För närvarande arbetar fler människor hemifrån än någonsin tidigare, vilket medför många risker för organisationens säkerhet. Globala dataintrång ökar och kan potentiellt orsaka betydande konsekvenser för företag. Genom att upprätthålla säkerhetskontrollen kan organisationerna inte bara behålla kundernas förtroende utan också minska de ekonomiska förlusterna.

I takt med att organisationer strävar efter att kontinuerligt uppfylla kundernas krav och följa lagstadgade krav ökar behovet av att erhålla och upprätthålla flera ISO-certifieringar. En vanlig kombination som blir allt mer populär är ISO 9001 och ISO 27001.

Den 15 december 2014 avslutades övergångsperioden för att anta ramverket COSO 2013. Vilka är de möjligheter och risker som uppstår i samband med denna övergång? COSO Internal Control Integrated Framework (ICIF) 2013 är en omfattande uppdatering av COSO ICIF 1992-modellen.

Vem kan förvänta sig värde från ISAE 3000 | SOC 2 Assurance?

ISAE 3000 | SOC 2 är särskilt utformad för tjänsteleverantörer som lagrar kunddata i molnet. Detta innebär att ISAE 3000 | SOC 2-försäkran kan ge mervärde till nästan alla SaaS-företag, liksom till alla organisationer som använder molnet för att lagra kundinformation.

För att få en ISAE 3402-certifiering måste ni ha en beskrivning av er interna kontroll, även känd som en Service Organization Control Report (SOC).

Denna rapport är bestyrkt av en extern revisor. Revisorn intygar inte, utan tillhandahåller en assurance-rapport enligt ISAE 3402-standarden för er SOC. Det finns särskilda krav på innehållet i en sådan SOC- eller ISAE 3402-rapport. Hos Risklane beskriver vi er rapport enligt dessa krav. Vi kan sedan koppla ihop er med en extern revisor som kommer att certifiera er ISAE 3402.

För certifiering behöver er organisation en rapport som beskriver dess riskhantering och interna kontroll. Denna rapport kallas också Service Organization Control Report (SOC), en terminologi som härstammar från USA (AICPA). Om en SOC-rapport gäller outsourcad verksamhet kallas den SOC 1 (US) eller ISAE 3402-rapport. Om rapporten avser certifiering enligt en specifik standard (t.ex.

Från fullständig outsourcing av komplexa funktioner som IaaS, PaaS-tjänster eller komponenttillverkning till små kontrakt med lokala tjänster och leverantörer, är organisationer i olika sektorer och storlekar starkt beroende av externa serviceorganisationer.

SSAE18-standarden (AICPA) från USA omfattar två typer av rapporter; en Service Organization Control Report 1 (SOC 1) och en Service Organization Control Report 2 (SOC 2). Denna terminologi används i allt större utsträckning internationellt. En ISAE 3402-rapport är inom denna terminologi en SOC 1-rapport, en ISAE 3000-rapport är en SOC 2-rapport.

ISAE 3402-standarden är en internationellt erkänd revisionsstandard som utfärdats av International Auditing and Assurance Standards Board (IAASB). Revisorns granskning av en serviceorganisation är allmänt accepterad eftersom den utgör en grundlig genomgång av en serviceorganisations mål och aktiviteter för intern kontroll. Granskningsramen och tillhörande kontrollåtgärder beskrivs i system- och organisationsrapporten (SOC).

Stordriftsfördelar

Sedan den industriella revolutionen har organisationer funderat på hur de kan utnyttja sina konkurrensfördelar för att expandera marknader och öka vinsterna. Den dominerande modellen under 1800- och 1900-talen var den stora integrerade organisationen. Under 1950- och 1960-talen breddade företagen sina baser för att dra nytta av stordriftsfördelar.