IT-AuditDirectory
Alle artikelen
Assurance14 min leestijd

SOC 1 verklaring: wat is het, wanneer heeft u het nodig en hoe werkt de audit?

IT-Audit Directory

Wat is een SOC 1 verklaring?

Een SOC 1 verklaring (Service Organization Control 1) is een onafhankelijk assurance rapport over de interne beheersingsmaatregelen van een serviceorganisatie die relevant zijn voor de financiële verslaggeving van haar klanten. Het rapport wordt opgesteld door een onafhankelijke auditor en biedt zekerheid aan klanten en hun accountants dat de uitbestede processen betrouwbaar worden uitgevoerd.

SOC staat voor Service Organization Controls. Het framework is ontwikkeld door de AICPA (American Institute of Certified Public Accountants) en is wereldwijd uitgegroeid tot de standaard voor assurance over uitbestede processen. In Nederland wordt een SOC 1 rapport uitgebracht op basis van de internationale standaard ISAE 3402, of de Nederlandse equivalent daarvan: Richtlijn 3402 van de NBA (Nederlandse Beroepsorganisatie van Accountants).

Concreet betekent dit: als uw organisatie processen uitvoert die invloed hebben op de jaarrekening van uw klanten, dan is een SOC 1 verklaring het instrument waarmee u aantoont dat die processen beheerst worden. Uw klanten en hun accountants kunnen op die verklaring "steunen" bij de controle van de jaarrekening, zonder dat ze zelf een audit bij u hoeven uit te voeren.

Wanneer heeft u een SOC 1 verklaring nodig?

Een SOC 1 verklaring is relevant voor elke serviceorganisatie die processen uitvoert met een directe of indirecte relatie tot de financiële verslaggeving van klanten. In de praktijk zijn dit de meest voorkomende situaties.

Salarisverwerking en HR-dienstverlening

Als u de salarisadministratie verzorgt voor andere organisaties, verwerkt u transacties die direct in de jaarrekening van uw klanten terechtkomen. Salariskosten, sociale lasten, pensioenvoorzieningen: de accountant van uw klant moet zekerheid hebben dat deze bedragen correct worden verwerkt. Een SOC 1 verklaring biedt die zekerheid.

Financiële administratie en boekhouding

Boekhoudkantoren en administratiekantoren die de financiële administratie van klanten voeren, verwerken dagelijks transacties die de basis vormen voor de jaarrekening. Een SOC 1 verklaring toont aan dat uw verwerkingsprocessen, autorisaties en controles op orde zijn.

Hosting en beheer van financiële applicaties

Als u als IT-dienstverlener de hosting of het beheer verzorgt van ERP-systemen, boekhoudpakketten of andere financiële applicaties, hebben uw klanten en hun accountants zekerheid nodig over de betrouwbaarheid van die omgeving. Denk aan toegangsbeheer, change management, back-ups en continuïteit.

Pensioen- en vermogensbeheer

Pensioenuitvoerders, vermogensbeheerders en andere financiële dienstverleners die activa of verplichtingen beheren voor derden, vallen vaak onder toezicht van DNB of AFM. Een SOC 1 verklaring is in deze sector niet alleen gebruikelijk, maar in veel gevallen een wettelijke verplichting op basis van de Wet financieel toezicht (Wft) of de Pensioenwet.

Betalingsverwerking

Payment service providers en organisaties die betalingstransacties verwerken, verwerken financiële stromen die direct impact hebben op de jaarrekening van hun klanten. Een SOC 1 verklaring is hierbij de standaard.

Wanneer uw klant erom vraagt

Steeds vaker vragen klanten en hun accountants proactief om een SOC 1 verklaring als onderdeel van hun vendor management. Als meerdere klanten afzonderlijk audits bij u willen uitvoeren, is een SOC 1 verklaring efficiënter: u voert één audit uit en deelt het rapport met al uw klanten.

SOC 1 Type I vs Type II: wat is het verschil?

Een SOC 1 verklaring kent twee typen, en het verschil is belangrijk.

SOC 1 Type ISOC 1 Type II
BeoordeeltOpzet en bestaan van maatregelenOpzet, bestaan én effectieve werking
MeetmomentEén specifieke peildatumPeriode van minimaal 6 maanden
Geschikt voorEerste SOC 1 trajectDoorlopende assurance (standaard)
IntensiteitMinder intensiefUitgebreid met steekproeven en tests
AcceptatieBeperkt (startpunt)Verwacht door accountants en toezichthouders
Kosten (indicatie)€15.000 – €30.000€25.000 – €50.000

De meeste organisaties starten met een Type I als ze voor het eerst een SOC 1 traject doorlopen. Dit geeft inzicht in de huidige stand van zaken en eventuele verbeterpunten. Het jaar daarop schakelen ze over naar Type II, wat de standaard is die klanten en accountants verwachten.

Als uw organisatie al volwassen processen heeft en eerder audits heeft doorlopen (bijvoorbeeld een TPM of ISO 27001), kunt u overwegen om direct met een Type II te starten. Bespreek dit met uw auditor.

Wat staat er in een SOC 1 rapport?

Een SOC 1 rapport is opgebouwd uit een aantal vaste onderdelen.

Managementverklaring

Uw organisatie (de serviceorganisatie) geeft een beschrijving van het systeem van interne beheersing en verklaart dat deze beschrijving een getrouw beeld geeft van de werkelijkheid. Dit is uw eigen verantwoording.

Systeembeschrijving

Een gedetailleerde beschrijving van de diensten die u levert, de processen die u uitvoert, de IT-systemen die u gebruikt en de beheersingsmaatregelen die u heeft ingericht. Dit omvat onder andere:

  • De organisatiestructuur en verantwoordelijkheden
  • De IT-infrastructuur en applicaties
  • Het toegangsbeheer en autorisaties
  • Change management en incidentbeheer
  • Back-up en continuïteitsvoorzieningen
  • De fysieke beveiliging

Control matrix

De control matrix is het hart van het rapport. Hierin zijn de beheersingsdoelstellingen en de bijbehorende beheersingsmaatregelen opgenomen. Per maatregel beschrijft u wat het doel is, hoe de maatregel is ingericht en (bij Type II) hoe de auditor de werking heeft getest.

Assurance rapport van de auditor

De onafhankelijke auditor geeft zijn oordeel over de systeembeschrijving en de beheersingsmaatregelen. Bij een Type I beoordeelt de auditor de opzet en het bestaan. Bij een Type II ook de effectieve werking, inclusief een beschrijving van de uitgevoerde tests en de bevindingen.

Complementary User Entity Controls (CUECs)

Het rapport bevat ook een overzicht van beheersingsmaatregelen die uw klanten (de gebruikersorganisaties) zelf moeten treffen om het totale beheersingsframework compleet te maken. Denk aan het beheer van eigen gebruikersaccounts of het tijdig melden van personele mutaties.

SOC 1 vs SOC 2: wat is het verschil?

Dit is een van de meest gestelde vragen in de wereld van IT-assurance. Het verschil is fundamenteel, maar wordt vaak door elkaar gehaald.

SOC 1SOC 2
FocusFinanciële verslaggevingIT-beheersing en beveiliging
StandaardISAE 3402 / SSAE 18ISAE 3000 / AT-C 205
Gevraagd doorAccountants (jaarrekeningcontrole)Klanten, prospects, partners
ToetsingskaderZelf gedefinieerde control objectivesTrust Service Criteria (security, availability, etc.)
Typische sectorenSalarisverwerking, financiële administratie, pensioenbeheerSaaS, cloud, hosting, IT-dienstverlening
Type I / IIJaJa

Wanneer kiest u welke?

  • U kiest SOC 1 wanneer uw dienstverlening directe impact heeft op de financiële verslaggeving van uw klanten, wanneer de accountant van uw klant om een verklaring vraagt, of wanneer u actief bent in sectoren als salarisverwerking, financiële administratie of pensioenbeheer.
  • U kiest SOC 2 wanneer uw klanten zekerheid willen over de beveiliging en beschikbaarheid van uw IT-diensten, wanneer u een SaaS-leverancier of cloudprovider bent, of wanneer internationale klanten om een beveiligingsverklaring vragen. Lees ook onze artikelen over SOC 2 Type 2 en de voordelen van SOC 2 rapportage.
  • U kiest beide wanneer uw dienstverlening zowel financiële processen raakt als IT-beheersingsaspecten die buiten de scope van de jaarrekening vallen.

SOC 1 vs ISAE 3402: wat is het verschil?

Dit is een punt waar veel verwarring over bestaat, en terecht. SOC 1 en ISAE 3402 zijn in de kern hetzelfde. Ze richten zich allebei op de interne beheersing van processen die relevant zijn voor de financiële verslaggeving bij uitbesteding.

Het verschil zit in de standaard waaronder het rapport wordt uitgebracht. SOC 1 is de merknaam van de AICPA en valt onder de Amerikaanse standaard SSAE 18 (AT-C 320). ISAE 3402 is de internationale standaard, uitgegeven door de International Auditing and Assurance Standards Board (IAASB). In Nederland wordt ISAE 3402 gehanteerd via de NBA-richtlijn 3402.

In de Nederlandse praktijk worden de termen SOC 1 en ISAE 3402 vaak door elkaar gebruikt. Een Nederlands auditkantoor dat een "SOC 1 rapport" afgeeft, doet dit doorgaans op basis van ISAE 3402. Het resultaat is inhoudelijk vergelijkbaar.

Heeft u klanten in de Verenigde Staten of aan een Amerikaanse beurs genoteerde klanten? Dan kan het zijn dat specifiek een rapport onder SSAE 18 / SOC 1 wordt gevraagd. Bespreek dit met uw auditor, want dit heeft gevolgen voor de standaard waaronder het rapport wordt uitgebracht.

Hoe verloopt een SOC 1 audit: stap voor stap

Stap 1: Scopebepaling en planning

De auditor bespreekt met u welke diensten en processen onderdeel zijn van het rapport. Samen stelt u de beheersingsdoelstellingen vast en definieert u de control matrix. Dit is een cruciale fase: een te brede scope maakt de audit onnodig kostbaar, een te smalle scope levert een rapport op dat niet aansluit bij de verwachtingen van uw klanten.

Stap 2: Systeembeschrijving opstellen

Uw organisatie stelt de systeembeschrijving op (of de auditor ondersteunt hierbij). Dit document beschrijft uw dienstverlening, processen, IT-systemen en beheersingsmaatregelen. Het is het fundament van het SOC 1 rapport.

Stap 3: Readiness assessment (optioneel)

Veel auditors bieden een readiness assessment aan: een vooronderzoek waarin wordt getoetst of uw organisatie klaar is voor de formele audit. Eventuele gaps worden geïdentificeerd zodat u ze kunt oplossen vóór de auditperiode ingaat. Dit is vooral waardevol als u voor het eerst een SOC 1 traject doorloopt.

Stap 4: Auditperiode (bij Type II)

Bij een Type II rapport definieert u samen met de auditor de auditperiode, doorgaans een boekjaar of minimaal zes maanden. Gedurende deze periode moet u aantonen dat uw beheersingsmaatregelen effectief werken. De auditor voert tussentijdse controles uit.

Stap 5: Formele audit en testing

De auditor voert de daadwerkelijke tests uit. Dit omvat het beoordelen van de systeembeschrijving op juistheid, het toetsen van de opzet en het bestaan van beheersingsmaatregelen, het testen van de effectieve werking (bij Type II) door middel van steekproeven, interviews en systeeminspecties, en het vaststellen van eventuele afwijkingen.

Stap 6: Rapportage

De auditor stelt het SOC 1 rapport op met daarin zijn oordeel, de systeembeschrijving, de control matrix en (bij Type II) de testresultaten. Eventuele bevindingen of tekortkomingen worden opgenomen in het rapport.

Stap 7: Verspreiding

U verstrekt het SOC 1 rapport aan uw klanten en hun accountants. Het rapport is vertrouwelijk en wordt niet openbaar gepubliceerd (in tegenstelling tot een SOC 3 rapport). Doorgaans wordt het rapport via een NDA of een beveiligd portaal gedeeld.

Wat kost een SOC 1 verklaring?

De kosten van een SOC 1 audit variëren afhankelijk van de omvang van uw organisatie, de complexiteit van de processen en het type rapport. Een indicatie voor de Nederlandse markt:

  • SOC 1 Type I (eerste jaar, eenmalige peildatum): €15.000 tot €30.000 — inclusief scopebepaling, systeembeschrijving, audit en rapportage.
  • SOC 1 Type II (auditperiode van minimaal 6 maanden): €25.000 tot €50.000 — hogere kosten door tussentijdse controles en uitgebreidere testing.
  • Jaarlijkse herhalingsaudit (Type II): €20.000 tot €40.000 — goedkoper omdat systeembeschrijving en control matrix al bestaan.
  • Optioneel readiness assessment: €5.000 tot €10.000 — kan kosten besparen door verrassingen te voorkomen.

Hoe bereidt u zich voor op een SOC 1 audit?

Control matrix definiëren

Stel samen met uw auditor een control matrix op die aansluit bij de verwachtingen van uw klanten. Welke beheersingsdoelstellingen zijn relevant? Welke maatregelen heeft u ingericht om die doelstellingen te bereiken?

Systeembeschrijving documenteren

Zorg dat uw systeembeschrijving actueel en volledig is. Beschrijf niet alleen wat u doet, maar ook hoe u het doet en wie verantwoordelijk is. De auditor beoordeelt of de beschrijving een getrouw beeld geeft van de werkelijkheid.

Bewijs verzamelen

Bij een Type II audit heeft de auditor bewijs nodig dat uw maatregelen gedurende de gehele periode effectief hebben gewerkt. Zorg dat u logbestanden, goedkeuringsregistraties, change records en incident rapporten kunt overleggen over de volledige auditperiode.

Complementary User Entity Controls afstemmen

Stem af met uw klanten welke beheersingsmaatregelen zij zelf moeten treffen (CUECs). Dit voorkomt misverstanden over verantwoordelijkheden en zorgt ervoor dat het totale beheersingsframework compleet is.

Readiness assessment overwegen

Zeker als u voor het eerst een SOC 1 traject doorloopt, is een readiness assessment aan te raden. Het geeft inzicht in gaps die u kunt oplossen voordat de formele audit start, wat de doorlooptijd verkort en de kans op een schoon rapport vergroot.

Op zoek naar een SOC 1 auditor?

Vergelijk SOC 1 (ISAE 3402) auditors in Nederland en vraag vrijblijvend een offerte aan.

Vergelijk SOC 1 auditors

Veelgestelde vragen

Is een SOC 1 hetzelfde als een ISAE 3402?
In de kern wel. Beide richten zich op de interne beheersing van uitbestede processen in relatie tot de financiële verslaggeving. SOC 1 is de Amerikaanse merknaam (onder SSAE 18), ISAE 3402 is de internationale standaard. In Nederland wordt doorgaans ISAE 3402 gehanteerd, maar het rapport wordt regelmatig aangeduid als "SOC 1."
Kan ik SOC 1 en SOC 2 combineren in één audit?
Ja, dat is mogelijk en in veel gevallen efficiënt. De auditor beoordeelt dan zowel de financiële beheersingsaspecten (SOC 1) als de bredere IT-beheersing (SOC 2) in één traject. Dit bespaart tijd en kosten ten opzichte van twee afzonderlijke audits.
Hoe lang is een SOC 1 rapport geldig?
Een SOC 1 rapport heeft geen formele vervaldatum, maar in de praktijk verwachten accountants en toezichthouders een jaarlijks rapport. Een rapport dat ouder is dan twaalf maanden wordt doorgaans niet meer geaccepteerd.
Wie mag een SOC 1 audit uitvoeren?
In Nederland wordt een SOC 1 audit (op basis van ISAE 3402) uitgevoerd door een registeraccountant (RA) of een Register EDP-auditor (RE) die is aangesloten bij respectievelijk de NBA of NOREA. De auditor moet onafhankelijk zijn van uw organisatie.
Wat als er bevindingen in het rapport staan?
Bevindingen (ook wel "exceptions" of "afwijkingen" genoemd) zijn niet ongebruikelijk en betekenen niet automatisch dat het rapport onbruikbaar is. De accountant van uw klant beoordeelt de impact van de bevindingen op de jaarrekeningcontrole. Wel is het zaak om bevindingen serieus op te volgen en te herstellen vóór de volgende auditperiode.
Is een SOC 1 verplicht?
Een SOC 1 is niet wettelijk verplicht voor alle serviceorganisaties, maar er zijn sectoren waar het de facto verplicht is. Organisaties die onder toezicht staan van DNB of AFM en processen uitbesteden, moeten kunnen aantonen dat die processen beheerst worden. Een SOC 1 (of ISAE 3402) verklaring is hiervoor het geaccepteerde instrument.

Offerte aanvragen voor een SOC 1 audit

Ontvang vrijblijvend offertes van ervaren SOC 1 (ISAE 3402) auditors. Vergelijk prijzen, doorlooptijden en specialisaties.

Vraag een offerte aan

Gerelateerde artikelen

Assurance

SOC 2 Type 1 vs Type 2: Wat is het verschil en welke heeft u nodig?

Lees meer Assurance

SOC 2 Type 2: wat is het, wat wordt er getoetst en hoe bereidt u zich voor?

Lees meer

Uitgelichte auditors voor SOC 1 Audit

Soll-IT
Soll-IT
Amsterdam
TÜV NORD
TÜV NORD
Son
IT-Audit Company
IT-Audit Company
Apeldoorn
Joanknecht
Joanknecht
Eindhoven

Op zoek naar een IT-auditor?

Vergelijk auditors en vraag direct een vrijblijvende offerte aan via IT-Audit Directory.

Bekijk auditors
Offerte