Vad är SOC 1-rapport och när behöver man det?
SOC 1 är en revisionsrapport som visar att din organisation har intern kontroll över finansiella processer. Men vad innebär SOC 1, när den används och hur den skiljer sig från SOC 2?
Vad är SOC 1?
SOC 1 (System and Organization Controls 1) är en internationellt erkänd revisionsrapport som visar hur ett företag kontrollerar och hanterar processer som påverkar kunders finansiella rapportering.
Det är en oberoende revisor som granskar kontroller enligt riktlinjer från AICPA (American Institute of Certified Public Accountants) och används ofta av tjänsteleverantörer som:
- hanterar kunders ekonomi, bokföring eller lön,
- driver finansiella system, molnlösningar eller betalningsplattformar,
- eller på annat sätt påverkar kunders bokslut och finansiella rapportering.
SOC 1 visar att dina interna kontroller fungerar och att dina kunder kan lita på att siffrorna de rapporterar är korrekta.
Syftet med SOC 1
Syftet med SOC 1 är att ge kunder och deras revisorer trygghet. När ett företag outsourcar en process som påverkar dess finansiella rapportering (t.ex. lönehantering eller redovisning) vill revisorn veta att tjänsteleverantören har tillförlitliga kontroller.
En SOC 1-rapport bekräftar detta. Den används ofta som revisionsbevis och kan delas direkt med kundens revisor för att undvika dubbelarbete eller manuell granskning.
Två typer av SOC 1-rapporter
Typ | Beskrivning | När den används |
Type I | Bedömer om kontrollerna är korrekt utformade vid en viss tidpunkt. | När man vill visa struktur och ramverk, används ofta vid en första revision. |
Type II | Testar hur väl kontrollerna fungerar över tid (vanligtvis 6–12 månader). | När man vill visa bevis på att kontrollerna faktiskt fungerar i praktiken över tid. |
De flesta företag börjar med en Type I och går vidare till Type II i takt med att processerna mognar.
När behövs SOC 1?
SOC 1 blir aktuell när din verksamhet:
- hanterar kunders bokföring, betalningar eller löner
- driver system som påverkar kunders redovisning
- utför tjänster inom finans, redovisning, factoring, försäkring eller revision
- eller när kundernas revisorer efterfrågar bevis på kontrollmiljön
Exempel:
En löneoutsourcingleverantör hanterar underlag som påverkar kundens finansiella rapportering. Om deras system eller rutiner fallerar kan kundens bokslut bli fel, därför bör kunden kräva en SOC 1-rapport som verifierar att kontrollerna fungerar för att minimera risk.
Vad omfattar en SOC 1-granskning?
En SOC 1-revision fokuserar på kontroller som påverkar finansiella processer. Därför är dessa väldigt specifika baserat på tjänsten som företaget erbjuder, men kontrollerna följer flödet av informationen. Utöver detta måste det även ingå kontroller över IT-miljön, där vanliga kontrollområden är:
- Behörighetsstyrning och åtkomstkontroller
- Databehandling och överföring
- Förändringshantering i system
- Avstämningar och rapportering
- Drift- och incidenthantering
Revisorn granskar att kontrollerna finns på plats, fungerar och dokumenteras korrekt.
SOC 1 vs SOC 2 – vad är skillnaden?
Det är lätt att blanda ihop SOC 1 och SOC 2, men skillnaden är vilken typ av information som granskas:
Område | SOC 1 | SOC 2 |
Syfte | Finansiell rapportering | Informationssäkerhet och regelefterlevnad |
Målgrupp | Kunden och kundernas revisorer | Kunder, partners och tillsynsmyndigheter |
Fokus | Intern kontroll över finansiella processer, IT-miljön relaterat till de finansiella processerna. | IT-säkerhet, tillgänglighet, integritet, sekretess och privacy. |
Standard | AICPA (baserad på ISAE 3402) | AICPA Trust Service Criteria (baserad på ISAE 3000) |
SOC 1 och ISAE 3402 – internationell koppling
SOC 1 bygger på samma principer som den europeiska standarden ISAE 3402.
De två rapporttyperna är i praktiken ekvivalenta:
- SOC 1 används främst i USA och internationella koncerner.
- ISAE 3402 används ofta inom EU och Sverige, men följer samma metodik.
Fördelar med att ha en SOC 1-rapport
En SOC 1-rapport är mer än bara en formell granskning, den är ett bevis på professionalism.
Fördelarna är många:
- Tydlighet för kunders revisorer – minskar dubbelarbete.
- Förbättrad intern kontroll – strukturerad styrning av processer.
- Ökat förtroende – både internt och externt.
- Starkare konkurrensfördel – särskilt vid upphandlingar inom finans och redovisning.
- Bättre riskhantering – identifierar svagheter innan de blir problem.
Vanliga frågor om SOC 1
Är SOC 1 en certifiering?
SOC 1 är en assurance-rapport, inte en certifiering. Den fungerar som ett kvitto på att en oberoende revisor har granskat organisationens kontroller, en SOC rapport ges därför ut årligen för att visa ens kontinuerliga efterlevnad.
Måste man ha SOC 1?
Det beror på dina kunder. Om ni hanterar processer som påverkar kunders finansiella rapportering (t.ex. redovisning, lön eller betalningar) kommer många kunder att kräva det.
Om ni istället arbetar mer med IT-säkerhet än ekonomi är SOC 2 ofta mer relevant.
Hur ofta måste man uppdatera rapporten?
En SOC 1 Type II täcker vanligtvis in 6-12 månader. Ofta vill en kundernas revisor att rapporten ska täcka in ett fullt kalender år. För att visa fortsatt efterlevnad bör ni genomföra en ny revision varje år.
Kan man ha både SOC 1 och SOC 2?
Ja. Många företag har både SOC 1 för finansiella processer och SOC 2 för informationssäkerhet. Det visar bred kompetens och ger trygghet till både kunder och internt.
Vem utfärdar en SOC 1-rapport?
Endast auktoriserade revisorer får utfärda SOC 1-rapporter. I Sverige kan detta ske via revisionsbyråer som även är ackrediterade för ISAE 3402.
SOC 1 är ett verktyg för förtroende mellan företag, revisorer och kunder. Det visar att din organisation har kontroll över sina finansiella processer, vilket minskar risker och underlättar revision för alla parter. I en värld där allt fler tjänster outsourcas blir SOC 1 en nyckel till tillit, transparens och effektivitet. Inte bara för ekonomiavdelningen, utan för hela verksamheten.