VendorGuard
← Ressurser

20. juni 2026 · 2 min lesetid

Slik leser du en ISAE 3402- eller SOC 2-rapport

En rapport på 150 sider er mest standardtekst. Verdien ligger i noen få avsnitt. Her er hvor du ser, hva du flagger, og hvorfor CUECs er delen folk overser.

ISAE 3402 SOC 2 leverandørgjennomgang

En leverandør sender deg en rapport på 150 sider. Det meste er standardtekst og metodebeskrivelser. Den reelle verdien ligger i noen få avsnitt, og hvis du vet hvor du skal se, tar gjennomgangen minutter i stedet for timer. Her er hva du leter etter.

Først: hvilken type rapport er det?

Sjekk om det er en Type I eller Type II, og hvilken periode den dekker. En Type II som tester kontrollene over en fersk periode er det du vil ha. En Type I, eller en utløpt periode, er i seg selv et funn. Er du usikker på forskjellen på de to standardene, har vi en egen sammenligning av ISAE 3402 og SOC 2.

Hva du ser etter

Sjekkliste for gjennomgang

  • Gyldighetsperiode: er rapporten fortsatt gyldig, og dekker Type II-perioden en relevant tidsperiode?
  • Scope: omfatter rapporten nettopp den tjenesten du bruker, ikke bare leverandøren generelt?
  • Revisors konklusjon: er den ren (unqualified), eller har den forbehold?
  • Avvik: hvilke testing exceptions eller deviations fant revisoren, og er de relevante for deg?
  • CUECs: hvilke komplementære brukerkontroller forutsetter rapporten at du har på plass selv?
  • Underleverandører: er kritiske underleverandører inkludert (inclusive) eller utelatt (carve-out)?

CUECs: delen folk overser

Komplementære brukerkontroller (CUECs) er sikkerhetstiltak rapporten forutsetter at du som kunde har på plass. Et typisk eksempel: leverandøren krypterer data i ro, men forutsetter at du administrerer tilgangen til kontoene som kan dekryptere dem. Gjør du ikke det, hjelper ikke leverandørens kryptering deg.

CUECs står ofte i en egen tabell mot slutten av rapporten, og det er nettopp der en rask leser slutter å lese. En enkelt oversett CUEC kan være kontrollen som mangler den dagen noe svikter, og den vil stå på deg, ikke på leverandøren.

Vanlige feil i lesningen

  • Å sjekke at rapporten finnes, i stedet for å lese den.
  • Å overse at scopet ikke dekker tjenesten du faktisk bruker.
  • Å hoppe over avvikene i revisors testing fordi konklusjonen ser ren ut.
  • Å ignorere hvordan underleverandører er behandlet (carve-out eller inclusive).

Når rapporten ikke holder

Hvis scopet er feil, perioden er utløpt, eller det finnes uadresserte avvik, er ikke rapporten et stempel du kan lene deg på. Da er neste steg konkrete oppfølgingsspørsmål til leverandøren, knyttet til det spesifikke funnet, ikke en generell forespørsel om “mer dokumentasjon”.

Hvorfor dette tar tid, og hva som hjelper

Å gjøre dette grundig for én rapport tar tid, og med mange leverandører blir gjennomgangen fort overfladisk. Det er her det skjærer seg: det er nettopp i de uleste avsnittene gapene gjemmer seg. VendorGuard leser hele rapporten på rundt 60 sekunder og løfter frem akkurat disse punktene, scope, gyldighet, avvik og CUECs, slik at gjennomgangen blir konsistent og faktisk skjer. Denne lesningen henger tett sammen med kravene i DORA om leverandørstyring.

Denne artikkelen er ment som generell veiledning, ikke juridisk rådgivning. Konkrete vurderinger bør gjøres sammen med kvalifisert compliance- og juridisk kompetanse.

VendorGuard analyserer leverandørdokumenter på sekunder.

Vi er i privat beta. Be om tidlig tilgang, så tar vi kontakt når en plass åpner seg.

Be om tidlig tilgang