Разликата между отчетите SOC тип 1 и тип 2

Отчетите за контрол на организацията на обслужване (SOC) могат да бъдат или доклад от тип 1, или тип 2. Доклад от тип 1 е описание на ръководството на системата на обслужваща организация и доклад на одитора на услуги за това описание и за пригодността на дизайна на контролите. Доклад от тип 2 отива още една стъпка по-далеч, където одиторът на услугата отчита и оперативната ефективност на тези контроли. Разликите между докладите са:

  • Отчет от тип 1 описва инсталираните процедури и контроли, докато доклад от тип 2 предоставя доказателства за това как тези контроли са били експлоатирани за определен период от време.

  • Доклад от тип 1 свидетелства за годността на използваните контроли, докато доклад от тип 2 съдържа становище относно оперативната ефективност на тези контроли за периода на одита.

  • Доклад от тип 1 описва процедурите и контролите към определен момент от времето, докато доклад от тип 2 обхваща начина, по който контролите са действали през периода на одита.

Одитор на фирма, която използва сервизна организация за извършване на определени операции от нейно име (като обработка на заплати), обикновено ще поиска един от тези доклади, за да получи известна степен на сигурност относно ефикасността на въведената система за контрол от обслужващата организация.

И двата доклада могат да помогнат на одитора при идентифициране и оценка на риска от съществени отклонения, но доклад от тип 1 не предоставя доказателства относно оперативната ефективност на контролите. Доклад от тип 2 може да предложи малко одиторски доказателства, когато има малко припокриване между периода, обхванат от доклада, и периода, който се одитира.