in een professionele werkwijze en is de tot assurance leidende audit eigenlijk niet meer dan de kroon op al die inspanningen. Althans in theorie, want de praktijk is dat de investeringen in professionalisering doorgaans achterlopen op de ontwikkeling van de operationele processen. Ze krijgen geen hoge prioriteit omdat ze niet direct bijdragen aan het bedrijfsresultaat. Het besluit om een assurance-onderzoek te laten doen is daarom niet zelden de aanleiding tot een hoognodig ingrijpend professionaliseringstraject.

Als de processen eenmaal op orde zijn, zou een IT-serviceverlener het in principe zonder een assurancerapport volgens een standaardformaat kunnen stellen. Hij heeft dan immers zelf de kwaliteit van de geleverde diensten prima in beeld en kan naar een manier zoeken om dat beeld met de klant te delen zonder een duur assurance-onderzoek te laten uitvoeren. Bijvoorbeeld door voor klanten portals in te richten die zijn afgestemd op de specifieke dienstverlening aan de klant. Elk portal bevat een dashboard met performance indicators op de gebieden security, availability integrity en confidentiality. Een nadeel hiervan voor de IT-serviceverlener is dat hij met elke klant afzonderlijk afspraken moet maken over de performance indicators. Ook moet hij zijn periodieke rapportages over die indicators voor elke klant specifiek inrichten. De volgende stap is standaardisatie van deze portals op basis van de ervaring van de eerste implementaties van de performance dashboards.

De dashboards geven de gebruikers inzicht in de werking – de toereikendheid van de opzet en implementatie kan de gebruiker moeilijker beoordelen. Heeft de IT-serviceorganisatie inderdaad een dashboard ingericht, dan volstaat voor de klant een type-I (opzet en implementatie) 3000/SOC 2-rapportage. Een type-II rapportage (effectieve werking) is in deze situatie overbodig omdat de klant zelf het vereiste inzicht in de werking van beheersingsmaatregelen van de IT-serviceorganisatie kan verkrijgen via de informatie op het dashboard. Dit scheelt aanmerkelijk in de auditkosten voor de serviceorganisatie. Bovendien, nog belangrijker, heeft de uitbestedende organisatie meteen het inzicht dat nodig is om zelf compenserende maatregelen te kunnen treffen als de beheersing van de serviceorganisatie (tijdelijk) niet op orde is. Een groot voordeel, omdat dergelijk inzicht bij het steunen op een assurancerapport over de werking pas ter beschikking komt op een moment dat het treffen van compenserende maatregelen eigenlijk niet meer mogelijk is.

Uitbestedende organisatie en IT-auditor

Zoals we hiervoor hebben gezien heeft een standaardassurancerapport voordelen voor de dienstverlener. Maar is het ook wat de klant eigenlijk nodig heeft? Deze vraag wordt zelden gesteld. Dat komt door de vaak delicate commerciële verhoudingen tussen de partijen in de keten die bestaat uit de dienstverlener met zijn klanten en de stakeholders van die klanten. Ook is binnen de keten essentiële kennis op het terrein van assurance en assuranceproducten in de regel afwezig. Het gevolg is dat niemand in de keten zich eraan waagt ter discussie te stellen of het voor de klant van de dienstverlener eigenlijk wel zinvol is om een assurancerapport te verlangen. Toch het is nog maar de vraag of de klant echt gebaat is bij een assurancerapport. Maar om die vraag te kunnen stellen (los van de eerder genoemde delicate verhoudingen en afwezige kennis) moet de klant het assurancerapport wel in het bredere kader van governance op uitbestede diensten kunnen plaatsen. Wij IT-auditors kunnen de klant van de serviceorganisatie daarbij helpen en hem laten zien dat hij meer zal moeten doen dan simpelweg om een assurancerapport vragen. De klant blijft immers zelf verantwoordelijk voor processen die hij heeft uitbesteed en zal dus toezicht moeten houden op de dienstverlening. Dit houdt in dat hij ervoor zorgt dat hij over de geleverde diensten periodiek de informatie ontvangt die hij nodig heeft. Ook zal hij de performance-informatie moeten analyseren en beoordelen om na te gaan of hij datgene geleverd krijgt wat hij voor de business nodig heeft. Assurance die zekerheid over deze performance-informatie verschaft kan daarbij een belangrijke rol spelen, maar dat hoeft niet per se te gebeuren via een standaardrapport zoals SOC 2. Een IT-auditor kan ook maatwerk leveren en zekerheid geven over de specifieke zaken die van belang zijn voor de uitbestedende organisatie.4 Zie hiervoor de volgende paragraaf.

ROL IT-auditors – samenvattende overwegingen

Tot voor kort moesten IT-auditors improviseren als zij assurance-opdrachten bij IT-serviceorganisaties wilden uitvoeren. Daarbij zochten ze eerst hun toevlucht bij SAS 70-rapportages en later bij ISAE 3402-rapporten. Deze situatie verandert met de lancering van het rapportagetype SOC 2, dat onder Nederlandse beroepsregels uitgebracht kan worden onder richtlijn 3000. NOREA ontwikkelt een handreiking om het uitbrengen van deze rapporten te faciliteren. Dit is een duidelijke stap vooruit, want richtlijn 3000/SOC 2-assurance past prima bij het type bedrijf dat IT-serviceorganisaties zijn, terwijl een 3402-rapport daar juist wringt. Bovendien ontstaat er orde in het huidige palet van niet of nauwelijks gestandaardiseerde assurancerapportages, vaak aangeduid met de weinigzeggende term TPM.

Het initiatief voor richtlijn 3000/SOC 2 is afkomstig uit de auditorswereld. Het werd ingegeven door de gesignaleerde mogelijke vraag vanuit serviceorganisaties naar gestandaardiseerde assurancerapporten over hun interne beheersingsmaatregelen. Vanuit het perspectief van de klant moeten we er echter voor oppassen de richtlijn 3000/SOC 2-rapporten als een automatisme te gaan zien in de relatie met de IT-serviceverlener.

Er wordt op dit moment nog weinig gesproken over alternatieven die voor de klanten wellicht veel nuttiger zijn dan een richtlijn 3000/SOC 2-rapport. Een van die alternatieven zou kunnen zijn dat wij ons als IT-auditors minder focussen op rapportages volgens een standaardformaat en meer uitgaan van good governance. Zou het niet veel vruchtbaarder zijn om langs deze weg aansluiting te zoeken bij de eigen verantwoordelijkheid die de uitbestedende organisatie draagt voor het toezicht op de dienstverlener in het kader van good governance? Dit geldt vooral voor kleinere uitbestedende organisaties, want de grotere zijn in het algemeen op eigen kracht al tot dat toezicht in staat. Bovendien is bij kleinere organisaties een assurancerapport niet altijd nodig omdat de bestuurlijke afstand gering is. Dit idee, dat erop neerkomt dat de IT-auditor bij kleinere afnemers van IT-diensten juist niet naar een richtlijn 3000/SOC 2-rapport toe werkt maar de zelfwerkzaamheid van de gebruikersorganisatie stimuleert, had u wellicht niet verwacht in een artikel over richtlijn 3000/SOC 2. Toch is dit beslist het overwegen waard. Het is misschien minder prestigieus dan richtlijn 3000/SOC 2, maar voor bedrijven in de middenmarkt kan het een alternatief zijn met meer toegevoegde waarde en daardoor een grotere klanttevredenheid. Het gaat hierbij om een markt die naar zijn omvang minstens zo interessant is als de grootschalige omgevingen, waar de toegevoegde waarde van assurancerapporten geen punt van discussie is. Voor die grotere organisaties zal een richtlijn 3000/SOC 2-rapport een commodity worden, dus een product dat een auditor die in de sector van IT-serviceorganisaties en hun klanten actief is, standaard efficiënt moet kunnen leveren.

Tot slot

De handreiking voor SOC 2 in combinatie met richtlijn 3000 vormt een belangrijke stap in de harmonisatie van assurancerapporten voor IT-serviceorganisaties in Nederland. Wij IT-auditors, moeten ons echter goed realiseren dat een assurance-rapportage het sluitstuk is van een heel bouwwerk van activiteiten leidend tot vertrouwen. De kracht van onze professie ligt erin dat wij ons niet alleen richten op het afgeven van assurancerapporten, maar dat wij ook oog hebben voor het gehele bouwwerk dat op alle niveaus van de uitbestedende organisatie tot aantoonbare beheersing van zowel de eigen bedrijfsprocessen als de uitbestede diensten leidt. Samen te vatten als good governance.

Noten

1 NBA: NV COS standaard 3402 / internationaal: ISAE 3402 / Verenigde Staten: SSAE 16, AT801, SOC 1.

2 Versie december 2014. Dat document is opgesteld door de AICPA en de Canadese beroepsorganisatie van accountants (CICA). Oudgedienden onder ons zijn wellicht bekend met dit raamwerk via de trust services Webtrust en Systrust.

3 Auditors die niet kunnen wachten en nu al behoefte hebben aan guidance bij de toepassing van richtlijn 3000/SOC 2 in Nederland, kunnen voor ondersteuning contact opnemen met NOREA (email: norea@norea.nl).

4 Hoe een afgeleide gebruiker (accountant / toezichthouder) zich hierbij voelt en ermee om moet gaan is een interessant vraagstuk. Het valt echter te ver buiten de kaders van dit artikel over de introductie van SOC 2 in Nederland om hier nu verder op in te gaan.

 

Literatuur

[AICP12] AICPA, Guide, Reporting on Controls at a Service Organization, 1 maart 2012.
 
[AICP14] AICPA, Trust Services Principles, Criteria, and Illustrations, 2014.
 
[BOER15] Boer, J.C. en J.J. van Beek, Nieuwe ontwikkelingen IT-gerelateerde Service Organisation Control-rapportages, SOC 2 en SOC 3, Compact 2013, nr. 2. http://www.compact.nl/artikelen/C-2013-2-Boer.htm?zoom_highlight=soc+2 (geraadpleegd op 28 juli 2015).
 
ISACA, SOC 2 User Guide, 2012 (download voor leden ISACA: http://www.isaca.org/Knowledge-Center/Research/Documents/SOC-2-User-Guide_res_Eng_1012.pdf (geraadpleegd op 28 juli 2015).
 
[KPMG14] Assurancerapporten voor IT-serviceorganisaties; SOC 2, Praktijkgids 5, KPMG, september 2014. https://isaca.nl/dmdocuments/Praktijkgids-5%20SOC%202.pdf (geraadpleegd op 28 juli 2015).
 
[NIVR06] NIVRA & NOREA, Assurance-opdrachten met betrekking tot de bescherming van persoongegevens (Privacy-audits), richtlijn 3600, juli 2006, https://www.privacy-audit-proof.nl/readfile.aspx?ContentID=41152&ObjectID=383732&Type=1&File=0000022881_Richtlijn_3600_privacyaudit.pdf (geraadpleegd op 28 juli 2015).
 
[PVIB14] PvIB & NOREA, Algemene beheersing van IT-diensten, Studierapport 2014, http://www.norea.nl/Norea/Actueel/Nieuws/Algemene+Beheersing+van+IT-diensten.aspx

J.C. (Han) Boer RE RA CISM

Han Boer adviseert en coacht op het terrein van assurance en assurancerapportages. Ook is hij docent aan de Postgraduate Opleiding IT-Audit, Compliance & Advisory van de Vrije Universiteit Amsterdam, en aan het IT-Audit Programme van de Business School Amsterdam, Universiteit van Amsterdam. Daarnaast is Han Boer voorzitter van NOREA-werkgroep SOC 2 en van de NOREA-commissie Communicatie.