Vad passar min organisation bäst?
SOC 1 eller SOC 2?
SSAE18-standarden (AICPA) från USA omfattar två typer av rapporter; en Service Organization Control Report 1 (SOC 1) och en Service Organization Control Report 2 (SOC 2). Denna terminologi används i allt större utsträckning internationellt. En ISAE 3402-rapport är inom denna terminologi en SOC 1-rapport, en ISAE 3000-rapport är en SOC 2-rapport.
En ISAE 3402-rapport är en rapport om hur tjänsteleverantören hanterar risker i de processer som är outsourcade. Outsourcing, och mer specifikt finansiella processer, utgör ramen för denna rapport. Ett alternativ till denna rapport är SOC 2-rapporten där outsourcing inte är det primära ramverket, utan snarare informationssäkerhet. Kriterierna för informationssäkerhet och integritet ingår i Trust Service Criteria. Kriterier relaterade till säkerhet, integritet, tillgänglighet och konfidentialitet. Dessutom finns en SOC 3-rapport.
Behöver jag en SOC 1?
En Service Organization Control 1 är en revision av interna kontroller med fokus på att säkra kunddata. SOC 1-revisioner utförs i enlighet med Statement on Standards for Attestation Engagements No. 16 (SSAE 16). En SOC 1 innehåller kontrollmål som används för intern kontroll över den finansiella rapporteringen. De finansiella rapporterna utgör således ramen för denna rapport. Detta innebär att alla processer är utformade för att säkerställa att alla uppgifter i de finansiella rapporterna är korrekta och fullständiga.
Med andra ord: om du behandlar eller är värd för data som är relaterade till en finansiell process, är SOC 1 tillämplig.
Behöver jag en SOC 2?
Om du behandlar eller är värd för data som inte påverkar dina kunders finansiella rapporter, är SOC 2 tillämpligt. I det här fallet är dina kunder främst intresserade av om du hanterar informationssäkerhet och integritet på rätt sätt.
I en SOC 2-rapport, som liknar en SOC 1-rapport, ingår åtgärder för intern kontroll.
Vilken typ av rapport är bäst för mig nu: SOC 1 eller SOC 2?
En viktig skillnad är att sekretess inte är obligatoriskt i en SOC 1 och i en SOC 2 baserat på Trust Service Criteria är det. Om du har kunder som faller inom båda kategorierna finns det en rimlig chans att du kommer att bli ombedd att tillhandahålla båda. Du kan avgöra om du behöver en SOC 1- eller SOC 2-rapport för att uppfylla behoven hos en mängd olika kunder. Risklane erbjuder ett unikt online-revisionsverktyg (ControlReports) som hjälper dig att integrera SOC 1- och SOC 2-revisionerna, vilket resulterar i två separata rapporter. Utan extra kostnad.
Om du vill ha mer information om effekterna av SOC 1 (ISAE 3402), SOC 2 (ISAE3000) för din organisation, vänligen kontakta Securance (+31) 030 2800888.