Rapoartele de control al organizației de servicii (SOC) pot fi fie un raport de tip 1, fie un raport de tip 2. Un raport de tip 1 este descrierea de către conducere a sistemului unei organizații de servicii și un raport al auditorului de servicii referitor la acea descriere și la adecvarea proiectării controalelor. Un raport de tip 2 face un pas mai departe, în care auditorul de servicii raportează, de asemenea, cu privire la eficacitatea operațională a acestor controale. Diferențele dintre rapoarte sunt:
Un raport de tip 1 descrie procedurile și controalele care au fost instalate, în timp ce un raport de tip 2 oferă dovezi despre modul în care acele controale au fost operate pe o perioadă de timp.
Un raport de tip 1 atestă adecvarea controalelor utilizate, în timp ce un raport de tip 2 conține o opinie cu privire la eficacitatea operațională a acestor controale pe perioada auditului.
Un raport de tip 1 descrie procedurile și controalele într-un anumit moment, în timp ce un raport de tip 2 acoperă modul în care controalele au funcționat în perioada de audit.
Un auditor al unei firme care folosește o organizație de servicii pentru a efectua anumite operațiuni în numele său (cum ar fi procesarea salarizării) va solicita de obicei unul dintre aceste rapoarte pentru a obține un anumit grad de asigurare cu privire la eficacitatea sistemului de controale pus în aplicare de către organizația de servicii.
Ambele rapoarte pot ajuta auditorul să identifice și să evalueze riscul de denaturare semnificativă, dar un raport de tip 1 nu oferă dovezi privind eficacitatea operațională a controalelor. Un raport de tip 2 poate oferi puține dovezi de audit atunci când există o suprapunere mică între perioada acoperită de raport și perioada de audit.
