Norea logo

Nieuwe handreiking voor SOC2 en SOC3 rapporten

Tijdens de NOREA-ledenvergadering op 12 december 2019 is de nieuwe SOC2 en SOC3 handreiking gepresenteerd, waaraan nog een update/correctie van bijlage 7.2 is toegevoegd in verband met de door NBA vernieuwde modelrapporten t.b.v. assurance over interne beheersing.

Deze handreiking is ontwikkeld voor Nederlandse IT auditors (RE’s) om hen handvatten te geven voor het uitbrengen van System and Organization Controls 2 rapporten (hierna: SOC 2®) en System and Organization Controls 3 rapporten (hierna SOC 3®) onder ISAE 3000 of het equivalent de NOREA ‘Richtlijn 3000A Assurance-opdrachten door IT-auditors’[1]. ‘SOC 2® Reporting on an Examination of Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy’ is een door het American Institute of Certified Public Accountants (AICPA) uitgebrachte guide. Deze Nederlandse publicatie is geen nieuwe richtlijn maar is een handreiking voor Register IT auditors (hierna: auditors) en kan ook nuttige achtergrond informatie geven aan de gebruikers van SOC 2® en SOC 3® assurance-rapporten.

De publicatie van de handreiking speelt in op een groeiend aantal verzoeken vanuit IT serviceorganisaties voor de inzet van auditors bij het uitbrengen SOC 2® en SOC 3® rapporten in Nederland. SOC 2® is geen standaard, maar een specifieke invulling van de Amerikaanse assurance standaard AT-C 205. Deze handreiking geeft handvatten voor het uitbrengen van gelijksoortige rapporten gebaseerd op ISAE 3000. De auditor werkt hierbij niet onder Amerikaanse wet- en regelgeving. Professioneel gezien is er sprake van het opstellen van een ISAE 3000 rapport. Auditors verwijzen daarbij naar het lokale Nederlandse equivalent van ISAE 3000: ‘Richtlijn Assurance-opdrachten door IT-auditors (3000A)’. SOC 3® betreft een invulling van dezelfde standaard die leidt tot een beknoptere vorm van het rapport en die een bredere verspreidingskring heeft.

Handreiking voor SOC2 en SOC3 rapporten op basis van ISAE3000 / Richtlijn 3000A 

 René Ewals, voorzitter van de Commissie Beroepsregels, overhandigt het eerste exemplaar van de nieuwe handreiking aan NOREA-voorzitter Irene Vettewinkel