Testen van controles2025-08-29T20:14:20+00:00

Testen van controls binnen een SOC 2 audit

Wat houdt het testen van controls in?

Het testen van controls is de fase waarin de auditor onderzoekt of jouw beheersingsmaatregelen, zoals beschreven in de systeembeschrijving en gekoppeld aan de controlecriteria, daadwerkelijk hebben gewerkt gedurende de beoordelingsperiode (bij Type 2) of correct zijn ingericht (bij Type 1).

Het vormt de kern van de audit: zonder toetsing kan geen oordeel worden gegeven.

Doel van het testen

  • Bevestigen van werking: is vastgesteld dat de maatregelen structureel zijn toegepast?

  • Objectieve beoordeling: het testen voorkomt dat alleen op papier wordt vertrouwd.

  • Ondersteunen van het auditrapport: de bevindingen uit de testwerkzaamheden bepalen het oordeel van de auditor.

Hoe test een auditor controls?

De auditor gebruikt verschillende testmethodes, afhankelijk van de aard van de maatregel:

Interviews

Gesprekken met medewerkers over de uitvoering van taken en processen

Inspectie

Beoordelen van documenten, logbestanden, procedures of configuraties

Observatie

Waarnemen van processen of handelingen op locatie

‘Reperformance’

Zelf uitvoeren van een proces om te controleren of het resultaat overeenkomt met de norm

De auditor bepaalt vooraf per beheersingsmaatregel welke testmethodes passend zijn.

Frequentie en periode

Bij een SOC 2 Type 2-verklaring worden maatregelen getoetst over een periode van meestal 6 tot 12 maanden. Het is dus van belang dat jouw maatregelen:

  • Gedocumenteerd zijn.
  • Aantoonbaar consequent zijn uitgevoerd.
  • Bij voorkeur automatisch of systematisch worden toegepast.

Bij een Type 1-verklaring volstaat toetsing op één moment in de tijd.

Wat wordt beoordeeld?

De auditor kijkt onder meer naar:

  • Opzet: Is de control logisch en goed ontworpen?

  • Bestaan: Is de control aantoonbaar aanwezig?
  • Werking: Is de control effectief toegepast in de praktijk?
  • Frequentie: Hoe vaak en consistent is de maatregel uitgevoerd?

Relatie met andere onderdelen

  • Controlecriteria en doelstellingen: bepalen wat moet worden getest.
  • Resultaten en bevindingen: geven inzicht in wat de tests hebben opgeleverd.
  • Auditplanning: zorgt voor afstemming van timing, locaties en testprocedures.

Aandachtspunten voor organisaties

  • Leg relevante bewijsstukken vast (zoals logbestanden, toegangsverzoeken, monitoringrapportages).
  • Automatiseer waar mogelijk de uitvoering van controls.
  • Voer interne controles of steekproeven uit voorafgaand aan de audit om testvolwassenheid te toetsen.

Gerelateerde onderwerpen

Direct aan de slag? Download onze gids met praktische tips, een stappenplan en veelvoorkomende valkuilen.

Veelgestelde vragen over Testen van controles

Wat als een test negatief uitvalt?
2025-07-28T09:28:41+00:00

De auditor neemt de bevinding op in het rapport. Afhankelijk van de ernst kan dit leiden tot een beperking of afkeuring van de verklaring.

Worden alle maatregelen getest?2025-07-28T09:28:30+00:00

Alle relevante maatregelen binnen de scope van de audit worden getest. De diepgang en testmethode verschillen per maatregel.

Wat houdt het testen van controles in?2025-07-28T09:28:17+00:00

De auditor controleert of beheersmaatregelen gedurende de auditperiode aantoonbaar zijn uitgevoerd, bijvoorbeeld aan de hand van logbestanden, rapportages of steekproeven.

Wat is SOC 2?
Implementatie
Audits
Register
Go to Top