SOC 2 / ISAE 3402

Oppnå bedre fordeler og lavere kostnader med SOC-rapporter.

La oss gjøre revisjonen for deg

Enhver form for konkurranseutsetting av IT-tjenester, enten dere bruker en lokal tjenesteleverandør eller en global skyleverandør for hyperskalerte løsninger, kjennetegnes av følgende: Det er mulig å konkurranseutsette forretningsprosesser, men ikke eierskapet til virksomhetens risiko.

Derfor er selskaper som benytter seg av konkurranseutsetting, nødt til å sikre at tjenesteleverandørene opptrer i henhold til de regler, standarder og lover som virksomheten krever.

Tradisjonelt løses dette ved at selskapene innlemmer en klausul om «revisjonsrett» i kontrakten med tjenesteleverandørene. Denne retten utøves vanligvis én gang i året, når IT-revisorer besøker tjenesteleverandøren og inspiserer konfigurasjonen, tjenestene som leveres, anleggene, infrastrukturen, driftsprosessene, systemstøtten og medarbeiderne.

Mer informasjon om tredjepartsrapportering (SOC-rapporter)

Hva kan du så gjøre for å forsikre deg og revisoren din om at tjenestene leveres i henhold til sikkerhetskravene og holder en kvalitet som bidrar til redusert risiko?

  • ISAE3402/SOC1. Denne rapporten omfatter internkontroller som er relevante for finansiell rapportering og har som formål å kontrollere samsvar med lover og regler. Målgruppen for rapportene er kundens ledelse og revisorer.
  • SOC2. Denne rapporten tar for seg internkontroller knyttet til informasjonssikkerhet generelt, tilgjengelighet og konfidensialitet. Formålene med kontrollen på hvert av disse områdene er definert i standarden. Målgruppen er kundens ledelse, informasjonssikkerhetsansvarlige og kontrollfunksjoner.
  • SOC3. Dette er mindre detaljerte rapporter, vanligvis sammendrag av SOC2-rapporter. Siden rapportene går mindre i detalj, er de typisk allment tilgjengelige, for eksempel via tjenesteleverandørens nettsted.
  • SOC1 og SOC2 fås begge som type I og type II.

Type I er øyeblikksbilder som kun fokuserer på hvordan sikkerhetskontrollene er definert og implementert av tjenesteorganisasjonen på revisjonstidspunktet.

Type II-rapportene, derimot, evaluerer og attesterer både kontrollenes egnethet (at kontrollene er definert og implementert på en måte som er i tråd med formålet med kontrollen) og effektivitet (at kontrollene brukes konsekvent i tjenesteorganisasjonen). For å dokumentere dette siste punktet, tar revisor stikkprøver og innhenter beviser fra hele rapporteringsperioden, vanligvis et kalenderår.

Hovedfordelene ved SOC-rapport

  • Spar penger på egne revisjoner. Slike revisjoner vil ikke lenger være påkrevd, eller vil i det minste få et sterkt redusert omfang.
  • Se hele bildet. Siden rapportene er basert på eksempler fra hele rapporteringsperioden (tolv måneder), vil de dekke langt mer enn dere har mulighet til å evaluere i kundespesifikke revisjoner.
  • Dra veksler på rapportene i egne revisjoner og rapporter. Siden rapportene er basert på internasjonalt anerkjente standarder, kan virksomhetens revisorer enkelt dra nytte av dem.
  • Skaff dere innsikt i tjenesteleverandørens sikkerhetskontroller. Rapportene inneholder tjenesteleverandørens beskrivelse av kontrollmiljøet –prosessene og de enkelte kontrollene.
  • Etterprøv kontrollenes effektivitet. Det vil sette dere i stand til å vurdere hvorvidt effektiviteten til tjenesteleverandørens regelmessige kontroller er tilfredsstillende, og hvor det eventuelt bør settes inn forbedringstiltak.