La diferència entre els informes SOC Tipus 1 i Tipus 2

Els informes de control de l'organització de serveis (SOC) poden ser un tipus 1 o un tipus 2. Un informe de tipus 1 és la descripció de la direcció del sistema d’una organització de serveis i un informe d’auditor de serveis sobre aquesta descripció i sobre la idoneïtat del disseny de controls. Un informe de tipus 2 fa un pas més, on l’auditor del servei també informa de l’eficàcia operativa d’aquests controls. Les diferències entre els informes són:

  • Un informe de tipus 1 descriu els procediments i controls que s’han instal·lat, mentre que un informe de tipus 2 proporciona evidències sobre com s’han operat aquests controls durant un període de temps.

  • Un informe de tipus 1 acredita la idoneïtat dels controls que s’utilitzen, mentre que un informe de tipus 2 conté una opinió sobre l’eficàcia operativa d’aquests controls durant el període d’auditoria.

  • Un informe de tipus 1 descriu procediments i controls a partir d’un moment concret, mentre que un informe de tipus 2 descriu el funcionament dels controls durant el període d’auditoria.

Un auditor d’una empresa que utilitza una organització de serveis per dur a terme determinades operacions en nom seu (com ara el processament de nòmines) sol·licitarà un d’aquests informes per obtenir cert grau de seguretat quant a l’eficàcia del sistema de controls establert per part de l’organització del servei.

Tots dos informes poden ajudar l'auditor a identificar i avaluar el risc de desinformació material, però un informe de tipus 1 no proporciona proves sobre l'eficàcia operativa dels controls. Un informe de tipus 2 pot oferir poques proves d’auditoria quan hi ha poca superposició entre el període cobert per l’informe i el període que s’està auditant.


$config[zx-auto] not found$config[zx-overlay] not found