Sestavy řízení servisní organizace (SOC) mohou být buď sestavy typu 1 nebo typu 2. Zpráva typu 1 je popisem managementu systému servisní organizace a zprávou auditora služby o tomto popisu a o vhodnosti návrhu kontrol. Zpráva typu 2 jde o krok dále, kde servisní auditor také podává zprávu o provozní efektivnosti těchto kontrol. Rozdíly mezi zprávami jsou:
Zpráva typu 1 popisuje postupy a ovládací prvky, které byly nainstalovány, zatímco zpráva typu 2 poskytuje důkazy o tom, jak byly tyto ovládací prvky po určitou dobu provozovány.
Zpráva typu 1 potvrzuje vhodnost použitých kontrol, zatímco zpráva typu 2 obsahuje výrok týkající se provozní účinnosti těchto kontrol během období auditu.
Zpráva typu 1 popisuje postupy a kontroly ke konkrétnímu časovému okamžiku, zatímco zpráva typu 2 popisuje, jak kontroly fungovaly během období auditu.
Auditor společnosti, která používá servisní organizaci k provádění určitých operací jejím jménem (například zpracování mezd), obvykle požádá o jednu z těchto zpráv, aby získal určitou míru jistoty ohledně účinnosti zavedeného systému kontrol. servisní organizací.
Obě zprávy mohou auditorovi pomoci při identifikaci a hodnocení rizika významné nesprávnosti, ale zpráva typu 1 neposkytuje důkazy týkající se provozní účinnosti kontrol. Zpráva typu 2 může nabídnout málo důkazních informací, pokud existuje malé překrývání mezi obdobím, na které se zpráva vztahuje, a obdobím, které je předmětem auditu.
