Oppnå bedre styring og lavere kostnader med SOC-rapporter

14-02-2019

Enhver form for konkurranseutsetting av IT-tjenester, enten dere bruker en lokal tjenesteleverandør eller en global skyleverandør for hyperskalerte løsninger, kjennetegnes av følgende: Det er mulig å konkurranseutsette forretningsprosesser, men ikke eierskapet til virksomhetens risiko.

Derfor er selskaper som benytter seg av konkurranseutsetting, nødt til å sikre at tjenesteleverandørene opptrer i henhold til de regler, standarder og lover som virksomheten krever.

Tradisjonelt løses dette ved at selskapene innlemmer en klausul om «revisjonsrett» i kontrakten med tjenesteleverandørene. Denne retten utøves vanligvis en gang i året, når IT-revisorer besøker tjenesteleverandøren og inspisere konfigurasjonen, tjenestene som leveres, anleggene, infrastrukturen, driftsprosessene, systemstøtten og medarbeiderne.

Hva kan du så gjøre for å forsikre deg og revisoren din om at tjenestene leveres i henhold til sikkerhetskravene og holder en kvalitet som bidrar til redusert risiko?

Vi vil her se nærmere på tredjepartsrapportering, også kalt SOC-rapporter

  • ISAE3402/SOC1. Denne rapporten omfatter internkontroller som er relevante for finansiell rapportering og har som formål å kontrollere samsvar med lover og regler. Målgruppen for rapportene er kundens ledelse og revisorer.
  • SOC2. Denne rapporten tar for seg internkontroller knyttet til informasjonssikkerhet generelt, tilgjengelighet og konfidensialitet. Formålene med kontrollen på hvert av disse områdene er definert i standarden. Målgruppen er kundens ledelse, informasjonssikkerhetsansvarlige og kontrollfunksjoner.
  • SOC3. Dette er mindre detaljerte rapporter, vanligvis sammendrag av SOC2-rapporter. Siden rapportene går mindre i detalj, er de typisk allment tilgjengelige, for eksempel via tjenesteleverandørens nettsted.
  • SOC1 og SOC2 fås begge som type I og type II.


Type I er øyeblikksbilder som kun fokuserer på hvordan sikkerhetskontrollene er definert og implementert av tjenesteorganisasjonen på revisjonstidspunktet.

Type II-rapportene, derimot, evaluerer og attesterer både kontrollenes egnethet (at kontrollene er definert og implementert på en måte som er i tråd med formålet med kontrollen) og effektivitet (at kontrollene brukes konsekvent i tjenesteorganisasjonen). For å dokumentere dette siste punktet, tar revisor stikkprøver og innhenter beviser fra hele rapporteringsperioden, vanligvis ett kalenderår.

Hovedfordelene ved SOC-rapport

Når tjenesteleverandøren leverer en relevant SOC-rapport, oppnår dere en rekke fordeler:

  • Spar penger på egne revisjoner. Slike revisjoner vil ikke lenger være påkrevd, eller vil i det minste få et sterkt redusert omfang.
  • Se hele bildet. Siden rapportene er basert på eksempler fra hele rapporteringsperioden (tolv måneder), vil de dekke langt mer enn dere har mulighet til å evaluere i kundespesifikke revisjoner.
  • Dra veksler på rapportene i egne revisjoner og rapporter. Siden rapportene er basert på internasjonalt anerkjente standarder, kan virksomhetens revisorer enkelt dra nytte av dem.
  • Skaff dere innsikt i tjenesteleverandørens sikkerhetskontroller. Rapportene inneholder tjenesteleverandørens beskrivelse av kontrollmiljøet, -prosessene og de enkelte kontrollene.
  • Etterprøv kontrollenes effektivitet. Det vil sette dere i stand til å vurdere hvorvidt effektiviteten til tjenesteleverandørens regelmessige kontroller er tilfredsstillende, og hvor det eventuelt bør settes inn forbedringstiltak.
btn-top

Om Esten Hoel

Esten Hoel er leder for kvalitet og sikkerhet i Basefarm. Han har lang erfaring med IT, Telekom, prosjektledelse, prosessledelse og sikkerhet. Han har erfart begge sider av bordet, både som kunde og som leverandør.

De siste 13 årene har han jobbet for driftsleverandøren Basefarm, hvor han fikk et enkelt mandat: «Sett nerdene i system». I årene siden har han erfart hvordan kravene fra markedet og kunder har endret seg i takt med digitalisering, tjenesteutsetting og nå multi-sourcing i hybride økosystemer av tjenesteytere

 

 

btn-top

Ønsker du mer informasjon om SOC?

Fyll ut feltene, en av våre spesialister vil kontakte deg fortløpende:

btn-top