• Attestatie en Certificatie – ISAE3402/SOC1/SOC2

    “Als dienstenleverancier worden we geconfronteerd met een toenemende vraag van onze klanten om de kwaliteit van onze processen en beveiligingsmaatregelen te demonstreren. Al dan niet via gedetailleerde vragenlijsten of het toelaten van externe auditors. Hoe kunnen we dit voorkomen?”

Attestatie en Certificatie – ISAE3402/SOC1/SOC2

Activiteiten kunnen uitbesteed worden, risico’s niet. Logisch, maar daarom niet altijd even gemakkelijk. Het is meer dan normaal dat uw klanten het bewijs vragen dat hun processen en data door u beveiligd en beheerst worden volgens de (soms verplichte) regels van de kunst. Dat kan u aantonen met een zogenaamd System & Organisation Controls (SOC) rapport. Onder de noemer van SOC rapporten vinden we in de praktijk twee varianten terug: SOC1 (beter bekend als ISAE3402) met voornaamste focus op financiële dienstverleners en SOC2 van toepassing op verleners van niet-financiële diensten.

Als dienstenleverancier heeft u met SOC attestatie een krachtige commerciële troef in handen om uw klanten te overtuigen van de kwaliteit van uw dienstverlening. En dat u alle risico’s onder controle hebt. Zwart op wit.
 

In veilige handen

U hebt het goed begrepen, een SOC attestatie biedt onmiskenbare voordelen. De attestatie geeft inzicht in de voor de klant relevante processen, hoe die processen (en risico’s) worden beheerst en hoe veilig en compliant dat gebeurt in lijn met best practices of wettelijke verplichtingen. Zo is bijvoorbeeld in 2018 de General Data Protection Regulation (GDPR) in voege getreden, waardoor vele klanten vragen hebben rond data privacy en hoe compliance met de wetgeving verzekerd wordt.

Kortom, u biedt zekerheid aan uw klanten, waardoor zij met een gerust gemoed hun processen en data aan u toevertrouwen.
 

Kostenefficientie

Stel, u levert diensten (IT, Software as a Service, sociaal secretariaat, asset management, enz.). Hoe verzekert u uw klant(en) dat ze op beide oren kunnen slapen? Afzonderlijke audits & vragenlijsten bieden soelaas maar zijn duur en zetten de efficiëntie van uw organisatie onder druk. Bovendien lopen de workload en kosten voor afzonderlijke audits per klant of service snel op – voor u én voor uw klant. Met het SOC-rapport bundelen onze onafhankelijke experten op een gestandaardiseerde manier alle audits in één. Ze geven inzicht in alle processen en de manier waarop u risico’s beheerst en rapporteert. Dit alles in een toegankelijk en leesbaar rapport dat inspeelt op zoveel mogelijk, zoniet alle, vragen van jullie klanten.
 


Right to play

SOC1 en SOC2 zijn vandaag de internationale standaard voor de attestatie van uitbestede processen en systemen.  De ISAE3402 standaard werd uitgegeven door de International Federation of Accountants en heeft bijgevolg een globaal draagvlak en internationale erkenning.

Doordat de compliance vereisten van organisaties stelselmatig toenemen, wordt er vanuit de markt meer en meer verwacht dat je als dienstenleverancier deze type attestaties kan voorleggen.

Deze toenemende vraag om “assurance” door dienstenleveranciers is momenteel het sterkst aanwezig bij organisaties actief in de financiële en de publieke sector, en bij beursgenoteerde bedrijven. In deze sectoren wordt reeds stelselmatig gevraagd in bestekken of RFP (Request for Proposal) naar deze attestaties en is dit een “right to play” geworden. Dit zal in de toekomst uitgebreid worden naar andere sectoren, bv. de zorgsector.
 

Meer informatie?

Voor meer informatie over SOC-rapporten, raadpleeg onze algemene SOC brochure alsook onze brochure omtrent Data Privacy Attestation die inspeelt op de GDPR regelgeving dewelke werd ingevoerd in mei 2018.