SOC 2 / ISAE 3402
Oppnå bedre fordeler og lavere kostnader med SOC-rapporter.
La oss gjøre revisjonen for deg
Enhver form for konkurranseutsetting av IT-tjenester, enten dere bruker en lokal tjenesteleverandør eller en global skyleverandør for hyperskalerte løsninger, kjennetegnes av følgende: Det er mulig å konkurranseutsette forretningsprosesser, men ikke eierskapet til virksomhetens risiko.
Derfor er selskaper som benytter seg av konkurranseutsetting, nødt til å sikre at tjenesteleverandørene opptrer i henhold til de regler, standarder og lover som virksomheten krever.
Tradisjonelt løses dette ved at selskapene innlemmer en klausul om «revisjonsrett» i kontrakten med tjenesteleverandørene. Denne retten utøves vanligvis én gang i året, når IT-revisorer besøker tjenesteleverandøren og inspiserer konfigurasjonen, tjenestene som leveres, anleggene, infrastrukturen, driftsprosessene, systemstøtten og medarbeiderne.
Mer informasjon om tredjepartsrapportering (SOC-rapporter)
Hva kan du så gjøre for å forsikre deg og revisoren din om at tjenestene leveres i henhold til sikkerhetskravene og holder en kvalitet som bidrar til redusert risiko?
- ISAE3402/SOC1. Denne rapporten omfatter internkontroller som er relevante for finansiell rapportering og har som formål å kontrollere samsvar med lover og regler. Målgruppen for rapportene er kundens ledelse og revisorer.
- SOC2. Denne rapporten tar for seg internkontroller knyttet til informasjonssikkerhet generelt, tilgjengelighet og konfidensialitet. Formålene med kontrollen på hvert av disse områdene er definert i standarden. Målgruppen er kundens ledelse, informasjonssikkerhetsansvarlige og kontrollfunksjoner.
- SOC3. Dette er mindre detaljerte rapporter, vanligvis sammendrag av SOC2-rapporter. Siden rapportene går mindre i detalj, er de typisk allment tilgjengelige, for eksempel via tjenesteleverandørens nettsted.
- SOC1 og SOC2 fås begge som type I og type II.
Type I er øyeblikksbilder som kun fokuserer på hvordan sikkerhetskontrollene er definert og implementert av tjenesteorganisasjonen på revisjonstidspunktet.
Type II-rapportene, derimot, evaluerer og attesterer både kontrollenes egnethet (at kontrollene er definert og implementert på en måte som er i tråd med formålet med kontrollen) og effektivitet (at kontrollene brukes konsekvent i tjenesteorganisasjonen). For å dokumentere dette siste punktet, tar revisor stikkprøver og innhenter beviser fra hele rapporteringsperioden, vanligvis et kalenderår.
Hovedfordelene ved SOC-rapport
- Spar penger på egne revisjoner. Slike revisjoner vil ikke lenger være påkrevd, eller vil i det minste få et sterkt redusert omfang.
- Se hele bildet. Siden rapportene er basert på eksempler fra hele rapporteringsperioden (tolv måneder), vil de dekke langt mer enn dere har mulighet til å evaluere i kundespesifikke revisjoner.
- Dra veksler på rapportene i egne revisjoner og rapporter. Siden rapportene er basert på internasjonalt anerkjente standarder, kan virksomhetens revisorer enkelt dra nytte av dem.
- Skaff dere innsikt i tjenesteleverandørens sikkerhetskontroller. Rapportene inneholder tjenesteleverandørens beskrivelse av kontrollmiljøet –prosessene og de enkelte kontrollene.
- Etterprøv kontrollenes effektivitet. Det vil sette dere i stand til å vurdere hvorvidt effektiviteten til tjenesteleverandørens regelmessige kontroller er tilfredsstillende, og hvor det eventuelt bør settes inn forbedringstiltak.