Kategori: Försäkran

Vad passar min organisation bäst? SOC 1 or SOC 2?

Vad passar min organisation bäst?

SOC 1 eller SOC 2?

SSAE18-standarden (AICPA) från USA omfattar två typer av rapporter; en Service Organization Control Report 1 (SOC 1) och en Service Organization Control Report 2 (SOC 2). Denna terminologi används i allt större utsträckning internationellt. En ISAE 3402-rapport är inom denna terminologi en SOC 1-rapport, en ISAE 3000-rapport är en SOC 2-rapport.

En ISAE 3402-rapport är en rapport om hur tjänsteleverantören hanterar risker i de processer som är outsourcade. Outsourcing, och mer specifikt finansiella processer, utgör ramen för denna rapport. Ett alternativ till denna rapport är SOC 2-rapporten där outsourcing inte är det primära ramverket, utan snarare informationssäkerhet. Kriterierna för informationssäkerhet och integritet ingår i Trust Service Criteria. Kriterier relaterade till säkerhet, integritet, tillgänglighet och konfidentialitet. Dessutom finns en SOC 3-rapport.

Behöver jag en SOC 1?

En Service Organization Control 1 är en revision av interna kontroller med fokus på att säkra kunddata. SOC 1-revisioner utförs i enlighet med Statement on Standards for Attestation Engagements No. 16 (SSAE 16). En SOC 1 innehåller kontrollmål som används för intern kontroll över den finansiella rapporteringen. De finansiella rapporterna utgör således ramen för denna rapport. Detta innebär att alla processer är utformade för att säkerställa att alla uppgifter i de finansiella rapporterna är korrekta och fullständiga.

Med andra ord: om du behandlar eller är värd för data som är relaterade till en finansiell process, är SOC 1 tillämplig.

Behöver jag en SOC 2?

Om du behandlar eller är värd för data som inte påverkar dina kunders finansiella rapporter, är SOC 2 tillämpligt. I det här fallet är dina kunder främst intresserade av om du hanterar informationssäkerhet och integritet på rätt sätt.

I en SOC 2-rapport, som liknar en SOC 1-rapport, ingår åtgärder för intern kontroll.

Vilken typ av rapport är bäst för mig nu: SOC 1 eller SOC 2?

En viktig skillnad är att sekretess inte är obligatoriskt i en SOC 1 och i en SOC 2 baserat på Trust Service Criteria är det. Om du har kunder som faller inom båda kategorierna finns det en rimlig chans att du kommer att bli ombedd att tillhandahålla båda. Du kan avgöra om du behöver en SOC 1- eller SOC 2-rapport för att uppfylla behoven hos en mängd olika kunder. Risklane erbjuder ett unikt online-revisionsverktyg (ControlReports) som hjälper dig att integrera SOC 1- och SOC 2-revisionerna, vilket resulterar i två separata rapporter. Utan extra kostnad.

Om du vill ha mer information om effekterna av SOC 1 (ISAE 3402), SOC 2 (ISAE3000) för din organisation, vänligen kontakta Securance (+31) 030 2800888.

Vilka är kraven för en SOC 1-rapport?

Vilka är kraven

för en SOC 1-rapport?

För certifiering behöver er organisation en rapport som beskriver dess riskhantering och interna kontroll. Denna rapport kallas också Service Organization Control Report (SOC), en terminologi som härstammar från USA (AICPA). Om en SOC-rapport gäller outsourcad verksamhet kallas den SOC 1 (US) eller ISAE 3402-rapport. Om rapporten avser certifiering enligt en specifik standard (t.ex. Trust Service Principles) kallas den SOC 2- eller ISAE 3000-rapport. En ISAE 3000-rapport kan också utarbetas för efterlevnad av den allmänna dataskyddsförordningen (GDPR).

Kraven framgår av standarden, som kan laddas ner från IFAC:s webbplats.

I stort sett består standarden av följande delar.

För att bli ”certifierad” enligt ISAE 3402 måste en organisation ha en kontrollrapport för serviceorganisationer (SOC). En SOC är formfri, vilket innebär att standarden inte föreskriver något specifikt innehåll. Olika ”praxis” har dock vuxit fram. Det finns också krav på rapporter från enheter som De Nederlandsche Bank, branschinstitut eller serviceorganisationerna själva. En SOC-rapport är vanligtvis uppdelad i två delar: en allmän del med en beskrivning av organisationen, riskhanterings- och internkontrollsystemet samt en ”kontrollmatris”. Kontrollmatrisen innehåller kontrollmålen och en beskrivning av de kontrollåtgärder som säkerställer dessa mål. Det yttersta ramverket för ISAE 3402-rapporten är den finansiella rapporten. Alla processer som väsentligt påverkar de finansiella processerna måste inkluderas. I allmänhet är dessa alla operativa, finansiella processer och de allmänna IT-kontrollerna.

ISAE 3402 Type I eller Type II?

Det finns två typer av rapporter: en Type I- och en Type II-rapport. En Type I-rapport ger en ögonblicksbild av kontrollorganisationen vid en enda tidpunkt. Under revisionen bedömer revisorn kontrollåtgärderna endast utifrån deras utformning och förekomst. Detta innebär att revisorn granskar hela rapporten (SOC) och går igenom processerna en gång. I en Type II-rapport testar revisorn, förutom utformning och existens, även att kontrollåtgärderna fungerar på ett effektivt sätt. På grund av ISAE 3402:s inverkan på en organisation väljs det vanligtvis att börja med en Type I-rapport och implementera en Type II under den efterföljande perioden.

24

Värdet av ISAE 3000 | SOC 2 Assurance

Värdet av ISAE 3000 | SOC 2 Assurance

Vem kan förvänta sig värde från ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 är särskilt utformad för tjänsteleverantörer som lagrar kunddata i molnet. Detta innebär att ISAE 3000 | SOC 2-försäkran kan ge mervärde till nästan alla SaaS-företag, liksom till alla organisationer som använder molnet för att lagra kundinformation.

ISAE 3000 | SOC 2 kräver att tjänsteleverantörer upprättar och följer strikta policyer och rutiner för informationssäkerhet, inklusive säkerhet, tillgänglighet, bearbetning, integritet och sekretess för kunddata. ISAE 3000 | SOC 2 säkerställer att en tjänsteleverantörs informationssäkerhetsåtgärder överensstämmer med gällande molnregler. I takt med att företag i allt högre grad använder molnet för att lagra kunddata blir efterlevnad av ISAE 3000 | SOC 2 en nödvändighet för ett stort antal organisationer som tillhandahåller molntjänster. ISAE 3000 | SOC 2-rapporten kan ge transparens och försäkran till olika intressenter.

ISAE 3000 | SOC 2-rapporten är unik

ISAE 3000 | SOC 2-kraven ger en tjänsteleverantör en viss grad av flexibilitet när det gäller att besluta hur man ska uppfylla Trust Services-kriterierna. Därför är ISAE 3000- och SOC 2-rapporter unika för varje enskild organisation. I grund och botten tittar tjänsteleverantören på ISAE 3000- och SOC 2-kraven, bestämmer vilka som är relevanta för deras organisation och definierar sedan sina egna kontroller för att uppfylla dessa krav. Tjänsteleverantören kan definiera ytterligare kontroller om det behövs och ignorera andra om de inte är relevanta för kärnverksamheten. ISAE 3000 | SOC 2-revisionen är revisorns bedömning av hur tjänsteleverantörens kontrollåtgärder uppfyller kraven.

ISAE 3000 | SOC 2 och ISO 27001

ISAE 3000 | SOC 2 och ISO 27001

ISAE 3402 | SOC 2

ISAE 3000 | SOC 2 är den internationella standarden för säkerhet och annan icke-finansiell information. ISAE 3402 tillämpas när det finns outsourcing som omfattar finansiell information som behandlas av serviceorganisationen. Om detta inte är fallet kan SOC 2 användas, till exempel när endast de allmänna IT-kontrollerna (GITC) ingår i SOC-rapportens omfattning. SOC 2-standarden innehåller inte bestämmelser om intern kontroll, till exempel COSO-ramverket. Därför är dessa komponenter inte obligatoriska i en SOC 2-rapport. I USA är standarderna för SOC 2-rapporter Trust Services Criteria och SSAE 18, som innehåller specifika krav för GITC i serviceorganisationer. Om en SOC 2-rapport upprättas i enlighet med Trust Services Criteria är dessa komponenter obligatoriska.

ISO 27001

Informationssäkerhet är viktigt för alla företag. ISO 27001-standarden är ett internationellt ramverk för informationssäkerhet. ISO 27001 kan användas för att fastställa informationssäkerhet. Risklane har över 10 års erfarenhet av att bygga upp strukturer för riskhantering, informationssäkerhet och processförbättring. Informationssäkerhet måste alltid ha ett mervärde som gör organisationen mer lätthanterlig, och ISO 27001 ger möjligheter till nya kunder.

Vilken passar bäst för er?

Båda standarderna är avsedda att ge era kunder trygghet. Det finns tre viktiga faktorer att ta hänsyn till när det gäller vad som passar era kunder bäst:

  • Har era kunder specifikt begärt eller gett mandat för en av de två standarderna?
  • Var finns era kunder?
  • Inom vilka sektorer är era kunder aktiva?

Kunderna föredrar den standard som de är mer bekanta med. Europeiska kunder tenderar att föredra ISO 27001, medan SOC 2 föredras i USA. Sektorn för finansiella tjänster föredrar SOC 2, vilket ligger i linje med deras fokus på operativ effektivitet och härrör från den redovisningspraxis som är tillämplig på deras verksamhet och rättsliga krav i vidare bemärkelse.

Det är bäst att diskutera tillvägagångssättet med befintliga kunder och/eller eventuella potentiella kunder. På så sätt blir ni inte överraskade och kan göra ett välgrundat val.