En SOC-revisjon, eller System and Organization Controls-revisjon, er en undersøkelse av en serviceorganisasjons kontroller og prosesser knyttet til sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern for dataene den behandler på vegne av sine kunder. Det finnes tre typer SOC-rapporter – SOC 1, SOC 2 og SOC 3. SOC 1-rapporter fokuserer på intern kontroll av finansiell rapportering, mens SOC 2- og SOC 3-rapporter er mer omfattende og dekker sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern.
SOC 1-revisjoner utføres i samsvar med Statement on Standards for Attestation Engagements (SSAE) No. 18, som er utstedt av Auditing Standards Board of the American Institute of Certified Public Accountants (AICPA). Disse revisjonene er først og fremst beregnet på serviceorganisasjoner som påvirker kundenes finansielle rapportering. SOC 1-rapporter brukes av serviceorganisasjoner for å demonstrere effektiviteten av den interne kontrollen over finansiell rapportering overfor kunder og revisorer.
SOC 2-revisjoner utføres derimot i samsvar med AICPAs AT-C avsnitt 205, som beskriver kriteriene for evaluering av kontrollene som er relevante for sikkerheten, tilgjengeligheten, behandlingsintegriteten, konfidensialiteten og personvernet i en serviceorganisasjons system. Disse revisjonene er mer omfattende og dekker et bredere spekter av kontroller sammenlignet med SOC 1-revisjoner. SOC 2-rapporter brukes ofte av teknologi- og skytjenesteleverandører for å forsikre kundene sine om sikkerheten og påliteligheten til tjenestene deres.
SOC 3-rapporter er også basert på de samme kriteriene som SOC 2-rapporter, men er beregnet på et bredere publikum. I motsetning til SOC 1- og SOC 2-rapporter er SOC 3-rapporter beregnet på offentlig distribusjon og kan brukes av tjenesteytende organisasjoner til å gi potensielle kunder og interessenter en oversikt over kontrollene deres på høyt nivå.
SOC-revisjoner er viktige for tjenesteytende organisasjoner for å demonstrere sin forpliktelse til sikkerhet, tilgjengelighet, behandlingsintegritet, konfidensialitet og personvern overfor sine kunder og interessenter. Ved å gjennomgå en SOC-revisjon og få en SOC-rapport kan serviceorganisasjoner forsikre kundene sine om at systemene og prosessene deres er utformet og drives på en effektiv måte for å dekke deres behov og beskytte dataene deres. I tillegg kan SOC-rapporter hjelpe serviceorganisasjoner med å bygge tillit hos kundene sine, differensiere seg i markedet og overholde lovpålagte krav.