Организации все больше обращаются к аутсорсингу услуг для поддержки ключевых бизнес-процессов, чтобы сосредоточиться на достижении ключевых задач, снизить затраты и быстрее внедрить новый функционал приложений. Принимая во внимание растущий уровень глобальной конкуренции, новые угрозы, нормативные требования, а также ответственность руководства, в том числе и за процессы, находящиеся на аутсорсинге, организации все больше внимания уделяют мониторингу и управлению рисками, связанными с отношениями с их внешними поставщиками.

Эволюция аутсорсинговых моделей привела к тому, что вместо стандарта SAS70 были введены новые стандарты отчетов о средствах контроля в обслуживающих организациях (SOC1, SOC2, SOC3), призванные удовлетворить требования потребителей аутсорсинговых услуг к достоверности информации. 

Отчетность по SOC позволяет улучшить позиции обслуживающей организации на рынке и привлечь новых клиентов за счет повышения уверенности в эффективности внутренних контролей на стороне обслуживающей организации, а также прозрачности и надежности процессов, передаваемых ей на аутсорсинг. Наличие заключения о прохождении SOC-аттестации снижает количество и объем проверок поставщиков услуг внутренними и внешними аудиторами их клиентов. Кроме того, регулярное предоставление аудированного отчета о среде внутреннего контроля поставщика услуг является обязательным требованием многих крупных компаний.

SOC1: ISAE 3402/SSAE 16 представляет собой стандарт для отчетов по эффективности контролей в сервисных организациях.
SOC2 отчет охватывает все средства контроля, относящиеся к одному или нескольким доменам: безопасность (обязательно), доступность, конфиденциальность, целостность обработки данных
SOC3 отчеты являются «сокращенной» версией отчетов SOC2, предназначаются для свободного публичного распространения.