يمكن أن تكون تقارير التحكم في مؤسسة الخدمة (SOC) إما من النوع 1 أو النوع 2. التقرير من النوع 1 هو وصف الإدارة لنظام مؤسسة الخدمة وتقرير مدقق الخدمة حول هذا الوصف ومدى ملاءمة تصميم عناصر التحكم. يخطو تقرير النوع 2 خطوة إلى الأمام ، حيث يقوم مدقق الخدمة أيضًا بالإبلاغ عن الفعالية التشغيلية لتلك الضوابط. الاختلافات بين التقارير هي:
يصف تقرير النوع 1 الإجراءات وعناصر التحكم التي تم تثبيتها ، بينما يقدم تقرير النوع 2 دليلًا حول كيفية تشغيل عناصر التحكم هذه على مدار فترة زمنية.
يشهد تقرير النوع 1 على ملاءمة عناصر التحكم المستخدمة ، بينما يحتوي تقرير النوع 2 على رأي بشأن الفعالية التشغيلية لتلك الضوابط خلال فترة المراجعة.
يصف تقرير النوع 1 الإجراءات والضوابط اعتبارًا من نقطة زمنية محددة ، بينما يغطي تقرير النوع 2 كيفية عمل عناصر التحكم خلال فترة المراجعة.
عادةً ما يطلب مدقق شركة تستخدم مؤسسة خدمية لإجراء عمليات معينة نيابة عنها (مثل معالجة كشوف المرتبات) أحد هذه التقارير من أجل الحصول على درجة معينة من التأكيد فيما يتعلق بفعالية نظام الضوابط المطبق من قبل منظمة الخدمة.
يمكن أن يساعد كلا التقريرين المدقق في تحديد وتقييم مخاطر التحريف الجوهري ، لكن التقرير من النوع 1 لا يقدم دليلاً بشأن الفعالية التشغيلية للضوابط. قد يقدم تقرير النوع 2 القليل من أدلة التدقيق عندما يكون هناك القليل من التداخل بين الفترة التي يغطيها التقرير والفترة التي يتم تدقيقها.
