I den här artikeln beskrivs fyra steg för att bättre övervaka revisionsprocessen och arbeta mer effektivt.

Steg 1: Finns det en underleverantör?

De så kallade underleverantörerna utgör en särskild klass av leverantörer. Dessa definieras som ”en serviceorganisation som används av en annan serviceorganisation för att utföra vissa av de tjänster som tillhandahålls till användarenheter och som sannolikt är relevanta för dessa användarenheters interna kontroll över den finansiella rapporteringen”.

Utrecht, 25 april 2019 – DMS-leverantören Expansion erhöll ISAE 3402 Type II-utlåtandet i januari 2019. Med hjälp av Securance får Expansions kunder en objektiv bekräftelse på att deras serviceprocesser är tillförlitliga. Avsluta Revisorer har utfört revisionen.

Som alla ISO-standarder genomgår ISO 9001 en systematisk granskning vart femte år för att avgöra om standarden fortfarande är relevant eller behöver uppdateras. Detta är nödvändigt för att säkerställa att standarden förblir relevant globalt och uppfyller användarnas behov.

De flesta företag tänker på SaaS-företag när de tänker på efterlevnad av ISAE 3000 |SOC 2. De flesta företag i resebranschen (SaaS eller inte) behöver dock samla in och lagra konsumentdata i viss utsträckning. Så om företaget hanterar en databas – stor eller liten – måste företaget implementera de senaste och mest effektiva cybersäkerhetsprotokollen.

Den allmänna termen för tredjepartsriskrapportering från serviceorganisationer till användarorganisationer är Systems and Organization Control Report eller SOC-rapport. Denna term kommer från American Institute of Certified Public Accountants (AICPA) som en ersättning för SAS70-ramverket.

Om du är en serviceorganisation och dina kunder anförtror dig deras data kan du behöva genomgå en SOC 2-revision för att sälja dina produkter. Dina kunder kan nu kräva en revisionsberättelse från dig, eller så kan branschregler kräva det. Du kan behöva tillhandahålla bevis på SOC 2-överensstämmelse för att visa att de uppgifter som anförtros dig är väl skyddade.

Organisationer får ofta frågor om säkerhetsstandarder från (potentiella) kunder; vilka är skillnaderna mellan en ISAE 3402 | SOC 1, ISAE 3000 | SOC 2 och en ISO 27001-revision? Vilken standard är mest tillämplig för vår verksamhet, ISAE eller ISO 27001? Vilka är för- och nackdelarna med ISAE jämfört med ISO 27001?

System och kontroller – SOC-rapporteringen kretsar kring kontroller. En ISAE 3402 | SOC 1-rapport fokuserar på finansiell outsourcing, inklusive kapitalförvaltning, SaaS-leverantörer (finansiell programvara), datacenter (lagring av finansiella data).

För att en organisation ska kunna uppnå sina mål måste den hantera och kontrollera de risker som hotar dessa mål. COSO har för detta ändamål definierat de olika delarna av ett internt kontrollsystem.

COSO-modellen illustrerar det direkta sambandet mellan:

Standarden ISO/IEC 9001 är den internationella standarden för kvalitetsstyrning. ISO 9001-standarden fokuserar på två viktiga aspekter: att uppfylla kundernas krav och att öka kundnöjdheten. För att uppnå detta specificerar ISO 9001-standarden flera specifika krav. Det finns många fördelar med att implementera denna standard.