De beroepsorganisatie van IT-auditors, NOREA, heeft een Handreiking opgesteld om te voorzien in de groeiende vraag naar assurance-rapporten die bedoeld zijn om het vertrouwen van klanten en toezichthouders in IT serviceorganisaties te versterken.
De handreiking is een gestandaardiseerd assurance-rapport, speciaal ontwikkeld voor IT serviceorganisaties met betrekking tot beveiliging, beschikbaarheid, integriteit en/of vertrouwelijkheid van de gegevensverwerking. De rapport lay-out is gebaseerd op het standaard 3402 rapport. De gehanteerde toetsingsnormen zijn de Trust Services Principles and Criteria (TSP) zoals deze zijn gepubliceerd door de AICPA, de Amerikaanse beroepsorganisatie van accountants. Het gebruik van deze internationaal geaccepteerde normenset betekent een standaardisatie (en daarmee voorspelbaarheid) van de reikwijdte van dit assurance-rapport. Door het gebruik van deze handreiking is er vanaf nu een assurance-rapportage model beschikbaar, speciaal gericht op IT-serviceorganisaties.
Het in de handreiking gedefinieerde Service Organisatie Controle Rapport neemt het probleem weg dat algemene standaard voor assurance rapporten (3000) inhoudelijk gezien weinig specifiek is en daarmee (te) veel vrijheid biedt. Om het assurance-rapport concreet te maken werd, veelal ten onrechte, terug gegrepen op het standaard 3402-rapport, dat eigenlijk bedoeld is voor processen die raakvlakken hebben met de financiële verslaglegging, en dan nog is de reikwijdte per definitie beperkt tot de betrouwbaarheid (juistheid, volledigheid en tijdigheid). Mocht het rapport andere kwaliteitsaspecten raken, denk aan beveiliging (integriteit), beschikbaarheid, vertrouwelijkheid (exclusiviteit), dan worden de grenzen van standaard 3402 overschreden en is er sprake van een vaktechnische misslag van de betreffende assurance-verlener.
Het Service Organisatie Control Rapport is specifiek gericht op het management van de gebruikende organisatie (d.w.z. de afnemers / klanten van de IT serviceorganisatie). Het helpt het management om de uitbestede diensten te monitoren en om aan hun accountants en toezichthouders aan te tonen dat de uitbestede IT processing in control is. In situaties dat de lezer de strekking van het rapport kan begrijpen kan het rapport ook worden gebruikt om toekomstige gebruikers te informeren.
Het rapport past in de context van de internationaal erkende assurance-standaarden voor accountants en auditors. De handreiking voor Service Organisatie Control rapportages is afgeleid van SOC 2® en gebaseerd op de internationaal gangbare Trust Services Principles en Criteria. Het is een volwaardig SOC 2® – equivalent opgesteld onder de voor Nederlandse auditors geldende beroepsregels.
Geef een reactie