SOC 2 readiness assessment: weet voor de audit hoe je ervoor staat
Een readiness assessment is een pre-audit. Iemand loopt je controls door, controleert je documentatie en signaleert waar gaten zitten, voordat de officiële auditor dat doet. Het klinkt als een extra stap, maar het is goedkoper dan findings in je definitieve rapport. De AICPA schrijft een readiness assessment niet voor, maar vrijwel elk serieus SOC 2 stappenplan neemt het op als stap negen, vlak voor de officiële audit.
Findings tijdens een readiness assessment zijn vertrouwelijk. Ze komen niet in je rapport. Findings tijdens de officiële audit wél. Die klanten zien. Dat is het kernargument voor een readiness assessment.
Wat is het verschil met een gap-analyse?
Beide beoordelen of je klaar bent, maar ze zitten op een ander moment in het traject en hebben een ander doel.
| Gap-analyse | Readiness assessment | |
|---|---|---|
| Wanneer | Begin van het traject | Vier tot zes weken voor de officiële audit |
| Doel | Bepalen wat je nog moet bouwen | Verifiëren dat je het goed hebt gebouwd |
| Diepte | Inventariserend | Testend (net als een echte audit) |
| Output | Actieplan en roadmap | Go/no-go advies en puntlijst |
| Wie doet het | Jijzelf of consultant | Consultant of je auditor |
| Kosten | €1.000 - €5.000 | €2.000 - €8.000 |
De gap-analyse zegt: “Je mist toegangsreviews en een incident response plan.” De readiness assessment zegt: “Je toegangsreviews zijn gedocumenteerd maar de tijdstempels kloppen niet met je policy, en je incident response plan is niet getest.”
Wat wordt er tijdens een readiness assessment getest?
Het is een compacte versie van de echte audit. Een consultant doorloopt de Trust Services Criteria die in jouw scope zitten en controleert vier dingen per control:
- Bestaat de control (policy, configuratie)?
- Is de evidence aantoonbaar aanwezig?
- Klopt de evidence met wat de policy zegt?
- Is er continuïteit over de observatieperiode (voor Type II)?
Concrete voorbeelden van wat er naar boven komt:
- “Je policy zegt dat offboarding binnen 24 uur plaatsvindt, maar bij twee van de vijf getoetste gevallen was het drie dagen.”
- “Je vulnerability scanner draait wekelijks, maar er zijn geen opvolgnotities bij de high-severity bevindingen van april.”
- “Je jaarlijkse security awareness training is niet aantoonbaar voor drie medewerkers die in december zijn ingestroomd.”
Dit zijn allemaal dingen die een auditor ook zou vinden. Nu kun je ze fixen.
Zelf doen of uitbesteden?
Je kunt een readiness assessment intern uitvoeren. Dat kost geen externe kosten maar vraagt eerlijkheid tegenover jezelf, wat moeilijker is dan het klinkt.
Zelf doen werkt als:
- Je de Trust Services Criteria goed kent
- Je al eerder een audit hebt meegemaakt (als auditor of als auditee)
- Je voldoende afstand kunt nemen van je eigen werk
- Je team klein genoeg is om alle controls in twee tot drie dagen te doorlopen
Uitbesteden aan een consultant werkt beter als:
- Dit je eerste SOC 2 is
- Je wilt dat iemand met auditor-ogen naar je documentatie kijkt
- Je twijfelt over specifieke controls of de toereikendheid van je evidence
- Je auditor zelf de readiness uitvoert (dat koppelt de bevindingen direct aan het auditproces)
Sommige CPA-bureaus voeren de readiness uit als onderdeel van het auditcontract. Dat kan voordelig zijn omdat de consultant dan exact weet wat de auditor gaat controleren. Nadeel: je mist de onafhankelijke tweede mening.
Wat levert een readiness assessment op?
De deliverables zijn niet gestandaardiseerd. Elke consultant werkt anders. Wat je minimaal kunt verwachten:
Een bevindingsoverzicht Per control: status (voldoet, voldoet deels, voldoet niet), toelichting, en aanbeveling. Sommige rapporten geven ook een prioritering: kritiek, hoog, laag.
Een go/no-go advies Kun je over vier weken de officiële audit starten, of zijn er structurele gaten die meer tijd vragen? Soms is het antwoord: “Stel de audit twee maanden uit en fix eerst X en Y.”
Een actielijst Wat moet je doen, in welke volgorde, en hoeveel tijd dat kost. Een goede consultant is specifiek: niet “verbeter je toegangsbeleid” maar “voeg tijdstempel en approvaltekening toe aan de toegangsreview-template in Google Drive.”
Wanneer is een readiness assessment niet zinvol?
Als je al ISO 27001 hebt en je controls al twee jaar stabiel draaien, is een uitgebreide readiness assessment minder noodzakelijk. Je weet al hoe het werkt. In dat geval volstaat een interne check van de SOC 2-specifieke eisen.
Ook als budget echt krap is en je een eenvoudige Type I-audit doet met een kleine scope, kun je de readiness-kosten inruilen voor extra voorbereiding op eigen kracht.
Maar 70% van de bedrijven die een readiness overslaan krijgt unexpected findings tijdens de officiële audit. Die €4.000 voor een readiness assessment was goedkoper geweest dan de vertraging, extra audit-dagen en managementrespons die findings met zich meebrengen.
De readiness assessment in het stappenplan
De readiness valt tussen stap 8 (auditor kiezen) en stap 10 (officiële audit) van het SOC 2 stappenplan. Hoe eerder je de bevindingen kent, hoe meer tijd je hebt om te fixen voordat de auditklok begint.
Ideale timing: vier tot zes weken voor de geplande startdatum van de officiële audit. Dat geeft je ruimte om bevindingen op te lossen zonder de auditplanning te verstoren.
Lees ook de pagina over het auditproces om te begrijpen wat een auditor precies test, zodat je weet waar een readiness op voorbereidt.
Meer informatie
- Stappenplan – De readiness valt in stap 9 van het volledige traject
- Het auditproces – Wat de auditor na de readiness gaat doen
- Evidence verzamelen – Wat auditors willen zien per criterium
- Kosten en tijdlijn – Readiness als onderdeel van de totale investering
- AICPA SOC 2 – Officiële bron