De publicatie van de handreiking speelt in op een groeiend aantal verzoeken vanuit IT serviceorganisaties voor de inzet van auditors bij het uitbrengen SOC 2® en SOC 3® rapporten in Nederland. SOC 2® is geen standaard, maar een specifieke invulling van de Amerikaanse assurance standaard AT-C 205. Deze handreiking geeft handvatten voor het uitbrengen van gelijksoortige rapporten gebaseerd op ISAE 3000. De auditor werkt hierbij niet onder Amerikaanse wet- en regelgeving. Professioneel gezien is er sprake van het opstellen van een ISAE 3000 rapport. Auditors verwijzen daarbij naar het lokale Nederlandse equivalent van ISAE 3000: ‘Richtlijn Assurance-opdrachten door IT-auditors (3000A)’. SOC 3® betreft een invulling van dezelfde standaard die leidt tot een beknoptere vorm van het rapport en die een bredere verspreidingskring heeft. De structuur van het SOC 2® Rapport volgt de structuur van ISAE 3402 (in de Verenigde Staten: SSAE 18 / AT-C section 320, met de service naam ‘SOC 1®’). De beheersingsdoelstellingen (de ‘Trust Services Criteria’) zijn vastgelegd in TSP sectie 100.
- Handreiking System and Organization Controls 2 en 3-rapporten (Nederlands)
- Handreiking System and Organization Controls 2 en 3 rapporten (Engels)