Resultaten en bevindingen2025-08-29T20:13:36+00:00

Resultaten en bevindingen in een SOC 2 rapport

Wat zijn resultaten en bevindingen?

Na het testen van de effectiviteit van je beheersingsmaatregelen brengt de auditor de bevindingen in kaart. Deze worden opgenomen in het SOC 2-rapport en vormen de onderbouwing van het afgegeven oordeel. De resultaten laten zien of je organisatie heeft voldaan aan de Trust Services Criteria en geven inzicht in eventuele tekortkomingen.

Wat wordt gerapporteerd?

De auditor rapporteert op basis van de volgende onderdelen:

Effectiviteit van controls

Werkten je maatregelen gedurende de rapportageperiode zoals beoogd?

Afwijkingen

Zijn er afwijkingen geconstateerd, maar welke niet direct aanleiding is voor een tekortkoming in de maatregel.

Mate van consistentie

Hoe structureel en aantoonbaar zijn de maatregelen uitgevoerd?

Impact van bevindingen

Wat is de invloed van eventuele tekortkomingen op het totaalbeeld? Heeft het een significante impact en kan het leiden tot een ‘oordeel met beperking’?

Soorten bevindingen

De bevindingen kunnen qua gradatie als volgt worden gecategoriseerd:

  • Geen bevindingen: Alle getoetste maatregelen zijn effectief gebleken.

  • Beperkte bevindingen: Bevindingen in afzonderlijke controls, maar waarbij de doelstelling overeind blijft doordat er andere compenserende maatregelen zijn.

  • Significante bevindingen: Structurele of kritieke tekortkomingen die ervoor zorgen dat één of meerdere doelstellingen niet behaald worden en er sprake is van een ‘oordeel met beperking’.

Bevindingen
Oordeel van auditor

Oordeel van de auditor

Het rapport eindigt met het formele oordeel van de auditor. Dit kan zijn:

  • Schoon oordeel (clean opinion): Er zijn geen significante bevindingen geconstateerd en alle beheersingsdoelstellingen/criteria zijn behaald.

  • Oordeel met beperking (qualified opinion): Er zijn (meerdere) tekortkomingen in maatregelen geconstateerd met relevante impact. Hierdoor worden één of meerdere doelstellingen/criteria niet behaald.

  • Afkeurend oordeel (adverse opinion): De organisatie voldoet niet aan de gestelde criteria.

  • Geen oordeel (disclaimer of opinion): De auditor kan geen oordeel vellen vanwege onvoldoende bewijs.

Relatie met andere onderdelen

  • Testen van controls: vormen de basis voor de bevindingen.

  • Auditplanning: beïnvloedt de manier waarop en wanneer bevindingen worden vastgesteld.
  • Rapportage en opvolging: beschrijft wat de organisatie met de bevindingen doet.

Aandachtspunten voor organisaties

  • Zorg voor goede vastlegging van de werking van je controls gedurende de hele rapportageperiode.
  • Reageer tijdig op voorlopige bevindingen en verstrek aanvullende toelichting of bewijs indien nodig.
  • Gebruik de bevindingen als input voor verbetering van je controls framework.
Aandachtspunten voor organisaties

Download tips en stappenplan

Direct aan de slag? Download onze gids met praktische tips, een stappenplan en veelvoorkomende valkuilen.

Veelgestelde vragen over resultaten en bevindingen

Kunnen bevindingen gevolgen hebben voor het oordeel?2025-07-28T09:52:31+00:00

Ja. Afhankelijk van het type en de impact van de bevindingen kan het oordeel onvoorwaardelijk, beperkt of afkeurend zijn.

Ziet de klant ook negatieve bevindingen?2025-07-28T09:52:20+00:00

Ja, het rapport bevat een transparante weergave van de resultaten, inclusief eventuele afwijkingen.

Waar worden de resultaten en bevindingen vastgelegd?2025-07-28T09:52:07+00:00

Deze worden opgenomen in het SOC 2-rapport, met per maatregel een beschrijving van de testresultaten en eventuele uitzonderingen.

Wat is SOC 2?
Implementatie
Audits
Register
Go to Top