Vad är ISAE 3402 | SOC 1?

ISAE 3402 är standarden för outsourcing. För att bli certifierad måste en organisation ha en SOC-rapport (Service Organization Control). En SOC-rapport är en rapport som innehåller en beskrivning av riskhanteringssystemet. Denna rapport granskas sedan årligen av en servicerevisor. En organisation som tillhandahåller tjänster kallas för en serviceorganisation. Genom en ISAE 3402-rapport tillhandahåller en serviceorganisation ansvarsskyldighet till en annan organisation (en användarorganisation) avseende de processer som utförs i servicenivåavtalet (SLA) och kontrollen över dessa processer. Standarden efterträdde SAS 70-standarden och infördes 2011.

ISAE 3402 och outsourcing

Organisationer outsourcar i allt högre grad, särskilt inom IT-området. Organisationer som lägger ut verksamhet på entreprenad vill ha insikt i informationssäkerhet, bedrägeribekämpning och riskhantering i allmänhet. Detta är särskilt viktigt när allt fler viktiga affärsprocesser läggs ut på entreprenad, vilket gör det nödvändigt att förstå vem som har tillgång till information och om det finns tillräcklig åtskillnad av arbetsuppgifter för att förhindra bedrägerier. En ISAE 3402-rapport ger denna insikt.

Rapportera innehåll

Utöver den allmänna översikten måste rapporten innehålla processer som potentiellt kan påverka de finansiella rapporterna (finansiella processer). Detta omfattar även IT-processer, så kallade General IT Controls. Dessutom kan en ISAE 3402-rapport ge en försäkran om att outsourcade processer utförs i enlighet med det överenskomna SLA. SOC-rapporten består av en allmän del baserad på COSO 2013-standarden och en kontrollmatris. Läs mer om rapportens innehåll och de två typerna av rapporter: ISAE 3402 Typ I och Typ II.

Exempel på outsourcing

En pensionsfond lägger ut kapitalförvaltningen på en kapitalförvaltare. Pensionsstiftelser måste följa pensionslagen (PW). Enligt pensionslagen ska pensionsstiftelsen visa att de utlagda processerna kontrolleras. I det här fallet är pensionsstiftelsen användarorganisationen och kapitalförvaltaren serviceorganisationen. Avtalen mellan pensionsstiftelsen och kapitalförvaltaren dokumenteras i kapitalförvaltningsavtalet och eventuellt i ett SLA. Därför begär pensionsstiftelsen en ISAE 3402-rapport från serviceorganisationen. Med denna rapport visar pensionsfonden att de outsourcade processerna är ”under kontroll” och att den följer pensionslagen för detta outsourcingavtal. I en sådan situation vill pensionsfonden (användarorganisationen) ha insikt i:

  • Om investeringar behandlas korrekt och fullständigt för de finansiella rapporterna
  • Om kapitalförvaltningen bedrivs i enlighet med lagar och förordningar
  • Om det finns tillräckliga skyddsåtgärder mot bedrägeri
  • Om säkerheten är adekvat implementerad hos kapitalförvaltaren
  • Huruvida specifika krav på efterlevnad som ingår i pensionslagen är uppfyllda

Pensionsstiftelsen kommer att kräva att kapitalförvaltaren inkluderar ovanstående ämnen inom ramen för ISAE 3402-rapporten. Pensionsstiftelsens revisor kommer att ta del av kapitalförvaltarens ISAE 3402-rapport som en del av revisionen av pensionsstiftelsens årsbokslut. Revisorn behöver inte separat testa åtgärder hos kapitalförvaltaren, eftersom detta redan har rapporterats av servicerevisorn.

Mervärde

Det främsta mervärdet för en användarorganisation är att den, baserat på Service Organization Control-rapporten, kan avgöra om informationssäkerheten eller åtgärderna för att förebygga bedrägerier är tillräckliga. Detta är också viktig information för användarorganisationens revisor. Användarorganisationens revisor kan bedöma om åtgärderna hos serviceorganisationen är tillräckligt utformade inom ramen för användarorganisationens bokslutsgranskning. Därutöver har en (redovisad) annan revisor bedömt om dessa mått existerar (Typ I) och har fungerat effektivt (Typ II). Revisorn behöver då inte utföra separata kontroller hos serviceorganisationen.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...