系统和组织控制(SOC)审核

着手SOC审计不适合胆小的人. 这不应该掉以轻心，因为它需要关注细节、良好的资源和时间. 取决于您的准备程度和报告类型, 这个过程可能需要几个月到一年甚至更长时间 从开始到结束，为新组织的过程. 成熟的组织可以期望更短的时间——假设他们已经有必要的控制, 流程和技术到位.

SOC审计的创建为服务机构提供了三种报告选项，以响应统一报告和审查的需求，扩大了服务机构报告财务控制的能力, 非财务管制及, SOC 3, 成为经过认证的可信系统服务组织.

注册会计师执行 SSAE 18认证 向服务机构的客户及其审核员提供保证，使其确信, 适当和有效的控制措施.

• 第一类审计 考虑控件在特定时间点上的设计有效性
• 第二类审计 在特定时期内检查控制的设计和运行效果, 通常是6到12个月.

SOC业务的类型是什么?

• SOC 1-报告服务机构内部控制的有效性，因为它们与财务报告有关.
• SOC 2-服务机构的信任服务标准-安全报告, 可用性, 处理完整性, 保密, 和隐私. 这些标准引用了安全性, 可用性, 以及组织系统的处理完整性以及这些系统处理的数据的机密性和隐私性. 安全 requirement is al道路s included; however, 其他四个标准是可选的，并且基于您的特定组织.
• SOC 3-报告服务机构的信托服务标准, 不像SOC 2, 但是可以公开分发.

虽然SOC 3评估通常不是合同义务, 它为组织提供了公布其安全工作的选项. SOC 1和SOC 2评估是为组织的当前客户验证安全性, 而SOC 3评估可以分发给任何人(甚至可以在网站上公布). SOC 3评估的准备和完成反映了SOC 2评估的过程, 但它包括不同的报告要求. SOC 2评估将包括审核员对控制和结果的测试，而SOC 3则不包括.

SOC 1、SOC 2和SOC 3业务解决了当今的环境:

• 需要更大的国际一致性
• 解决了云计算、移动和虚拟化等新技术
• 要求得到更广泛认可和理解的报告选择

我们为全国各地的客户提供SOC审计，并在我们提供证明工作的州保持适当的执照. 结果是, 我们拥有深入的行业知识，可以帮助各个行业的服务提供商, 包括医疗保健和索赔处理, 金融服务, 云服务提供商, 以及商业整理和托管提供商.

SOC 1要求管理层提供其系统的书面描述，并断言系统描述是公平呈现的, 控制目标设计合理，运行有效, 并确定他们用来做出这些断言的标准.

SOC 1审计执行团队

如果您对SOC 1审计的更多信息感兴趣，请联系保罗和雅各.

• 保罗Demastus
• 雅各Schuetze

什么是SOC 1®报告?

SOC 1是一份关于SO控制的报告，与用户实体对财务报告的内部控制相关. 本报告旨在满足双方的需求:

1. 使用服务组织的实体(用户实体)
2. 审计用户实体财务报表的注册会计师(审计用户)

SOC 1帮助读者评估服务组织对用户实体财务报表的控制效果.

需要SOC 1报告的公司示例.

• 外包医疗索赔处理功能的健康保险公司
• 一种员工福利计划，将职能外包给银行，由银行作为资产的保管人, 保持帐目记录, 分配投资收益和/或付款
• 任何利用打包软件应用程序使客户能够处理财务和操作事务的公司(应用程序服务提供商或“ASP”)。

当涉及到SOC 1报告时，有两种选择-类型1和类型2.

第一类报告是一个时间点评估，评估:

• 管理层对服务机构体系描述的公平性(1).e.，系统描述的准确性)
• 控制设计是否适合实现描述中包含的控制目标(截至指定日期)

第二类报告涵盖一段时间，通常为6至12个月，并评估:

• 管理层对服务机构系统描述的公平性
• 控制设计是否适合实现描述中包含的控制目标(在整个指定期间)
• 控制措施为实现描述所列控制目标的运行有效性(在规定期间内)

服务审计员将其意见与SOC 1报告一起发布, 分发的资料，只供民政事务处的管理人员使用, 用户实体, 用户审核员.

SOC 2业务使用TSC以及AT Section 101中的要求和指导, 证明活动, ssae (AICPA), 专业标准, 卷. 1). SOC 2报告类似于SOC 1报告. 可以出具类型1或类型2的报告，该报告提供服务组织系统的描述. 对于二类报告, 它还包括服务审计员执行的测试和测试结果的说明.

SOC 2审计执行团队

如果您对SOC 2或SOC 3审计的更多信息感兴趣，请联系画了和罗宾.

• 德鲁德里克森
• 罗宾·巴顿

什么是SOC 2®报告?

SOC 2是与安全相关的SO控制的报告, 可用性, 处理完整性, 保密, 与隐私保持一致 美国注册会计师协会信托服务准则(TSC). 而SOC 1报告则处理服务组织对金融交易的影响, SOC 2报告解决了与服务组织及其系统交互产生的风险.

该报告的目的是满足广大用户的需要，这些用户需要有关安全监督的控制的信息和保证，因为它们涉及:

• 安全, 可用性, 以及系统处理用户数据的完整性,
• 这些系统处理的信息的保密性和隐私性.

以下是一些可能需要SOC 2报告的公司的例子:

• 提供医疗服务, 雇主, 第三方管理人员和雇主的投保方拥有能够准确处理医疗记录和相关健康保险索赔的系统, 安全, 和秘密
• 管理, 操作, 维护用户实体的IT数据中心, 基础设施, 以及支持IT活动的应用系统和相关功能, 比如网络, 生产, 安全, 环境控制活动
• 管理用户实体对网络和计算系统的访问(例如, 授予对系统的访问权限并阻止, 检测, 和减轻, 系统入侵)

与SOC 1报告一样，该业务有两种报告类型——类型1和类型2.

SOC 2报告的使用通常仅限于那些对服务组织有足够知识和理解的人, 它提供的服务, 以及用来提供这些服务的系统.

如何准备SOC 2审核

准备SOC 2审核有四个主要步骤. (你甚至可以从今天开始做第一个.)

1. 找一家信誉良好的会计师事务所.

“等一下。. 我以为SOC 2关注的是信息安全. 你为什么要我去找会计师事务所?问得好. 美国注册会计师协会(AICPA)开发了SOC 2框架, 所以你的审计师必须是一家会计师事务所，才能出具SOC 2报告. 从技术上讲, 任何 注册会计师事务所可以出具. 但是，并不是所有的会计师事务所都能做到这一点 正确的 道路. 因为SOC 2特别关注安全性, 你需要一家了解安全以及美国注册会计师协会指导方针的公司. 因此，在这种情况下，一家“信誉良好”的注册会计师事务所应该尽可能多地满足以下条件:

• 你和他们有信任的关系.
• 他们有大量的信息安全实践.
• 他们通过定期围绕相关信息安全主题创建内容来展示信息安全思想领导力.
• 他们拥有美国注册会计师协会的网络安全咨询服务证书.
• 他们在SOC 2报告方面有丰富的经验.

2. 与公司合作，加深对SOC 2的理解.

安全

正式的文本
“信息和系统受到保护，防止未经授权的访问, 未经授权披露资料, 以及可能影响可用性的系统损坏, 完整性, 保密, 以及信息或系统的隐私，并影响实体实现其目标的能力.”

翻译
信息和系统是否得到适当的保护? 此要求包含在每个SOC 2评估中，并且不是可选的.

可用性

正式的文本
“有资料和系统可供操作和使用，以达到实体的目标.”

翻译
信息和系统是否适当可用?

处理完整性

正式的文本
系统处理完成, 有效的, 准确的, 及时的, 并被授权去实现实体的目标.”

翻译
您的系统是否正确地处理了信息?

保密

正式的文本
“被指定为机密的资料受到保护，以达到实体的目标.”

翻译
机密信息是否得到充分保护?

隐私

正式的文本
“个人信息被收集, 使用, 保留, 披露, 并倾向于实现实体的目标.”

翻译
个人资料是否得到充分保护? 混淆是很常见的 私隐及保密 标准. 两者的区别在于隐私控制保护个人信息(姓名), 社会保险号, address, 等.)和保密保护非个人信息和数据，这些信息和数据仍然被列为“机密”.”

最重要的是要知道: 根据您提供的服务，您所评估的标准应该是有意义的. 在一天结束的时候，注册会计师事务所必须提供一份意见 与操作环境相适应的控制的有效性. So, 他们应该根据你提供的服务来验证他们评估你的标准是有意义的.

3. 对你选择的公司进行全面的准备评估.

在这个过程中, 该公司将教育您所有框架标准的要求，并帮助您了解您的组织与这些标准和重点相关的任何控制差距. 焦点(POF)是提供考虑和指导的支持性控制. pof不是需求，而是作为标准的澄清，并在组织创建控制时提供帮助. 一家公司将与你合作，帮助你了解你需要实施的控制，以获得一个有利的报告.

知道这一点很重要 您的组织必须创建控件. 而注册会计师事务所可以提供有关的指导 类型 你需要的控制， 他们不能为你创造任何控制. 准备评估的最终结果本质上是一份报告，它说的是:“这是你的SOC 2报告中的控制措施. 以下是它们如何映射到与您的业务相关的每个标准. 这就是你们需要弥补的差距.”

注意: 如果这是你的第一次SOC 2评估, 您几乎肯定会有相当数量的控制差距和需要补救的领域.

4. 聘请会计师事务所进行完整的SOC 2审计.

记住SOC审计有多种类型? 嗯，使事情进一步复杂化的是，也有多种类型的SOC 2审计. 它们是:

• SOC 2, I型: 这种类型的SOC 2报告 设计 管制的有效性 在特定的时间点上.
• SOC 2, II型: 这种类型的SOC 2报告两个 设计与运行 受控环境的有效性 在一段时间内 (最少6个月，通常最多9个月至一整年). 第一类审计通常被用作第二类审计的跳板. 那么，审计过程实际上是什么样的呢? 这因公司而异，但有几件事你可以指望.

我们将进行一次实地考察. 会计师事务所的某个人(评估员)将访问您的设施，审查您为满足适用于您组织的信托服务标准的要求而实施的控制的证据. 这通常发生在评估期结束时. So, 如果你的评估期在12月结束, 实地考察可能在11月和/或12月进行. 评估公司将执行覆盖整个报告期间的测试，以确保您的控制在整个时间内有效地运行. So, 虽然他们可能只在审计期结束时到现场, 他们的测试将涵盖整个审计期(如果您收到SOC 2), 第二类报告). 本次现场考察期间, 他们的目标是测试你所定义的控制，并确保它们有效地满足SOC 2框架的要求和标准.

管理层需要对控制进行准确的描述. 记住，注册会计师事务所不负责帮助你实施控制，只负责评估控制. 因此, 在报告中, 贵公司的管理层有责任对控制环境作出准确的描述.

注册会计师事务所将在你的报告期结束后出具一份报告. 这很重要. 不管你的评估什么时候完成, 在评估期结束日期(一般为45 - 60天)之后，你才会收到报告。. 在这份报告中, 注册会计师事务所发表其对设计(SOC 2)的意见, 类型I)或设计和运行效率(SOC 2), 类型II)贵组织的控制环境.

SOC 3约定使用SOC 2约定中使用的信任服务标准中的预定义标准. SOC 3报告是一种通用报告，仅提供审计人员关于系统是否达到信托服务标准的报告(不描述测试和结果)。.  它还允许服务机构在其网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全)发布, 可用性, 处理完整性, 保密, 和隐私).

SOC 3审计执行团队

如果您对SOC 2或SOC 3审计的更多信息感兴趣，请联系画了和罗宾.

• 德鲁德里克森
• 罗宾·巴顿

什么是SOC 3®报告

类似于SOC 2, SOC 3报告是一份关于SO控制的报告，这些控制与SO维护安全的能力有关, 可用性, 处理, 完整性, 保密, 以及它所负责的用户实体数据的隐私. 评估需要相同的信托服务标准, 控制, 以及SOC 2报告中所述控制措施的评估.

关键的区别是SOC 3用于一般用途，而不是限制使用. 这意味着SOC 3报告是一份面向公众的文件，提供了SOC 2报告中包含的信息的高级概述. 而SOC 2报告包含有关业务系统和控制的敏感信息，其级别不适合公开分发, SOC 3报告没有，而是用作前置报告, 通常是为了销售和市场营销.

例子包括:

• 如果符合标准，SO可以选择在其网站上显示SOC 3印章, 并链接到SOC 3报告.
• 销售团队可以使用该报告向潜在客户和客户保证，SO正在保护他们的数据和私人信息. 客户可以很容易地验证所遵循的最佳实践，以防止安全漏洞和损坏的数据.

SOC 3报告的另一个好处是，如果您已经获得了SOC 2报告，则无需额外的审核程序.

网络安全SOC考试旨在为报告用户提供信息，帮助他们了解管理部门处理企业范围网络风险的流程. 它可以适用于任何类型的组织，无论其规模或行业如何, 报告用户不一定是当前客户或客户审计员.

面向网络安全的SOC提供以下功能:

• 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
• 向利益相关者传达网络安全控制有效性的有效方法, 董事会, 委员会, 客户, 和合作伙伴通过全面的网络安全审计.

与SOC 2报告不同，网络安全报告的SOC解决以下问题:

• 在网络安全SOC中对实体进行评估的基准是管理层对实体网络安全风险管理计划的描述标准.
• 追求网络安全SOC的组织可以使用信任服务标准, 但在设计或评估其控制需求时，也可以使用另一种普遍接受的安全框架.
• 面向网络安全的SOC报告是通用报告, 报告的目标通常是由公司管理层决定的. 这些报告适用于比SOC 2报告更广泛的受众，可以与组织内外的任何人共享.
• 在网络安全SOC中，控制矩阵将不包括在报告中.

LBMC SOC审计团队在与AICPA合作创建和发布该评估时发挥了重要作用，帮助您实现合规性，并为您提供做出更好业务决策所需的见解.