Hantering av leverantörer

(underleverantörer) i 4 steg.

I den här artikeln beskrivs fyra steg för att bättre övervaka revisionsprocessen och arbeta mer effektivt.

Steg 1: Finns det en underleverantör?

De så kallade underleverantörerna utgör en särskild klass av leverantörer. Dessa definieras som ”en serviceorganisation som används av en annan serviceorganisation för att utföra vissa av de tjänster som tillhandahålls till användarenheter och som sannolikt är relevanta för dessa användarenheters interna kontroll över den finansiella rapporteringen”.

Underleverantörer kan förekomma i en SOC 1- eller SOC 2-rapport, och detta kan avgöra om det är en Type 1- eller Type 2-rapport. Följande leverantörer är typiska exempel på en underleverantörsorganisation:

• Datacenter
• Leverantörer av IT-tjänster
• Leverantörer av Software as a Service (SaaS) eller Platform as a Service (PaaS)

Steg 2: Delad eller inkluderande rapportering?

När organisationen väl har kunnat identifiera om det finns en underleverantör är det faktiskt bara toppen av isberget. För rapporten återstår fortfarande att besluta om carve-out-metoden eller inclusive-metoden ska användas.

Carve-out-metod

Denna metod innebär att CSOCS kommer in i bilden. De kontroller som utförs av underleverantörsorganisationen ingår inte i rapporten. Endast en översikt över vad underleverantörsorganisationen betyder för serviceorganisationen, hur den interagerar med den i kombination med ert system, samt de olika förväntade kontrollerna som krävs för att uppnå kontrollmål för betrodda tjänster.

Inclusive-metod

Med denna metod inkluderas de relevanta aspekterna av underleverantörens verksamhet och relaterade interna kontrollåtgärder i underleverantören fullt ut i rapporten. Inclusive-metoden kan också ses som en sammanslagning av separata SOC-rapporter från två enheter. Det som är viktigt är att samma arbetsnivå som används för serviceorganisationen också måste användas för underleverantörsorganisationen. Detta kan vara avskräckande och därför används inclusive-metoden sällan i praktiken. Enheter av typen bror/syster, till exempel en operativ enhet som stöds av en separat IT-avdelning, båda från samma moderbolag, är ett exempel på när inclusive kan användas. Ett annat exempel skulle vara när underleverantörsorganisationen utför nästan alla sina aktiviteter med en icke-närstående serviceorganisation.

Steg 3: Visa hur er organisation hanterar de delade underleverantörerna

Nu måste ni dokumenterar hanteringen av organisationen väl om det finns en delad underleverantörsorganisation. När det gäller underleverantörsorganisationer räcker det inte med ett vanligt program för leverantörshantering där man utvärderar leverantörens tjänster, kvalitet, policy och rutiner (t.ex. IT-säkerhet) samt försäkringsskydd. Med en underleverantörsorganisation måste ni som serviceorganisation vidta åtgärder för att avgöra om de typer av CSOCS som ni förväntar er att underserviceorganisationen ska ha faktiskt finns. Detta görs genom ett av de enklaste sätten är att få underleverantörsorganisationens SOC-rapport, förutsatt att de har en.

Om de inte har någon SOC-rapport bör organisationen samla in information från underleverantörens ledning, läsa andra interna rapporter som underleverantören kan producera och/eller genomföra besök på plats för att bedöma de CSOCS som krävs.

Steg 4: Förstå och följa kompletterande kontroller över användarenheter – det sista steget

De flesta serviceorganisationer har förväntningar på sina användarenheter, som revisorer också kallar CUEC. CUEC står för ”Complementary User Entity Controls” (kompletterande kontroller av användarenheter). Underleverantörsorganisationen förväntar sig också att organisationen som användarenhet vidtar vissa typer av interna kontrollåtgärder. Det sista steget är nu att förstå och fastställa hur organisationen uppfyller dessa krav.