Niet alle SOC 2-rapporten zijn gelijk. Gebruik deze interactieve tool om snel de kwaliteit en betrouwbaarheid van elk SOC 2-rapport te evalueren voordat u het accepteert in uw leveranciersrisicoprogramma.
Criteria gebaseerd op de SOC 2 Quality Guild-rubriek — een open, door de gemeenschap gedreven initiatief om kwaliteitssignalen voor SOC 2-rapporten vast te stellen.
Open het SOC 2-rapport dat u aan het beoordelen bent en doorloop vervolgens elk van de onderstaande kwaliteitssignalen. Kies voor elk signaal één optie:
Het rapport voldoet aan dit kwaliteitssignaal.
Rode vlag gedetecteerd. Vereist aandacht.
Niet van toepassing of kan niet worden bepaald.
Beoordeel elk signaal om je score te zien
Is de accountant een geregistreerd CPA-kantoor dat is aangesloten bij het AICPA Peer Review Program?
De accountant moet een geregistreerd accountantskantoor zijn dat is aangesloten bij het AICPA Peer Review Program. Individuele accountants die zonder kantooraffiliatie of niet-geregistreerde kantoren ondertekenen, geven aan dat de controle mogelijk niet legitiem is of niet onderworpen is aan adequaat toezicht.
Kijk onderaan sectie 1 voor de bedrijfsnaam en handtekening. Controleer de registratie op nasba.org (staatsraad) en aicpa.org (peer review). Als u de registratie niet kunt bevestigen, wijs het rapport dan af en vraag een rapport aan bij een bedrijf met de juiste referenties.
Bevat het rapport geen zware GRC-platformbranding die niet van de auditor of het gecontroleerde bedrijf afkomstig is?
De sterke branding van een GRC-platform (niet van de auditor of het geauditeerde bedrijf) in het hele rapport suggereert dat het platform automatisch gegenereerde inhoud heeft gebruikt zonder voldoende onafhankelijke aanpassing of beoordeling door de auditor.
Scan het volledige rapport op logo's en merknamen. Alleen het accountantskantoor en het gecontroleerde bedrijf mogen worden vermeld. Als er een merknaam van een complianceplatform op staat, moet u de testprocedures extra kritisch bekijken en nagaan of de controle een echte onafhankelijke verificatie omvatte of dat het om een geautomatiseerde rapportage ging.
Heeft het accountantskantoor een geloofwaardige reputatie in de sector?
Sommige bedrijven staan in de branche bekend om het nemen van shortcuts, het voeren van een prijzenoorlog of het produceren van rapporten vol sjablonen. Andere bedrijven staan bekend om hun rigoureuze, doordachte audits. Reputatie is een indicatie voor kwaliteit.
Zoek de naam van het bedrijf op G2, Gartner Peer Insights of LinkedIn voor beoordelingen en discussies. Vraag uw TPRM-netwerk of iemand ervaring heeft met deze auditor. Als u patronen van kwaliteitsproblemen ontdekt, houd hier dan rekening mee in uw beoordeling en vraag om aanvullend bewijs.
Bevat sectie 1 alle door de AICPA voorgeschreven paragrafen?
De AICPA-normen schrijven specifieke paragrafen voor: "Reikwijdte", "Oordeel" en voor type 2 "Beschrijving van controles". Ontbrekende of onjuiste paragrafen duiden erop dat de auditor de normen niet kent of dat hij snelkoppelingen heeft gebruikt.
Scan sectie 1 op gelabelde alinea's. Controleer voor type 2 of er een alinea is die verwijst naar tests in sectie 4. Controleer of in het advies duidelijk wordt vermeld of de controles adequaat waren ontworpen en effectief functioneerden. Ontbrekende of algemene bewoordingen zijn een structurele rode vlag — documenteer en escaleer voordat u akkoord gaat.
Geeft de testbeschrijving weer wat er daadwerkelijk is getoetst, in plaats van vage standaardformuleringen?
Vage testbeschrijvingen zoals 'beoordeeld bewijs' of 'geïnspecteerd bewijs' zeggen niets over wat er daadwerkelijk is onderzocht. Zoek naar beschrijvingen die aangeven dat de test opnieuw is uitgevoerd of geobserveerd. Specifieke beschrijvingen zoals '35 driemaandelijkse toegangsbeoordelingen gedurende de periode geïnspecteerd en goedkeuring door managers en tijdige verwijdering geverifieerd' tonen aan dat de test strenger is uitgevoerd.
Kies 5 tot 7 controles die cruciaal zijn voor uw gebruikssituatie en lees hun testprocedures regel voor regel door. Let op: welk bewijs is onderzocht, hoeveel monsters, uit welke periodes en wat is er specifiek geverifieerd. Als procedures onderling uitwisselbare standaardprocedures zijn, markeer deze controles dan en vraag de leverancier om direct bewijs.
Zijn de steekproeven groot genoeg en verspreid over de volledige controleperiode?
Het eenmaal testen van 5 items aan het begin van de periode voor een dagelijkse controle biedt weinig zekerheid. Het testen van 40 items verspreid over 12 maanden biedt meer zekerheid. De steekproefmethodologie toont de grondigheid van de effectiviteitscontrole aan.
Tel voor uw kritieke controles het aantal monsters en controleer de timing. Zoek voor technische controles (MFA, encryptie) naar tests van de configuratie en door het systeem gegenereerd bewijs. Controleer voor periodieke controles (kwartaalbeoordelingen) of alle gevallen zijn getest. Kleine steekproeven (5-10) of clustering aan het einde van de periode vormen een beperking — noteer dit en overweeg directe verificatie.
Worden in sectie 3 echte producten, infrastructuur en organisatiestructuur genoemd?
In sectie 3 moeten concrete producten, technologiecomponenten, infrastructuurleveranciers en de organisatiestructuur worden genoemd. Algemene modewoorden die op elk bedrijf van toepassing kunnen zijn, wijzen erop dat de auditor zich niet met de werkelijke omgeving heeft beziggehouden.
Zoek naar specifieke details: AWS/Azure/GCP, genoemde SaaS-tools, locaties van datacenters, organigrammen, architectuurdiagrammen. Als het leest als marketingtekst die je bij elk bedrijf zou kunnen plakken, heeft de auditor waarschijnlijk niet grondig onderzoek gedaan. Vergelijk het met wat je weet over de daadwerkelijke technologiestack van de leverancier.
Wordt in de controles gespecificeerd wie, wat, wanneer en hoe, of zijn het slechts vage uitspraken?
Vage controles zoals "Het management zorgt voor de veiligheid" geven geen duidelijkheid over wat er daadwerkelijk gebeurt. Duidelijke controles specificeren wat er gebeurt, wie het doet, hoe vaak en wat het effectief maakt.
Lees de beschrijvingen van de controles op specificiteit. Goed: "Het beveiligingsteam controleert elk kwartaal de toegang tot de productie, valideert de zakelijke rechtvaardiging met managers en verwijdert ongerechtvaardigde toegang binnen 24 uur." Slecht: "De toegang wordt periodiek gecontroleerd." Als de controles consequent vaag zijn, kunt u de relevantie ervan niet beoordelen. Vraag dan de daadwerkelijke controledocumentatie van de leverancier op.
Sluiten de controles logisch aan bij de Trust Services Criteria waarop ze zeggen te zijn gebaseerd?
Elke controle wordt gekoppeld aan Trust Services Criteria (zoals CC6.1 voor logische toegang). Onlogische koppelingen – zoals 'jaarlijkse vergaderingen' gekoppeld aan technische toegangscontroles – suggereren dat de auditor niet kritisch heeft nagedacht over wat controles daadwerkelijk bereiken.
Controleer steekproefsgewijs 10 controle-toewijzingen. Vraag: voldoet deze controle logischerwijs aan dit criterium? Als technische controles aan verkeerde categorieën zijn toegewezen of als zachte controles worden gebruikt voor harde technische vereisten, is de scope niet goed doordacht. Documenteer twijfelachtige toewijzingen en onderzoek of die gebieden goed zijn ontworpen.
Is de verklaring van het management aanwezig, volledig en ondertekend door het management van het bedrijf?
Het management moet formeel verklaren dat hun systeembeschrijving accuraat is, dat de controles adequaat zijn ontworpen en (Type 2) effectief functioneren. Ontbrekende of onvolledige verklaringen betekenen dat het management geen verantwoordelijkheid heeft genomen voor hun controleomgeving volgens de AICPA-normen.
Zoek de verklaring van het management in sectie 1 of als aparte sectie. Controleer of deze alle vereiste elementen bevat en is ondertekend door het management van het bedrijf. Als deze ontbreekt, onvolledig is of niet is ondertekend, voldoet het rapport niet aan de basisnormen. Vraag om een volledige versie voordat u verdergaat met uw beoordeling.
Deze checklist vertelt u waar u moet zoeken. ISMS Copilot vertelt u wat het betekent en wat u vervolgens moet doen.
Plak een controleomschrijving, een testprocedure of een volledig fragment uit sectie 4 in ISMS Copilot en vraag het om de kwaliteit te beoordelen aan de hand van SOC 2 / AICPA-normen. Het is de ChatGPT van GRC — ontwikkeld door complianceprofessionals, voor complianceprofessionals.
Gratis om te beginnen. Geen creditcard nodig.
De kwaliteitssignalen die in deze tool worden gebruikt, zijn gebaseerd op de SOC 2 Quality Signals- rubriek die is opgesteld en wordt onderhouden door de SOC 2 QualityGuild — een door de gemeenschap aangestuurd, crowdsourced initiatief om algemeen aanvaarde richtlijnen vast te stellen voor het beoordelen van de kwaliteit van SOC 2-rapporten. De oorspronkelijke rubriek is gepubliceerd onder de Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0) licentie.
In overeenstemming met die licentie wordt deze interactieve bewerking door ISMS Copilot ook gedeeld onder CC BY-SA 4.0. We hebben de inhoud van de signalen niet gewijzigd, maar ze alleen geherformatteerd tot een interactieve checklist met een scoresysteem.
© 2026 SOC 2 Quality Guild (originele rubriek). Interactieve tool van ISMS Copilot. Gelicentieerd onder CC BY-SA 4.0.
Deze tool wordt uitsluitend aangeboden voor informatieve en educatieve doeleinden. Het vormt geen juridisch, audit- of professioneel advies. ISMS Copilot is niet gelieerd aan, goedgekeurd door of formeel verbonden met de SOC 2 Quality Guild, de AICPA of enig auditkantoor. De resultaten van deze checker zijn geen vervanging voor professioneel oordeel. Raadpleeg altijd een gekwalificeerde professional bij het nemen van beslissingen over leveranciersrisicobeheer.
