系统和组织控制报告(SOC)

随着对贵公司bg真人需求的增加, 你的客户对保证的要求也是如此. 保证, 你已经采取了必要的措施来保护他们数据的隐私和机密性以及安全性, 系统的可用性和处理完整性. 你并不孤单.  希望降低基础设施成本, 许多组织正在利用外包和云计算解决方案. 同样,需求 保证 这些外包应用程序和功能的完整性也得到了扩展.SOC会计师协会

作为一个提供外包或云计算的bg真人组织, 你是客户内部控制系统的延伸,你的客户依赖你来保护他们免受欺诈风险, 未经授权使用数据, 数据丢失和隐私侵犯.

美国注册会计师协会(AICPA)提供了一种解决方案,通过提供三种系统和组织控制(SOC)报告选项,来证明您的控制系统的可靠性,并为您的客户提供保证, SOC 1, SOC 2和SOC 3.

确定哪个系统和组织(SOC)报告适合您

您的客户和他们的审核员会使用该报告来计划和执行对客户财务报表的审计或综合审计吗?

SOC 1报告

不是这一次.

您的客户或涉众是否会使用该报告来获得对bg真人组织系统的信心和信任?

SOC 2或SOC 3报告

这次没有SOC.

您是否需要将报告公布于众?

SOC 3报告

不是这一次.

您的客户是否需要并有能力理解bg真人组织中处理和控制的细节, bg真人审计员执行的测试及其结果?

SOC 2报告

SOC 3报告

SOC 1

SOC 1报告涉及bg真人组织中可能与客户财务报表审计相关的控制.

系统与组织控制“,, 或SOC 1报告, 对bg真人提供商控制的正式审计是否会影响其客户对财务报告的内部控制. SOC 1报告, 通常被AICPA认证标准称为SAS 70和SSAE 16(现在的SSAE 18), 是否专门用于满足使用bg真人组织的实体和这些实体的财务报表审计师的要求.

2017年5月起,SSAE 18认证标准取代了SSAE 16认证标准. 此次更新旨在简化和统一国际认证标准. 大多数要求保持不变,但是,一些关键的变化包括:

  • 更加注重风险评估
  • 强调供应商管理程序
  • 监控subservice组织
  • 对管理的书面断言需求的修改

SOC 1报告有两种类型:

  • Type 1 – 该报告向客户及其审核员表明,您组织的系统和控制得到了准确的描述, 控制是到位的, 这些控制是为了在特定日期实现你的财务控制目标而设计的.
  • 类型2 -  该报告提供了与Type 1报告相同的信息, 同时也要验证控制装置是否正常工作, 提供审计员为确定该信息而执行的测试的描述, 以及特定时期的测试结果.

获得第三方SOC 1认证报告为您的组织增加了重要的价值,也为您的客户提供了更高的信心水平. 它通过展示你对客户数据和信息安全的承诺,使你在竞争中脱颖而出.

SOC 2

SOC 2和SOC 3报告涉及AICPA信任bg真人原则中确定的与运营和合规性相关的bg真人组织控制.

SOC 2报告为bg真人组织提供了与一套预定义原则相关的控制意见. 不像SOC 1报告, 在什么情况下,控制目标和控制被指定给行业和公司内部的独特流程, SOC 2报告采用了一套标准化的行业中立控制,基于美国会计师协会的信任bg真人原则——安全, 可用性, 处理完整性, 保密性和隐私. SOC 2报告必须包括安全原则(称为通用标准), 剩下的四项原则根据公司的需要是可选的.

SOC 2报告有两种类型: 

  • 类型1 - 该报告向客户及其审核员表明,您组织的系统和控制得到了准确的描述, 控件的设计是适当的,并且这些控件在指定日期已经就位, 或者在某个时间点.
  • 类型2 - 该报告向客户及其审核员表明,您组织的系统和控制得到了准确的描述, 控制装置设计合理, 并包括为验证控制在指定时间段内有效运行而进行的测试的说明.

我应该选择哪些信任bg真人原则? 

当选择适合您的SOC 2报告的信任bg真人原则时, 首先确定约定的范围和最适用于您的系统的原则. 以下高级定义可以帮助您思考哪些原则适用于您的组织:

  1. 安全 —系统不受未经授权的物理和逻辑访问
  2. 可用性 -系统是可访问的,这取决于bg真人水平协议的合同
  3. 处理完整性 -系统处理是完整、有效、准确、及时和授权的
  4. 保密 -被指定为机密的信息按照约定受到保护
  5. 隐私 —收集个人信息, 使用, 保留, 根据实体隐私通知中的承诺和美国会计师协会制定的原则披露和销毁

当客户和内部管理人员必须对bg真人组织的控制系统有信心以提供安全性时,SOC 2报告提供了重要的价值, 可用性, 处理完整性, 保密性和隐私. 除了满足内部需求, SOC 2报告对您的现有客户很有价值,因为它提供了一份注册会计师签署的报告,以保证您的系统和流程.

SOC 3

与SOC 2报告相比,SOC 3报告的目的是作为一种营销工具,以不受限制的扩大受众.

与SOC 2报告相比,SOC 3报告的目的是作为一种营销工具,以不受限制的扩大受众, 例如潜在客户, 投资者, 等.  类似于SOC 2报告,SOC 3报告提供了与一个或多个信托bg真人原则(TSP)相关的控制意见。.  SOC 3报告的独特之处在于,它没有使用限制,并且在您的网站上使用了SOC 3印章,这使得它成为客户的完美营销工具,客户必须对bg真人组织的控制系统有信心,以提供安全, 可用性, 处理完整性, 保密性和隐私.

准备了解bg真人的SOC的报告ing bg真人如何帮助您开展业务的更多信息?

bg真人

实践的领导力

杰夫·斯塔克
杰夫·斯塔克风险保证实务负责人
电子邮件杰夫
(408) 286-7780
布莱恩·比尔
布莱恩·比尔保证风险总监
电子邮件布莱恩
(408) 286-7780

相关的帖子