een SOC 1 Report (System and Organization Controls Report) is een rapport over controles bij een dienstverlenende organisatie die relevant zijn voor de interne controle van gebruikersentiteiten op de financiële verslaglegging. Het SOC1 rapport is wat je eerder zou hebben beschouwd als de standaard SAS70 (of SSAE 16), compleet met een type I en type II rapporten, maar valt onder de SSAE 18 richtlijnen (vanaf 1 mei 2017).,
zie de volgende artikelen over de SSAE 18-richtsnoeren en aanvullende informatie met betrekking tot de SOC 1-verslagen (Type I en type II):
- SSAE 18 Type I-rapport achtergrondinformatie
- SSAE 18, ter vervanging van SSAE 16 vanaf mei 2017
- SSAE 18 voorbereidingstips
Hieronder is een geschiedenis van belangrijke wijzigingen die in de loop van de tijd in de auditstandaard zijn aangebracht om de algehele audit en het eindverslag te verbeteren.,om de in de beschrijving vermelde gerelateerde controledoelstellingen te bereiken (alleen van Type II) moet de Auditor van de dienst tijdens het proces van het begrijpen van het systeem van de dienstorganisatie informatie verkrijgen waaruit blijkt dat het risico bestaat dat de beschrijving van het systeem van de dienstorganisatie niet eerlijk wordt gepresenteerd of dat de in de beschrijving vermelde controledoelstellingen niet worden bereikt als gevolg van opzettelijke handelingen van personeel van de dienstorganisatie.,
SSAE 18 voegt een extra reeks eisen toe om de SSAE 16-standaard verder te verbeteren:
- vereist de toevoeging van een aanvullende sectie voor de controle van de Subdienstorganisatie (vergelijkbaar met wat momenteel vereist is voor SOC 2).
- vereist dat een gedetailleerde risicobeoordeling wordt uitgevoerd op basis van de in het verslag vastgestelde controledoelstellingen.
onthoud: hoewel de rapportagestandaard binnenkort zal zijn, worden SSAE 18, de SSAE 16 en ISAE 3204 nog steeds beschouwd als een SOC 1-rapport!,
de laatste wijzigingen zijn bedoeld om de eindgebruiker een duidelijker beeld te geven van de subdienstorganisaties van zijn leverancier en ook van de verantwoordelijkheden van de eindgebruiker (aanvullende controles van de Gebruikersentiteit), wat zal bijdragen tot een veel hoger niveau van zekerheid en begrip voor alle betrokkenen.,
SOC 2 en SOC 3 – aanvullende rapportageopties
naast het SOC 1-verslag, dat beperkt is tot controles die relevant zijn voor een audit van de jaarrekening van een gebruiker, zijn de SOC 2-en SOC 3-verslagen opgesteld om controles aan te pakken die relevant zijn voor activiteiten en naleving.,
- SOC 2 Report-Trust Services Principles-the Service Organization Control (SOC) 2 Report zal worden uitgevoerd in overeenstemming met AT 101 en gebaseerd op de Trust Services Principles, met de mogelijkheid om te testen en te rapporteren over het ontwerp (Type I) en de werking (type II) effectiviteit van de controles van een service organisatie (net als SOC 1 / SSAE 18)….,read more
- SOC 3 Report-WebTrust and SysTrust – het SOC 3 Report is ook gebaseerd op de Trust Service Principles en uitgevoerd volgens AT101, met het verschil dat een SOC 3 Report vrij mag worden verspreid (algemeen gebruik) en alleen rapporteert of de entiteit al dan niet aan de Trust Services criteria voldoet (geen beschrijving van tests en resultaten of mening over de beschrijving van het systeem)….Lees meer