SOC 1 vs SOC 2
- Assurance
SOC 1 vs SOC 2 – vilken rapport behöver ni?
När kunder, revisorer eller upphandlande organisationer efterfrågar en SOC-rapport uppstår ofta frågan:
“Ska vi ta fram SOC 1 eller SOC 2?”
Trots att rapporterna låter lika har de helt olika syften, fokusområden och målgrupper.
SOC 1 – kontroller kopplade till finansiell rapportering
SOC 1 är utformad för att bedöma kontroller som påverkar kunders finansiella rapportering. Den följer standarden ISAE 3402 (eller SSAE 18 i USA).
SOC 1 används när en organisation hanterar processer som kan påverka kunders bokslut, till exempel:
- lönehantering
- betalnings- och transaktionsflöden
- fakturering och ekonomiadministration
- redovisningstjänster
- shared service centers
SOC 1 svarar på frågan:
“Kan vi lita på att leverantörens processer är korrekta och inte påverkar vår finansiella rapportering negativt?”
SOC 2 – kontroller kopplade till informationssäkerhet och drift
SOC 2 bygger på Trust Services Criteria och fokuserar på:
- Security (obligatoriskt)
- Availability
- Processing Integrity
- Confidentiality
- Privacy
SOC 2 används för att visa att tjänsten hanterar information, risker och drift på ett säkert och kontrollerat sätt.
Vanligt för:
- SaaS-tjänster
- IT-tjänsteleverantörer
- molntjänster
- tekniska plattformar
- säkerhetskritiska tjänster
SOC 2 svarar på frågan:
“Kan vi lita på att tjänsten är säker, stabil och hanterar information korrekt?”
Område
SOC 1
Fokus
Finansiell rapportering
Standard
ISAE 3402
Vanliga mottagare
Kunder, externa revisorer
Branscher
Ekonomi, finans, lönehantering, transaktioner
Rapporttyp
Type I och Type II
SOC 2
Fokus
Informationssäkerhet och drift
Standard
Trust Services Criteria
Vanliga mottagare
Kunder, risk- och säkerhetsfunktioner
Branscher
SaaS, IT, cloud, teknik, kritiska tjänster
Rapporttyp
Type I och Type II
Vilken rapport behöver ni?
Välj SOC 1 om:
- ni hanterar kunders ekonomidata
- era processer påverkar kunders redovisning
- ni arbetar med transaktioner eller betalningar
- kunder efterfrågar ISAE 3402 eller SOC 1
- ni outsourcar finansiella funktioner
Välj SOC 2 om:
- ni erbjuder SaaS eller IT-baserade tjänster
- kunder efterfrågar säkerhet eller compliance
- ni hanterar känslig information
- ni måste visa mognad inom säkerhet, drift och integritet
Behöver man ibland båda?
Ja. Större leverantörer inom finans, lön och dokumenthantering behöver ibland både SOC 1 och SOC 2, särskilt om tjänsten:
- både påverkar finansiella flöden och
- hanterar känslig data
Sammanfattning
- SOC 1 = finansiell rapportering
- SOC 2 = informationssäkerhet, drift och risk
- Valet beror helt på vilken typ av risk kunden vill hantera