Jeffrey Ziplow2012年5月9日|
1980年,美国注册会计师协会(AICPA)实施了关于审计标准的第70号审计标准,俗称SAS第70号,审查和评估服务组织的内部控制。SAS第70号迅速成为用户组织的标准,以确保其数据受到保护和管理以安全的方式管理。与此同时,服务组织正在使用SAS号码,作为向他们利用行业最佳实践的现有和潜在客户展示现有和潜在客户的方式。
自然而然,SAS第70号审计的死亡提出了几个问题和一些混乱。为了获得审计标准的替代品及其替代品的清晰度,它有助于服务提供商及其客户了解造成这种变化的场景后面的内容。
SAS70审核作为评估外部服务提供商的内部控制的主要标准,因为它们与萨班斯 - 奥克斯利(SOX)第404条,PCI等监管和合规标准的客户财务报告陈述的完整性相关。该标准被滥用作为“保证认证”,AICPA已断言不是预期的目的。在标准发生变化之前,许多提供商正在广告,他们达到了SAS70“认证”,以帮助向潜在客户销售其服务的完整性。
SAS70的误用、新采用的合规标准以及将国际审计和保证标准委员会纳入美国审计和认证标准的愿望结合在一起,导致了SAS70的消亡和SSAE16的诞生。从2011年6月15日起,新的认证标准——认证业务标准(SSAE)第16号(也称为服务组织控制1号,或SOC 1)取代了SAS70。除了SOC 1之外,还有两个额外的服务组织控制——SOC 2和SOC 3——它们关注AICPA采用的五个信任服务原则(安全性、可用性、处理完整性、机密性和隐私性)。
随着云相关服务的广泛使用,更多公司希望了解他们的服务提供商是如何保护和管理数据的。此信息可在SSAE16 / SOC 1报告的详细信息中提供,通常包含与通常体现广泛用户实体财务报表中的断言类型的控制目标。许多最终用户组织正在询问一个常见的问题来满足他们的数据安全问题:“你有SSAE16 / SOC1报告吗?”
不幸的是,如果答案是肯定的,客户通常会检查一个盒子并在手头上移动到下一个问题,而无需完全了解SSAE16 / SOC 1报告优惠。SOC1报告有两种变体:
- I型- 审查指定日期的控件设计
- II型-在规定的时间内对控制装置的设计和运行有效性进行全面的测试
在SSAE16 / SOC 1报告中应该在寻找什么是最终用户组织的?
在SOC1报告中有三个关键要素:
- 管理(在服务组织)提供一份书面断言包括:
- 在报告期间设计和实施的控件的描述
- 确认控制装置为实现控制目标而适当设计
- 肯定,控制在整个期间有效运行,以实现控制目标(仅限2型)
- 风险分析它识别了威胁控制目标的所有风险,并描述了为减轻这些风险而建立和实施的控制。
- 审计师的意见,这将在整个报告期间对控制的描述,而不仅仅是那些在一个时间点(适用于2型报告的组织)。
SOC1侧重于对财务报告的控制,而SOC 2和SOC 3都提供了应该在服务组织中到位的其他内部控制的指导。这些报告具体说明了与前面描述的五个信任服务原则和标准相关的控制。
SOC 2和SOC 3是否涵盖了每份报告中所有的信托服务原则?
不一定。服务组织只需要发布那些与他们的操作相关的原则和那些能够最好地满足他们的客户的需求和/或请求的原则的报告。服务组织确定要报告的五个信任服务原则中的哪一个。
服务组织是否可以进行多个SOC报告?
是的,一个服务组织可能会根据其客户的需求发布多个SOC报告。
我的组织的正确的服务组织控制(SOC)报告是什么?
如果服务组织执行外包服务,例如工资单处理,贷款服务,数据中心/网络监控服务或软件,则为服务(SAAS)影响另一家公司的财务报表(用户组织),您很可能会要求提供SSAE16 / SOC1类型II报告。如果用户组织公开交易,这尤其如此。
如果您的组织执行不影响另一家公司财务报表的外包服务,则SOC 2或SoC 3将是最好的方法。
SSAE16的频率是多少?
每年。金融审计师依靠SSAE16审计的同意和结果,因此,服务组织通常在财政年度结束前有SSAE16 / SOC1审计。
