Nieuwe IT-auditors rapportage inzake IT-serviceorganisaties

NOREA, de beroepsorganisatie van IT-auditors, presenteert een handreiking voor een rapportagemodel om te voorzien in de groeiende vraag naar assurance-rapporten die bedoeld zijn om het vertrouwen van klanten en toezichthouders in IT-serviceorganisaties te versterken. In deze handreiking worden de belangrijkste beginselen van informatiebeveiliging gecombineerd met de internationaal erkende assurance-standaarden voor auditors en accountants, waaronder het Amerikaanse SOC 2® assurance-rapport.

Een Service Organisatie Control (SOC) Rapport is een gestandaardiseerd assurance-rapport, speciaal ontwikkeld voor IT-serviceorganisaties met betrekking tot beveiliging, beschikbaarheid, integriteit en/of vertrouwelijkheid van de gegevensverwerking. De gehanteerde toetsingsnormen zijn de Trust Services Principles and Criteria (TSP) zoals deze zijn gepubliceerd door de AICPA, de Amerikaanse beroepsorganisatie van accountants. Het gebruik van deze internationaal toegankelijke normenset betekent een standaardisatie van de reikwijdte van assurance-rapporten en bevordert de onderlinge vergelijkbaarheid daarvan. Daardoor zijn het management van de organisatie die gebruik maakt van de serviceprovider, alsmede toekomstige gebruikers en toezichthouders, beter in staat om de beheersing van uitbestede IT-processing te monitoren.

In de visie van NOREA is een rapport gebaseerd op deze handreiking voor IT Service Organisatie Control rapportages een aanzienlijke verbetering voor assurance-rapporten met betrekking tot IT serviceorganisaties ten opzichte van de verscheidene thans gangbare varianten zoals 3402-rapporten (gekenmerkt door specifieke doelstellingen, reikwijdte en gebruik) en vrij vormgegeven 3000 rapporten (waaronder de zogenaamde TPM – Third Party Mededelingen) die tot dusver dikwijls voor dit doel werden gebruikt.

Er is nu een uitgewerkte standaard invulling voor de assurance-rapporten gericht op de informatiebeveiliging bij IT serviceorganisaties.

De Beheersingsdoelstellingen zijn in de Trust Services principles and criteria gegroepeerd in de volgende categorieën:

  • Organisatie en management
  • Communicatie
  • Risicomanagement
  • Monitoring
  • Logische en fysieke toegangsbeveiliging
  • Systeem operatie
  • Changemanagement

De handreiking voor Service Organisatie Control rapportages is afgeleid van de door het Amerikaans instituut van accountants opgestelde SOC 2® guide en is gebaseerd op de internationaal gangbare Trust Services Principles en Criteria. Het is een volwaardig SOC 2®-equivalent opgesteld onder de voor Nederlandse auditors geldende beroepsregels.

Gerelateerde artikelen