Securance logo

SOC 1 vs SOC 2

  • Assurance
SOC 1 vs SOC 2

SOC 1 vs SOC 2 – vilken rapport behöver ni?

 

När kunder, revisorer eller upphandlande organisationer efterfrågar en SOC-rapport uppstår ofta frågan:
“Ska vi ta fram SOC 1 eller SOC 2?”

Trots att rapporterna låter lika har de helt olika syften, fokusområden och målgrupper. 

 

SOC 1 – kontroller kopplade till finansiell rapportering

SOC 1 är utformad för att bedöma kontroller som påverkar kunders finansiella rapportering. Den följer standarden ISAE 3402 (eller SSAE 18 i USA).

SOC 1 används när en organisation hanterar processer som kan påverka kunders bokslut, till exempel:

  • lönehantering
  • betalnings- och transaktionsflöden
  • fakturering och ekonomiadministration
  • redovisningstjänster
  • shared service centers

SOC 1 svarar på frågan:
“Kan vi lita på att leverantörens processer är korrekta och inte påverkar vår finansiella rapportering negativt?”

 

SOC 2 – kontroller kopplade till informationssäkerhet och drift

SOC 2 bygger på Trust Services Criteria och fokuserar på:

  • Security (obligatoriskt)
  • Availability
  • Processing Integrity
  • Confidentiality
  • Privacy

SOC 2 används för att visa att tjänsten hanterar information, risker och drift på ett säkert och kontrollerat sätt.

Vanligt för:

  • SaaS-tjänster
  • IT-tjänsteleverantörer
  • molntjänster
  • tekniska plattformar
  • säkerhetskritiska tjänster

SOC 2 svarar på frågan:
“Kan vi lita på att tjänsten är säker, stabil och hanterar information korrekt?”

 

Område

SOC 1

Fokus

Finansiell rapportering

Standard

ISAE 3402

Vanliga mottagare

Kunder, externa revisorer

Branscher

Ekonomi, finans, lönehantering, transaktioner

Rapporttyp

Type I och Type II

 

SOC 2

Fokus

Informationssäkerhet och drift

Standard

Trust Services Criteria

Vanliga mottagare

Kunder, risk- och säkerhetsfunktioner

Branscher

SaaS, IT, cloud, teknik, kritiska tjänster

Rapporttyp

Type I och Type II

 

Vilken rapport behöver ni? 

Välj SOC 1 om:
  • ni hanterar kunders ekonomidata
  • era processer påverkar kunders redovisning
  • ni arbetar med transaktioner eller betalningar
  • kunder efterfrågar ISAE 3402 eller SOC 1 
  • ni outsourcar finansiella funktioner
Välj SOC 2 om:
  • ni erbjuder SaaS eller IT-baserade tjänster
  • kunder efterfrågar säkerhet eller compliance
  • ni hanterar känslig information
  • ni måste visa mognad inom säkerhet, drift och integritet

 

Behöver man ibland båda?

Ja. Större leverantörer inom finans, lön och dokumenthantering behöver ibland både SOC 1 och SOC 2, särskilt om tjänsten:

  • både påverkar finansiella flöden och
  • hanterar känslig data

 

Sammanfattning

  • SOC 1 = finansiell rapportering
  • SOC 2 = informationssäkerhet, drift och risk
  • Valet beror helt på vilken typ av risk kunden vill hantera

 

Behöver ni hjälp att välja rätt rapport?

Securance hjälper organisationer att förstå kundkrav, analysera processer och välja rätt inriktning för revision.

 

Relaterade artiklar