Service Organization Control (SOC) -rapporter kan være enten en type 1 eller en type 2-rapport. En Type 1-rapport er ledelsens beskrivelse av en tjenesteorganisasjons system og en revisors rapport om denne beskrivelsen og om egnetheten til utformingen av kontroller. En type 2-rapport går et skritt videre, der tjenesterevisoren også rapporterer om effektiviteten til disse kontrollene. Forskjellene mellom rapportene er:
En Type 1-rapport beskriver prosedyrene og kontrollene som er installert, mens en Type 2-rapport gir bevis for hvordan disse kontrollene har blitt betjent over en periode.
En Type 1-rapport vitner om egnetheten til kontrollene som brukes, mens en Type 2-rapport inneholder en uttalelse om driftseffektiviteten til disse kontrollene over revisjonsperioden.
En Type 1-rapport beskriver prosedyrer og kontroller fra et bestemt tidspunkt, mens en Type 2-rapport dekker hvordan kontrollene har fungert i løpet av revisjonsperioden.
En revisor for et firma som bruker en tjenesteorganisasjon for å utføre visse operasjoner på dets vegne (for eksempel lønnsbehandling) vil vanligvis be om en av disse rapportene for å få en viss grad av sikkerhet med hensyn til effektiviteten av kontrollsystemet som er på plass av serviceorganisasjonen.
Begge rapportene kan hjelpe revisor med å identifisere og vurdere risikoen for vesentlig feilinformasjon, men en Type 1-rapport gir ikke bevis for kontrollens effektivitet. En type 2-rapport kan gi lite revisjonsbevis når det er liten overlapping mellom perioden som dekkes av rapporten og perioden som blir revidert.
