Vilka är kraven

för en SOC 1-rapport?

För certifiering behöver er organisation en rapport som beskriver dess riskhantering och interna kontroll. Denna rapport kallas också Service Organization Control Report (SOC), en terminologi som härstammar från USA (AICPA). Om en SOC-rapport gäller outsourcad verksamhet kallas den SOC 1 (US) eller ISAE 3402-rapport. Om rapporten avser certifiering enligt en specifik standard (t.ex. Trust Service Principles) kallas den SOC 2- eller ISAE 3000-rapport. En ISAE 3000-rapport kan också utarbetas för efterlevnad av den allmänna dataskyddsförordningen (GDPR).

Kraven framgår av standarden, som kan laddas ner från IFAC:s webbplats.

I stort sett består standarden av följande delar.

För att bli ”certifierad” enligt ISAE 3402 måste en organisation ha en kontrollrapport för serviceorganisationer (SOC). En SOC är formfri, vilket innebär att standarden inte föreskriver något specifikt innehåll. Olika ”praxis” har dock vuxit fram. Det finns också krav på rapporter från enheter som De Nederlandsche Bank, branschinstitut eller serviceorganisationerna själva. En SOC-rapport är vanligtvis uppdelad i två delar: en allmän del med en beskrivning av organisationen, riskhanterings- och internkontrollsystemet samt en ”kontrollmatris”. Kontrollmatrisen innehåller kontrollmålen och en beskrivning av de kontrollåtgärder som säkerställer dessa mål. Det yttersta ramverket för ISAE 3402-rapporten är den finansiella rapporten. Alla processer som väsentligt påverkar de finansiella processerna måste inkluderas. I allmänhet är dessa alla operativa, finansiella processer och de allmänna IT-kontrollerna.

ISAE 3402 Type I eller Type II?

Det finns två typer av rapporter: en Type I- och en Type II-rapport. En Type I-rapport ger en ögonblicksbild av kontrollorganisationen vid en enda tidpunkt. Under revisionen bedömer revisorn kontrollåtgärderna endast utifrån deras utformning och förekomst. Detta innebär att revisorn granskar hela rapporten (SOC) och går igenom processerna en gång. I en Type II-rapport testar revisorn, förutom utformning och existens, även att kontrollåtgärderna fungerar på ett effektivt sätt. På grund av ISAE 3402:s inverkan på en organisation väljs det vanligtvis att börja med en Type I-rapport och implementera en Type II under den efterföljande perioden.

24

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i er miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...