Allmän IT-kontroll
Allt fler organisationer lägger ut IT eller andra processer på entreprenad. Denna outsourcing förbättrar effektivitet men medför också risker. Hanteras informationssäkerheten ordentligt? Hur hanteras sekretess? ISAE 3402-standarden är standarden för tillförlitlig outsourcing och ger svar. Denna standard säkerställer att aspekter som riskhantering, informationssäkerhet, integritet, bedrägeribekämpning och kontinuitet kontrolleras. En ISAE 3402 | SOC 1-rapport beskriver hur risker hanteras. En servicerevisor kontrollerar sedan om detta verkligen sker. Vilka åtgärder behöver man vidta för att få en sådan rapport?
För det första behöver organisationen beskriva sin riskhantering och interna kontrollåtgärder i en rapport. Dessa interna kontrollåtgärder kallas även för kontroller. Rapporten kallas Service Organization Control Report (SOC), en term från USA. Om SOC-rapporten gäller outsourcing av (finansiella) processer kallas denna rapport SOC 1- eller ISAE 3402-rapport. Om rapporten avser processer som inte påverkar de finansiella rapporterna (och baseras på till exempel Trust Services Principles) kallas rapporten för en SOC 2- eller ISAE 3000-rapport. Detta kan verka komplicerat, men man kan säga att så snart er organisation tillhandahåller tjänster som ”berör” er kunds finansiella rapporter, så gäller SOC 1, och om det inte finns några konsekvenser för de finansiella rapporterna, så gäller SOC 2.
Allmän IT-kontroll
Ingen finansiell information behandlas direkt av serviceorganisationen. Om nätverket havererar kan det dock påverka de finansiella rapporterna eftersom ERP-systemet körs på nätverket. Därför är allmänna IT-kontroller (ITGC) viktiga. ITGC är de kontrollåtgärder som en organisation har implementerat för att säkerställa att IT-systemen är tillförlitliga och integrerade. Dessa allmänna IT-kontroller beskrivs i SOC 1-rapporten (ISAE 3402) för leverantörer av hanterade tjänster. Dessutom ingår en beskrivning av organisationen och en beskrivning av riskhanteringen så att kunden kan se dessa kontroller ur rätt perspektiv.