系统和组织控制(SOC)审核

如果您有兴趣与明升体育app下载团队合作获得SOC审计, 请填写明升体育app下载联系表格. 我们会尽快安排团队成员与您联系.

越来越多的服务提供商认识到获得系统和组织控制(SOC)报告的重要性. SOC reports provide independent assurance that your service organization has the 正确的 控制 in place to address the risks related to 安全 and business.

美国注册会计师协会(AICPA), SOC报告是对服务组织(SO)控制系统的彻底审计, 流程和政策). 服务提供商认识到,SOC报告可能是赢得或失去客户的关键.

 

网络研讨会:我的SOC描述中应该包含什么?

LBMC’s Richard Beard shares an overview of SOC system descriptions and what should be included in an organization’s SOC 1 and SOC 2 reports.

为您的组织发现正确的SOC报告

着手SOC审计不适合胆小的人. 这不应该掉以轻心,因为它需要关注细节、良好的资源和时间. 取决于您的准备程度和报告类型, 这个过程可能需要几个月到一年甚至更长时间 从开始到结束,为新组织的过程. 成熟的组织可以期望更短的时间——假设他们已经有必要的控制, 流程和技术到位.

The creation of SOC audits provide three report options developed for service organizations to respond to demands for uniform reporting and review—expanding service organizations’ ability to report on financial 控制, 非财务管制及, SOC 3, 成为经过认证的可信系统服务组织.

注册会计师执行 SSAE 18认证 向服务机构的客户及其审核员提供保证,使其确信, 适当和有效的控制措施.

  • 第一类审计 考虑控件在特定时间点上的设计有效性
  • 第二类审计 在特定时期内检查控制的设计和运行效果, 通常是6到12个月.

SOC业务的类型是什么?

  • SOC 1-报告服务机构内部控制的有效性,因为它们与财务报告有关.
  • SOC 2-服务机构的信任服务标准-安全报告, 可用性, 处理完整性, 保密, 和隐私. 这些标准引用了安全性, 可用性, 以及组织系统的处理完整性以及这些系统处理的数据的机密性和隐私性. 安全 requirement is al道路s included; however, 其他四个标准是可选的,并且基于您的特定组织.
  • SOC 3-报告服务机构的信托服务标准, 不像SOC 2, 但是可以公开分发.

虽然SOC 3评估通常不是合同义务, 它为组织提供了公布其安全工作的选项. SOC 1和SOC 2评估是为组织的当前客户验证安全性, 而SOC 3评估可以分发给任何人(甚至可以在网站上公布). SOC 3评估的准备和完成反映了SOC 2评估的过程, 但它包括不同的报告要求. SOC 2评估将包括审核员对控制和结果的测试,而SOC 3则不包括.

SOC 1、SOC 2和SOC 3业务解决了当今的环境:

  • 需要更大的国际一致性
  • 解决了云计算、移动和虚拟化等新技术
  • 要求得到更广泛认可和理解的报告选择

我们为全国各地的客户提供SOC审计,并在我们提供证明工作的州保持适当的执照. 结果是, 我们拥有深入的行业知识,可以帮助各个行业的服务提供商, 包括医疗保健和索赔处理, 金融服务, 云服务提供商, 以及商业整理和托管提供商.

哪种SOC报告适合您? (SOC 1, SOC 2或SOC 3)

SOC报告帮助您的企业保留和吸引新客户. Every business that shares critical data with a service provider wants to be sure that the business partner is doing all it can to protect its vital information assets. 你怎么证明你是?

Will the report be 使用 by your 客户 and their auditors to plan and perform an audit or integrated audit of your customer’s financial statements?
如果你的回答是肯定的,你需要一个 SOC 1.

您的客户将使用该报告作为他们遵守萨班斯-奥克斯利法案或类似法律/法规的一部分吗?
如果你的回答是肯定的,你需要一个 SOC 1.

您的客户或涉众是否会使用该报告来获得对服务组织IT系统的信心和信任?
如果你的回答是肯定的,你需要一个 SOC 2或3.

您是否需要将报告提供给非客户?
如果你的回答是肯定的,你需要一个 SOC 3.

Do your 客户 have the need for and the ability to understand the details of the 处理 and 控制 at a service organization, 服务审计员执行的测试和测试结果?
如果你的回答是肯定的,你需要一个 SOC 2. 然而,如果你的回答是否定的,你需要一个 SOC 3.

SOC 1审计

SOC 1要求管理层提供其系统的书面描述,并断言系统描述是公平呈现的, 控制目标设计合理,运行有效, 并确定他们用来做出这些断言的标准.

SOC 1审计执行团队

如果您对SOC 1审计的更多信息感兴趣,请联系保罗和雅各.

什么是SOC 1®报告?

SOC 1是一份关于SO控制的报告,与用户实体对财务报告的内部控制相关. 本报告旨在满足双方的需求:

  1. 使用服务组织的实体(用户实体)
  2. 审计用户实体财务报表的注册会计师(审计用户)

SOC 1帮助读者评估服务组织对用户实体财务报表的控制效果.

需要SOC 1报告的公司示例.

  • 外包医疗索赔处理功能的健康保险公司
  • 一种员工福利计划,将职能外包给银行,由银行作为资产的保管人, 保持帐目记录, 分配投资收益和/或付款
  • Any comp任何 that utilizes packaged software applications that enables 客户 to process financial and operational transactions (Application service provider or “ASP”)

当涉及到SOC 1报告时,有两种选择-类型1和类型2.

第一类报告是一个时间点评估,评估:

  • 管理层对服务机构体系描述的公平性(1).e.,系统描述的准确性)
  • 控制设计是否适合实现描述中包含的控制目标(截至指定日期)

第二类报告涵盖一段时间,通常为6至12个月,并评估:

  • 管理层对服务机构系统描述的公平性
  • The suitability of the 设计 of the 控制 to achieve the control objectives included in the description (throughout the specified period)
  • The 操作 effectiveness of the 控制 to achieve the control objectives included in the description (throughout the specified period)

服务审计员将其意见与SOC 1报告一起发布, 分发的资料,只供民政事务处的管理人员使用, 用户实体, 用户审核员.

SOC 2报告和SOC 3报告之间有一个关键的区别. That difference is that a SOC 2 report contains a detailed description of the service auditor’s tests of 控制 and results of those tests as well as the service auditor’s opinion on the description of the service organization’s system and a SOC 3 report can be distributed freely while a SOC 2 is meant for a service organization’s 客户.

SOC 2业务

SOC 2业务使用TSC以及AT Section 101中的要求和指导, 证明活动, ssae (AICPA), 专业标准, 卷. 1). SOC 2报告类似于SOC 1报告. 可以出具类型1或类型2的报告,该报告提供服务组织系统的描述. 对于二类报告, 它还包括服务审计员执行的测试和测试结果的说明.

SOC 2审计执行团队

如果您对SOC 2或SOC 3审计的更多信息感兴趣,请联系画了和罗宾.

什么是SOC 2®报告?

SOC 2是与安全相关的SO控制的报告, 可用性, 处理完整性, 保密, 与隐私保持一致 美国注册会计师协会信托服务准则(TSC). 而SOC 1报告则处理服务组织对金融交易的影响, SOC 2报告解决了与服务组织及其系统交互产生的风险.

The report is intended to meet the needs of a broad range of users that require information and assurance about the SO’s 控制 as they relate to:

  • 安全, 可用性, 以及系统处理用户数据的完整性,
  • 这些系统处理的信息的保密性和隐私性.

以下是一些可能需要SOC 2报告的公司的例子:

  • 提供医疗服务, 雇主, and third-party administrators and insured parties of 雇主 with systems that enable medical records and related health insurance claims to be processed 准确的ly, 安全, 和秘密
  • 管理, 操作, 维护用户实体的IT数据中心, 基础设施, 以及支持IT活动的应用系统和相关功能, 比如网络, 生产, 安全, 环境控制活动
  • 管理用户实体对网络和计算系统的访问(例如, 授予对系统的访问权限并阻止, 检测, 和减轻, 系统入侵)

与SOC 1报告一样,该业务有两种报告类型——类型1和类型2.

SOC 2报告的使用通常仅限于那些对服务组织有足够知识和理解的人, 它提供的服务, 以及用来提供这些服务的系统.

如何准备SOC 2审核

准备SOC 2审核有四个主要步骤. (你甚至可以从今天开始做第一个.)

1. 找一家信誉良好的会计师事务所.

“等一下。. 我以为SOC 2关注的是信息安全. 你为什么要我去找会计师事务所?问得好. 美国注册会计师协会(AICPA)开发了SOC 2框架, 所以你的审计师必须是一家会计师事务所,才能出具SOC 2报告. 从技术上讲, 任何 注册会计师事务所可以出具. 但是,并不是所有的会计师事务所都能做到这一点 正确的 道路. 因为SOC 2特别关注安全性, 你需要一家了解安全以及美国注册会计师协会指导方针的公司. 因此,在这种情况下,一家“信誉良好”的注册会计师事务所应该尽可能多地满足以下条件:

  • 你和他们有信任的关系.
  • 他们有大量的信息安全实践.
  • 他们通过定期围绕相关信息安全主题创建内容来展示信息安全思想领导力.
  • 他们拥有美国注册会计师协会的网络安全咨询服务证书.
  • 他们在SOC 2报告方面有丰富的经验.

2. 与公司合作,加深对SOC 2的理解.

安全

正式的文本
“信息和系统受到保护,防止未经授权的访问, 未经授权披露资料, 以及可能影响可用性的系统损坏, 完整性, 保密, 以及信息或系统的隐私,并影响实体实现其目标的能力.”

翻译
信息和系统是否得到适当的保护? 此要求包含在每个SOC 2评估中,并且不是可选的.

可用性

正式的文本
“有资料和系统可供操作和使用,以达到实体的目标.”

翻译
信息和系统是否适当可用?

处理完整性

正式的文本
系统处理完成, 有效的, 准确的, 及时的, 并被授权去实现实体的目标.”

翻译
您的系统是否正确地处理了信息?

保密

正式的文本
“被指定为机密的资料受到保护,以达到实体的目标.”

翻译
机密信息是否得到充分保护?

隐私

正式的文本
“个人信息被收集, 使用, 保留, 披露, 并倾向于实现实体的目标.”

翻译
个人资料是否得到充分保护? 混淆是很常见的 私隐及保密 标准. 两者的区别在于隐私控制保护个人信息(姓名), 社会保险号, address, 等.)和保密保护非个人信息和数据,这些信息和数据仍然被列为“机密”.”

最重要的是要知道: 根据您提供的服务,您所评估的标准应该是有意义的. 在一天结束的时候,注册会计师事务所必须提供一份意见 与操作环境相适应的控制的有效性. So, 他们应该根据你提供的服务来验证他们评估你的标准是有意义的.

3. 对你选择的公司进行全面的准备评估.

在这个过程中, the firm will educate you on the requirements of all the framework’s 标准 and help you understand 任何 control gaps your organization has related to those 标准 and points of focus. 焦点(POF)是提供考虑和指导的支持性控制. pof不是需求,而是作为标准的澄清,并在组织创建控制时提供帮助. 一家公司将与你合作,帮助你了解你需要实施的控制,以获得一个有利的报告.

知道这一点很重要 您的组织必须创建控件. 而注册会计师事务所可以提供有关的指导 类型 你需要的控制, 他们不能为你创造任何控制. The end result of the readiness assessment is essentially a report that says something to the effect of: “Here are the 控制 that would be in your SOC 2 report. 以下是它们如何映射到与您的业务相关的每个标准. 这就是你们需要弥补的差距.”

注意: 如果这是你的第一次SOC 2评估, 您几乎肯定会有相当数量的控制差距和需要补救的领域.

4. 聘请会计师事务所进行完整的SOC 2审计.

记住SOC审计有多种类型? 嗯,使事情进一步复杂化的是,也有多种类型的SOC 2审计. 它们是:

  • SOC 2, I型: 这种类型的SOC 2报告 设计 管制的有效性 在特定的时间点上.
  • SOC 2, II型: 这种类型的SOC 2报告两个 设计与运行 受控环境的有效性 在一段时间内 (最少6个月,通常最多9个月至一整年). 第一类审计通常被用作第二类审计的跳板. 那么,审计过程实际上是什么样的呢? 这因公司而异,但有几件事你可以指望.

我们将进行一次实地考察. Someone from the CPA firm (the assessor) will visit your facility to review evidence for the 控制 you’ve implemented to meet the requirements of the trust services 标准 applicable to your organization. 这通常发生在评估期结束时. So, 如果你的评估期在12月结束, 实地考察可能在11月和/或12月进行. The assessing firm will perform testing that covers the entirety of the reporting period to ensure your 控制 have been 操作 effectively the whole time. So, 虽然他们可能只在审计期结束时到现场, 他们的测试将涵盖整个审计期(如果您收到SOC 2), 第二类报告). 本次现场考察期间, their goal is to test the 控制 you have defined and make sure they effectively address the requirements and 标准 of the SOC 2 framework.

管理层需要对控制进行准确的描述. 记住,注册会计师事务所不负责帮助你实施控制,只负责评估控制. 因此, 在报告中, 贵公司的管理层有责任对控制环境作出准确的描述.

注册会计师事务所将在你的报告期结束后出具一份报告. 这很重要. 不管你的评估什么时候完成, 在评估期结束日期(一般为45 - 60天)之后,你才会收到报告。. 在这份报告中, 注册会计师事务所发表其对设计(SOC 2)的意见, 类型I)或设计和运行效率(SOC 2), 类型II)贵组织的控制环境.

关于SOC 2审核你应该知道的其他事情

这里有一些其他的事情,你应该知道在你的审计.

  1. 顺从不是很快的. 这需要花费大量的时间和精力. 不要把它看作是一个短期项目. 采取长远的方法. 实现SOC 2合规性将提高组织的安全性,并帮助您更好地管理客户数据. 对强大的信息安全控制的需求不会消失. 打持久战. 建立一个坚实的基础,这将在未来几年帮助你.
  2. 在准备情况评估时要完全诚实. 有时,组织在准备过程中并没有说出全部真相. 或者,注册会计师事务所没有做足够的工作来确认这种控制是否真的有效. So, 对注册会计师事务所完全诚实,因为如果他们知道有缺口, 他们可以帮助你了解如何修复它. 但, 如果他们不知道存在差距,那么当你真正进行审计时,你将会感到不愉快.
  3. 例外并不是世界末日. 一个例外表示:“是的,这里有问题. 但是,总的来说,公司仍然达到了框架的总体目标,等等.……或者类似的话. 例外不是世界末日,也不应该被这样看待. 一份报告没有例外是非常罕见的. 尽你所能避免它们,但不要把它们看作是你生意上的天塌下来. 你真正要避免的是:
    • 保留意见,实际上是在说:“一切看起来都很好,除了(插入大面积的控制间隙)。”.”
    • 反面意见,实际上是在说:“这家公司没有做他们应该做的事情. 买家注意.”
  4. 策略很简单. 实施起来很困难. 写保单很容易, 但很难真正实施这些政策,并确保遵循这些流程. 而文书工作是一个很好的开始, 确保你的控件存在于现实生活中——而不仅仅是在页面上.
  5. 自我监督是有价值的. 自我监控是指你测试自己的控制能力. 明升体育app下载目标就是要确保这一点, 当评估员执行测试时, 你不会对结果感到惊讶. 这是一个具有挑战性的过程, 但它可以给你一个很好的指示,你的控制环境是如何运作的 之前 评估员进来了.
  6. 如果您的控制环境发生变化, 理解这些变化是什么, 确保你的会计师事务所理解这一点, 太. 例如:如果你知道某些旧系统将在你的审计期结束前被替换, 提醒你的注册会计师事务所, 这样他们就可以在这些系统永远消失之前对其进行审计.

SOC 3业务

SOC 3约定使用SOC 2约定中使用的信任服务标准中的预定义标准. A SOC 3 report is a general-use report that provides only the auditor’s report on whether the system achieved the trust services 标准 (no description of tests and results).  它还允许服务机构在其网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全)发布, 可用性, 处理完整性, 保密, 和隐私).

SOC 3审计执行团队

如果您对SOC 2或SOC 3审计的更多信息感兴趣,请联系画了和罗宾.

什么是SOC 3®报告

类似于SOC 2, SOC 3报告是一份关于SO控制的报告,这些控制与SO维护安全的能力有关, 可用性, 处理, 完整性, 保密, 以及它所负责的用户实体数据的隐私. 评估需要相同的信托服务标准, 控制, 以及SOC 2报告中所述控制措施的评估.

关键的区别是SOC 3用于一般用途,而不是限制使用. This means that the SOC 3 report is a public-facing document that gives a high-level overview of information that would be contained in a SOC 2 report. While a SOC 2 report contains sensitive information about business systems and 控制 at a level that would not be appropriate for public distribution, SOC 3报告没有,而是用作前置报告, 通常是为了销售和市场营销.

例子包括:

  • 如果符合标准,SO可以选择在其网站上显示SOC 3印章, 并链接到SOC 3报告.
  • Sales team may use the report to provide prospects and clients to assure them that SO is protecting their data and private information. 客户可以很容易地验证所遵循的最佳实践,以防止安全漏洞和损坏的数据.

SOC 3报告的另一个好处是,如果您已经获得了SOC 2报告,则无需额外的审核程序.

面向网络安全的SOC

The 面向网络安全的SOC examination is 设计ed to provide report users with information to help them understand management’s process for handling enterprise-wide cyber risks. 它可以适用于任何类型的组织,无论其规模或行业如何, 报告用户不一定是当前客户或客户审计员.

面向网络安全的SOC提供以下功能:

  • 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
  • 向利益相关者传达网络安全控制有效性的有效方法, 董事会, 委员会, 客户, 和合作伙伴通过全面的网络安全审计.

与SOC 2报告不同,网络安全报告的SOC解决以下问题:

  • The baseline against which an entity is assessed in 面向网络安全的SOC is the Description Criteria for management’s description of the entity’s cyber安全 risk management program.
  • 追求网络安全SOC的组织可以使用信任服务标准, 但在设计或评估其控制需求时,也可以使用另一种普遍接受的安全框架.
  • 面向网络安全的SOC报告是通用报告, 报告的目标通常是由公司管理层决定的. 这些报告适用于比SOC 2报告更广泛的受众,可以与组织内外的任何人共享.
  • 在网络安全SOC中,控制矩阵将不包括在报告中.

The LBMC SOC audit team was instrumental in working with the AICPA to create and release this assessment to help you achieve compliance and provide the insights you need to make better business decisions.

客户证明

的图标
你找不到比LBMC更专业的团队了. 他们很容易相处,激励我们变得更好,每次都能取得优异的成绩. LBMC多年来一直是明升体育app下载合作伙伴,并作为值得信赖的顾问与我们一起工作,帮助我们满足SOC审计需求.
高级管治总监, 风险, 以及领先的软件和信息解决方案提供商的合规性

SOC审计执行团队

链接到保罗SOC审计

保罗 Demastus

股东、审计和咨询

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到画了 SOC审计

画了 Hendrickson

股东 & 网络安全实践负责人

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到雅各 SOC审计

雅各 Schuetze

股东、审计和咨询

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到罗宾 SOC审计

罗宾 巴顿

股东,网络安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔