Organisaties staan voortdurend onder druk om processen te optimaliseren en kosten te besparen. Tegelijkertijd staan zij voor de uitdaging om nieuwe technologieën steeds sneller te implementeren. Vooral in de IT-omgeving valt de business case vaak heel voordelig uit voor het uitbesteden van het beheer van (delen van) de IT-infrastructuur.

Systemen en controles - Bij SOC-rapportage draait alles om controles. Een ISAE 3402 SOC 1 rapportage richt zich op financiële outsourcing, zoals asset management, SaaS-providers (financiële software), datacenters (opslag van financiële data). De SOC 2-rapportage is gericht op een bredere scope voor gebruikersorganisaties met aanvullende vereisten op het gebied van beveiliging, beschikbaarheid, integriteit van verwerking, vertrouwelijkheid en privacy.

The ISAE 3402 standard, is an internationally recognized auditing standard issued by the International Auditing and Assurance Standards Board (IAASB). A service organization's auditor's examination is widely accepted because it represents an in-depth audit of a service organization's control objectives and activities. The control framework and related controls are in detail included in the Systems and Organization Report (SOC).

The general and most common term for reporting on third-party risks by service organizations to user organizations is Systems and Organization Control Report or SOC-report. This term is originated by the American Institute of Certified Public Accountants (AICPA) as a replacement for the SAS70 framework.