Wat is SOC 1?
SOC 1 (System and Organization Controls 1) is een auditrapport dat inzicht geeft in interne beheersingsmaatregelen die van invloed zijn op de financiële verslaggeving van klanten. Het wordt opgesteld volgens de ISAE 3402-standaard en is bedoeld voor organisaties die bedrijfskritische diensten leveren met impact op financiële processen.
In OT-context is SOC 1 relevant voor dienstverleners die processen automatiseren of beheren die financiële output beïnvloeden, zoals productievolumes, traceerbaarheid of Compliance met kwaliteitsnormen.
🧠 Kernkenmerken van SOC 1
- Scope: financiële impact – Gericht op processen die invloed hebben op jaarrekening, audit trail, compliance
- Type I vs Type II – Type I beschrijft opzet op een specifiek moment; Type II beoordeelt werking over een periode
- Op basis van ISAE 3402 – SOC 1 is de Amerikaanse (AICPA) uitvoering van ISAE 3402
- Rapportage aan auditors – Gericht op interne en externe financiële auditors van de klant
- Beheersingsdoelstellingen – Denk aan autorisaties, volledigheid van gegevens, consistentie van processen
- Niet bedoeld voor IT-security – Daarvoor zijn SOC 2 of ISO 27001 beter geschikt
🔐 SOC 1 in OT/IT-convergentie
| Voorbeeldproces | Financiële relevantie in OT-context |
|---|---|
| Productietelling via SCADA | Outputcijfers bepalen voorraadwaarde of facturatie |
| Batchregistratie en Tracking and Tracing | Belangrijk voor kwaliteits- en certificeringsverantwoording |
| Historian-data logging | Onderbouwing van productiehoeveelheden of downtime-verantwoording |
| Automatische Alarm Management | Vastleggen van fouten die productieverlies of schades veroorzaken |
| Integratie met ERP | Doorstroom van productiegegevens naar financiële systemen |
SOC 1 kijkt niet primair naar cyberrisico’s, maar kan wel aangeven of processen volledig, accuraat en tijdig zijn ingericht.
✅ Veelvoorkomende SOC 1-controls
| Controlgebied | Voorbeeld in OT-context |
|---|---|
| Toegangsbeheer | Alleen bevoegde engineers mogen recepten aanpassen of batchgegevens exporteren |
| Logging en monitoring | Productiedata worden automatisch vastgelegd en gecontroleerd |
| Verwerkingsvolledigheid | Alle productie-eenheden worden gelogd en gevalideerd in MES of Historian |
| Wijzigingsbeheer | Wijzigingen in receptdata of configuraties volgen goedgekeurde procedures |
| Incidentbeheer | Downtime en afwijkingen worden geregistreerd en geëscaleerd volgens protocol |
🔁 SOC 1 versus andere standaarden
| Standaard | Focus |
|---|---|
| SOC 1 | Interne beheersing met impact op financiële verslaggeving |
| SOC 2 | Trust Services Criteria: security, beschikbaarheid, privacy |
| ISAE 3402 | Internationale variant van SOC 1 (vaak Type II) |
| ISO 27001 | Informatiebeveiliging en risicomanagement |
| IEC 62443-2-4 | OT-leveranciers en systeemintegrators |
📦 SOC 1 in IT vs. OT
| SOC 1 in IT | SOC 1 in OT |
|---|---|
| Salarisverwerking, hostingdiensten | Automatische registratie van output/productie |
| Financiële transacties in SaaS | Bepaling van productiekosten via batchdata of machine-uren |
| ERP-beheer en facturatiesystemen | Koppeling tussen OT (procesdata) en ERP voor facturatie/logistiek |
SOC 1 is essentieel wanneer OT-diensten impact hebben op financiële administratie of rapportages, bijvoorbeeld in farmacie, voeding of energie.
📌 Samengevat
SOC 1 geeft klanten en auditors zekerheid over financiële procescontrole bij leveranciers. In OT-omgevingen is SOC 1 van belang bij productievolumes, traceerbaarheid en integratie met ERP/financiële systemen, vooral wanneer deze door externe partijen worden beheerd.