System & Organization Controls (SOC) och tredjepartsrapportering

Riskhantering vid outsourcing: SOC-rapportering och tredjepartsintyg.

Hur skapar du förtroende för din outsourcade verksamhet?

Allt fler använder sig idag av outsourcing för att öka lönsamhet och effektivitet. Ofta rör det sig om tjänster kopplade till it, redovisning och lönehantering, men även större delar av affärsprocesser kopplade till exempelvis logistikflöden blir idag utkontrakterade.

Det medför också ökad risk när data delas med tredjepart. Fler och fler kunder, affärspartners och lagstiftare förväntar sig att få ta del av detaljerad information om hur du hanterar känslig kunddata.

Tredjepartsrapportering med bland annat SOC hjälper till att skapa förtroende hos olika intressenter. Rätt sorts rapportering kan visa att du har kontrollsystem på plats, både vad gäller dina affärsprocesser och it-system, som skyddar finansiell information och känslig kunddata.

Många traditionella branscher har länge förlitat sig på SOC 1-rapportering (enligt standard ISAE 3402 och ISAE 3000) för att säkerställa att de har rätt kontrollsystem på plats. Nu utökas den kretsen till att omfatta fler branscher så som FinTech och teknikdrivna logistikföretag som också förlitar sig på SOC-rapportering i sina processer. SOC ger en stringent och återkommande process för rapportering som företagen kan göra en gång och sedan dela med samtliga intressenter.

SOC och olika typer av tredjepartsrapportering hjälper dig att:

  • öka förtroende och transparens både internt och externt
  • förbättra effektiviteten och samtidigt hålla nere kostnader för complience och tid som du lägger på granskning och administration av leverantörer
  • uppfylla avtal och hantera olika marknadsfrågor med flexibel och anpassad rapportering
  • proaktivt hantera risker i hela organisationen

Fråga din revisor om hur din rapportering av intern kontroll kan skapa förtroende hos dina intressenter!

Redo för tredjepartsrapportering med SOC?

Tre sätt att arbeta på

Oberoende granskning ökar förtroendet för era tjänster på marknaden och stärker ert kvalitetsarbete internt. Vi har gedigen erfarenhet av tredjepartsbestyrkande och vi arbetar för att ni ska spara tid, resurser och kunna kommunicera trovärdigt med marknaden. Vi lotsar er genom processen med kvalificerad rådgivning och levererar en rapport där vi bestyrker det ni vill kommunicera. Vi arbetar utifrån godkänd internationell standard för hur tredjepartsgranskning ska genomföras, ISAE 3402 och ISAE 3000.

Tre olika varianter av SOC-rapportering:

  • En SOC 1-analys fastställer förutsättningar och nuläge i förhållande till rapporteringskraven och ger rekommendationer till förbättringar och identifierar potentiella avvikelser.
  • En SOC 2-rapport som du kan dela med kunder och andra revisorer för att skapa transparens i ditt kontrollsystem.
  • En anpassad SOC-rapport (SOC 2+) motsvarar krav från specifika branscher eller kunder, på exempelvis NIST, HITRUST eller GDPR.

Hur kan SOC-rapportering hjälpa dig att stärka förtroendet hos dina intressenter?

Lyssna gärna på vår podcast i ämnet. 

 

Vilken SOC-rapport passar ditt företag?

PwC:s specialister kan hjälpa dig att välja den rapport och omfattning som bäst motsvarar företagets behov. Till att börja med vill du säkert avgränsa rapporten till ett antal specifika kontroller, vilka utgår från de viktigaste kundbehoven. Du kan alltid vid senare tillfälle utveckla din rapportering till att omfatta fler kontroller, allteftersom behovet uppstår.

Olika alternativ för SOC-rapportering och tredjepartsbestyrkanden:

Förtroendekapital och finansiell rapportering

En SOC 1-rapport fokuserar på outsourcade tjänster som kan påverka ett företags finansiella rapportering. Med en SOC 1-rapport från en oberoende tredjepart kan företaget effektivt kommunicera information om riskhantering och kontrollsystem till sina olika intressenter, vilket ökar både säkerhet och förtroende.

SOC 1-rapporter passar bra för exempelvis tjänsteföretag som hanterar finansiell information på uppdrag av sina kunder, såsom löneadministratörer och kreditförmedlare. Vanligtvis levereras SOC 1-rapporterna till dessa tjänsteorganisationers kunder och revisorer.

Internkontroller kompletterar den finansiella rapporteringen

En SOC 2-rapport kan spela en viktig roll vid kontroll av organisationen, leverantörshantering, intern bolagsstyrning, riskhantering samt regelefterlevnad.

SOC 2 bygger på vanliga nödvändiga säkerhetskriterier enligt en eller flera av AICPA-principerna och omfattar även, tillgänglighet, korrekt hantering, konfidentialitet och integritet.

SOC 2-rapporter passar exempelvis för företag med integrerade kundrelationer och för företag som erbjuder digitala tjänster.

Kraven ökar på fler branscher

Det är inte bara läkemedelsindustrin som har höga krav i form av lagstiftning och etiska regelverk. Allt fler företag måste ha ännu större transparens i sin rapportering när det kommer till branschspecifika regelverk och krav. Ett exempel:

HITRUST CSF
 är ett ramverk som omfattar många olika säkerhets- och integritetsrelaterade krav. Syftet med regelverket är att skydda känslig data. 

PwC är auktoriserade att med hjälp av HITRUST CSF utföra granskning avseende etablering och förbättring av kontrollsystem inför en certifiering.

Det här är bara ett exempel. Kontakta oss för diskussion om vilken rapportering som är relevant för just din bransch!

{{filterContent.facetedTitle}}

{{contentList.loadingText}}

Kontakta oss

Byron Levy

Byron Levy

Director, PwC Sverige

Tel 0723-53 05 75

Madeleine Edberg

Madeleine Edberg

Partner, PwC Sverige

Tel 0709-29 39 99