IT Allmän kontroll

Fler organisationer lägger ut IT eller andra processer på entreprenad. Denna outsourcing medför effektivitet men också risker. Är informationssäkerheten väl hanterad? Hur hanteras sekretess? ISAE 3402-standarden är standarden för tillförlitlig outsourcing och ger svar. Denna standard säkerställer att aspekter som riskhantering, informationssäkerhet, integritet, bedrägeribekämpning och kontinuitet kontrolleras. En ISAE 3402 | SOC 1-rapport beskriver hur risker hanteras. En servicerevisor kontrollerar sedan om detta verkligen sker. Vilka åtgärder behöver du vidta för att få en sådan rapport?

För det första behöver du beskriva organisationens riskhantering och interna kontrollåtgärder i en rapport. Dessa interna kontrollåtgärder kallas även för kontroller. Rapporten kallas Service Organization Control Report (SOC), en term från USA. Om SOC-rapporten gäller outsourcing av (finansiella) processer kallas denna rapport SOC 1- eller ISAE 3402-rapport. Om rapporten avser processer som inte påverkar de finansiella rapporterna (och baseras på till exempel Trust Service Principles) kallas rapporten för en SOC 2- eller ISAE 3000-rapport. Detta kan verka komplicerat, men man kan säga att så snart din organisation tillhandahåller tjänster som ”berör” din kunds finansiella rapporter, så gäller SOC 1, och om det inte finns några konsekvenser för de finansiella rapporterna, så gäller SOC 2.

IT allmän kontroll

Ingen finansiell information behandlas av serviceorganisationen. Om nätverket går sönder kan det dock påverka de finansiella rapporterna eftersom ERP-systemet körs på nätverket. Därför är IT General Controls (ITGCs) viktiga; IT General Controls (ITGCs) är de kontrollåtgärder som en organisation har implementerat för att säkerställa att IT-systemen är tillförlitliga och integrerade. Dessa allmänna IT-kontroller beskrivs i SOC 1-rapporten (ISAE 3402) för leverantören av hanterade servrar. Dessutom ingår en beskrivning av organisationen och en beskrivning av riskhanteringen så att kunden kan se dessa kontroller ur rätt perspektiv.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...