Hantering av leverantörer

(Underserviceorganisationer) i 4 steg.

I den här artikeln beskrivs fyra steg för att bättre övervaka revisionsprocessen och arbeta mer effektivt.

Steg 1. Finns det en underserviceorganisation?

De så kallade subserviceorganisationerna utgör en särskild klass av leverantörer. Dessa definieras som ”en serviceorganisation som används av en annan serviceorganisation för att utföra vissa av de tjänster som tillhandahålls till användarenheter och som sannolikt är relevanta för dessa användarenheters interna kontroll över den finansiella rapporteringen”.

Underserviceorganisationer kan förekomma i en SOC 1- eller SOC 2-rapport, och detta kan avgöra om det är en typ 1- eller typ 2-rapport. Följande leverantörer är typiska exempel på en underleverantörsorganisation:

  • Datacenter
  • Leverantörer av IT-tjänster
  • -programvara som plattformstjänst som tjänsteleverantör

Steg 2. Delad eller inkluderande rapportering?

När organisationen väl har kunnat identifiera om det finns en underserviceorganisation är det faktiskt bara toppen av isberget. För rapporten återstår fortfarande att besluta om carve-out-metoden eller inclusive-metoden ska användas.

Carve-out metod

Denna metod innebär att CSOCS kommer in i bilden. De kontroller som utförs av underleverantörsorganisationen ingår inte i rapporten. Endast en översikt över vad underserviceorganisationen betyder för serviceorganisationen och hur den interagerar med den i kombination med ditt system och de olika förväntade kontrollerna så att du kan uppnå kontrollmål för betrodda tjänster.

Inkluderande metod

Med denna metod inkluderas de relevanta aspekterna av underleverantörens verksamhet och relaterade interna kontrollåtgärder i underleverantören fullt ut i rapporten. Den inkluderande metoden kan också ses som en sammanslagning av separata SOC-rapporter från två enheter. Det som är viktigt är att samma arbetsnivå som används för serviceorganisationen också måste användas för underserviceorganisationen. Detta kan vara avskräckande och därför används den inkluderande metoden sällan i praktiken. Enheter av typen bror/syster, till exempel en operativ enhet som stöds av en separat IT-avdelning, båda från samma moderbolag, är ett exempel på när inclusive kan användas. Ett annat exempel skulle vara när underserviceorganisationen utför nästan alla sina aktiviteter med en icke-närstående serviceorganisation.

Steg 3. Visa hur din organisation hanterar de delade underorganisationerna

Nu måste du se till att om det finns en delad underserviceorganisation, dokumenterar organisationen väl hur den hanteras. När det gäller underleverantörsorganisationer räcker det inte med ett vanligt program för leverantörshantering där man utvärderar leverantörens tjänster, kvalitet, policy och rutiner (t.ex. IT-säkerhet) samt försäkringsskydd. Med en underserviceorganisation måste du som serviceorganisation vidta åtgärder för att avgöra om de typer av CSOCS som du förväntar dig att underserviceorganisationen ska ha faktiskt finns. Detta görs genom ett av de enklaste sätten är att få underserviceorganisationens SOC-rapport, förutsatt att de har en.

Om det inte finns någon SOC-rapport tillgänglig bör organisationen samla in information från ledningen för underleverantören, läsa andra interna rapporter som underleverantören kan producera och/eller genomföra besök på plats för att bedöma de CSOCS som krävs.

Steg 4. Förstå och följa kompletterande kontroller över användarenheter När vi kommer till det sista steget.

De flesta serviceorganisationer har förväntningar på sina användarenheter, som revisorer också kallar CUEC. CUEC står för ”Complementary User Entity Controls” (kompletterande kontroller av användarenheter). Underleverantörsorganisationen förväntar sig också att organisationen som användarenhet vidtar vissa typer av interna kontrollåtgärder. Nu är det sista steget att förstå och fastställa hur organisationen uppfyller dessa.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...