Service Organization Control Report

Een rapportage over de controls van een service organisatie relevant voor financiele rapportage van een user organisatie wordt ook wel een Service Organization Control Report genoemd (SOC1). Een externe auditor verricht vervolgens een audit op dit rapport conform de ISAE3402-standaard of SSAE16-standaard (ten behoeve van bedrijven in de VS).

Soorten SOC1-rapportage

Er zijn twee soorten SOC1 rapporten; een Type 1- en een Type 2-rapportage. Een ISAE3402 Type 1-rapportage heeft betrekking op een tijdstip en is uitsluitend gericht op het bestaan van interne beheersingsmaatregelen. Een ISAE3402 Type 2-rapportage is gerricht op de rapportage over de effectieve werking voor een periode van minimaal zes maanden.

Gebruik ISAE3402-rapportage

Het gebruik van een SOC1-rapportage (ISAE3402-rapportage) is beperkt tot bestaande gebruikers. Een ISAE3402-rapportage kan bijvoorbeeld door een vermogensbeheerder gebruikt worden om te rapporteren over haar interne beheersing aan een institutionele beleggingsorganisatie of een credit management organisatie om te rapporteren aan een pensioenuitvoerder over het uitbestede credit management.

Voor meer informatie over de SOC rapportage zie onderstaande link:

http://www.aicpa.org/InterestAreas/InformationTechnology/Resources/TrustServices/DownloadableDocuments/10957-378%20SOC%20Whitepaper.pdf