Lindsey Intrieri|2020年6月2日
由于消费者在选择其软件或服务时变得越来越掌握,因此许多人现在要求提供独立服务组织控制(SOC)审计的证据。美国注册会计师协会(AICPA)建立了SOC标准,以裁定审查和报告服务组织控制的框架。
许多组织寻求SoC审核作为验证声音业务控制或合规性要求的一种方式。在尝试破译SOC以获得(1,2或3)和哪种类型(I或II)时,难度会出现。谁需要一个?他们什么时候需要?这是什么意思?本文将有助于浏览这些问题和疑虑。
SOC报告的类型:
有三(3)种SOC报告:
SOC 1报告
一种SOC 1(以前称为SAS 70或SSAE 16报告)是一个独立审计,审查了与财务报告和财务报表审计相关的服务组织的控件。
SoC 2报告
这SOC 2正在越来越受欢迎,并且正在迅速成为安全控制的独立评估的遗弃标准。它专为广泛的技术托管环境,软件应用程序和云计算实体而设计。
SOC 2报告与其相关的控制安全数据和系统的交叉五项信任服务原则(也称为“TSP”)和相关标准。TSP包括:安全性,可用性,机密性,处理完整性和隐私。服务组织确定哪些TSP(和标准)对其公司和客户最有意义,并构建独特的控制,以满足这些标准。审计师对公司的控制是否适合要求,提供了意见。
SOC 3报告
一种SOC 3.报告是一般使用报告,由服务组织公开提供。它展示了服务组织,其系统或托管环境的高级达到了TSPS.和相关的标准。SOC 3提供了最小的细节:系统描述以及审计员的意见。
SOC 1和2可以作为I类型或II型审计发生。一种I类型专注于服务组织描述的充分性以及它们设计的适用性,以满足指定的控制目标和标准时间点。类型II超越类型I,因为它还包括审计师的意见(基于测试)操作效率控件的规定的时间(通常不少于6个月)。
谁需要SOC报告?
许多服务组织通过完成对其控制的独立评估来寻求获得竞争优势(SOC审计)为了向他们的客户展示他们认真对待安全和控制。如果您的公司以某种技术和/或功能容量提供服务 - 工资核算处理,医疗索赔处理,云托管,人力资源服务,文档管理,工作流,存储等 - 您应该考虑完成SOC审核过程。许多审计员和监管机构还要求服务组织获得SOC审核。
实现SoC遵从的好处
将第三方提供的服务(如上面列出的公司)的公司或组织从其服务组织获取SOC报告。根据AICPA的说法,SOC审计的意图是为客户提供保证,他们的数据处于声音控制下。
- SOC 1报告是限制使用报告,旨在向客户提供有关服务组织的控制环境,这些控制环境可能与财务报告(ICFR)的内部控制相关,或向客户及其审计师提供信息,以便他们评估ICFR。因此,客户的审计员或控制器办公室通常使用。
- SOC 2报告也被认为是受限使用报告,由公司管理层、监管机构和客户用户实体使用。这些报告通常基于已演示的业务需求,仅根据请求提供。它们通常在保密协议(nda)下共享。
- 作为一般用途报告,SOC 3报告将公开向任何人提供。
什么时候需要SOC报告?
对于用户实体,建议在启动合同或服务水平协议(SLA)之前获取服务提供商的SOC报告。这可能是一个有用的指示,说明服务提供者如何确保您所依赖的数据的安全性和完整性。重要的是,用户实体要阅读和理解SOC报告,以充分理解服务组织已实现的控制。
SOC报告永不过期,但如果您是用户实体,则重要的是要注意到I型发出的日期和/或II型封面的时间,以确保服务组织的控件仍然相关到你的预期用途或期间。如果经过大量时间,客户可以从服务组织寻求“桥接信”或“缺口信”,说明自报告所涵盖的日期以来已经发生了对控制环境的变化。但是,这并没有提供任何独立的保证。作为服务组织,您应该考虑一年度的SOC审计,以证明您的用户实体您继续承诺维护实体控制。
虽然许多组织仍然是了解SOC的新功能以及它可以提供的内容,但许多其他组织开始不仅要求提供服务组织的报告,而且是根据那些(或不)的那些提出购买决策和技术选择。用户实体现在正在观看使用问题和混乱作为红旗的SoC请求的服务组织;在其他地方转移他们的业务。确定哪些SOC适合您,以及如何开始准备。
