系统和组织控制报告 (SOC)

随着对贵公司胜博发登录需求的增加,客户对保证的要求也在增加。 保证,表明您已采取必要措施保护其数据的隐私和机密性以及系统的安全性、可用性和处理完整性。你不是一个人。为了降低基础设施成本,许多组织正在利用外包和云计算解决方案。同样,需求 保证 这些外包应用程序和功能的完整性也得到了扩展。美国注册会计师协会

作为提供外包或云计算的胜博发登录组织,您是客户内部控制系统的延伸,您的客户依靠您来保护他们免受欺诈、未经授权使用数据、丢失数据和侵犯隐私的风险。

美国注册会计师协会 (AICPA) 提供的解决方案通过提供三个系统和组织控制 (SOC) 报告选项、SOC 1、SOC 2 和 SOC 来证明您的控制系统的可靠性并向您的客户提供保证3.

确定哪种系统和组织 (SOC) 报告适合您

您的客户及其审计师是否会使用该报告来计划和执行对客户财务报表的审计或综合审计?

SOC 1 报告

这次不行。

您的客户或利益相关者是否会使用该报告来获得对胜博发登录组织系统的信心和信任?

SOC 2 或 SOC 3 报告

这次没有 SOC。

您是否需要使报告普遍可用?

SOC 3 报告

这次不行。

您的客户是否需要并有能力了解胜博发登录组织的处理和控制细节、胜博发登录审核员执行的测试以及这些测试的结果?

SOC 2 报告

SOC 3 报告

SOC 1

SOC 1 报告涉及胜博发登录组织中可能与客户财务报表审计相关的控制。

系统和组织控制或 SOC 1 报告是对影响客户对财务报告的内部控制的胜博发登录提供商控制的正式审计。 SOC 1 报告,通常被 AICPA 认证标准称为 SAS 70 和 SSAE 16(现为 SSAE 18),专门用于满足使用胜博发登录组织的实体和这些实体的财务报表审计师的要求。

自 2017 年 5 月起,SSAE 18 认证标准取代了 SSAE 16。此更新旨在帮助简化和统一国际认证标准。大多数要求保持不变,但是,一些关键变化包括:

  • 更加关注风险评估
  • 强调供应商管理计划
  • 监控子胜博发登录组织
  • 管理层书面声明要求的修改

SOC 1 报告有两种类型:

  • Type 1 – 该报告向客户及其审计师表明,您组织的系统和控制已准确描述,控制已到位,并且这些控制旨在在指定日期实现您的财务控制目标。
  • 类型 2 –  该报告提供与类型 1 报告相同的信息,同时还验证控制是否正常运行,提供了审计师为确定该信息而执行的测试的描述,以及这些测试在指定时期内的结果。

获得第三方 SOC 1 认证报告可为您的组织增加重要价值,并为您的客户提供更高的信心。它展示了您对客户数据和信息安全的承诺,使您在竞争中脱颖而出。

SOC 2

SOC 2 和 SOC 3 报告涉及胜博发登录组织中与 AICPA 信任胜博发登录原则中确定的运营和合规性相关的控制。

SOC 2 报告为胜博发登录组织提供了与一组预定义原则相关的控制意见。与 SOC 1 报告不同,其中控制目标和控制是针对行业和公司内的独特流程指定的,SOC 2 报告利用了一套基于 AICPA 信任胜博发登录原则的标准化行业中立控制——安全性、可用性、处理完整性、保密和隐私。 SOC 2 报告必须包含安全原则(称为通用标准),其余四项原则可根据公司的需要选择包含在内。

SOC 2 报告有两种类型: 

  • 类型 1 – 该报告向客户及其审计师表明,您组织的系统和控制得到准确描述,控制设计得当,并且这些控制在指定日期或时间点到位。
  • 类型 2 – 该报告向客户及其审计师证明您组织的系统和控制得到准确描述,控制设计得当,并包括对为验证控制在指定时间段内有效运行而进行的测试的描述。

我应该选择哪些信托胜博发登录原则? 

在选择适合您的 SOC 2 报告的信托胜博发登录原则时,首先要确定参与范围以及最适用于您的系统的原则。以下高级定义可以帮助您思考哪些原则适用于您的组织:

  1. 安全 – 保护系统免受未经授权的物理和逻辑访问
  2. 可用性 – 系统可访问,由胜博发登录水平协议合同确定
  3. 加工完整性 – 系统处理完整、有效、准确、及时、授权
  4. 保密 – 指定为机密的信息按约定受到保护
  5. 隐私 – 根据实体隐私声明中的承诺和 AICPA 规定的原则收集、使用、保留、披露和销毁个人信息

在客户和内部管理层必须对胜博发登录组织的控制系统有信心以提供安全性、可用性、处理完整性、机密性和隐私性的情况下,SOC 2 报告具有重要价值。除了解决内部需求之外,SOC 2 报告对您的现有客户也很有价值,因为它提供了一份 CPA 签署的报告,作为对您的系统和流程的保证。

SOC 3

与 SOC 2 报告相比,SOC 3 报告旨在用作面向不受限制的扩展受众的营销工具。

与 SOC 2 报告相比,SOC 3 报告旨在用作不受限制的扩展受众的营销工具,例如潜在客户、投资者等。类似于 SOC 2 报告,SOC 3 报告提供了关于与一项或多项信任胜博发登录原则 (TSP) 相关的控制措施。 SOC 3 报告的独特之处在于它没有使用限制,并且在您的网站上使用了 SOC 3 印章,这使其成为必须对胜博发登录组织的控制系统有信心以提供安全性、可用性的客户的完美营销工具, 处理完整性、保密性和隐私性。

准备好了解有关 SSF 的 SOC 报告胜博发登录如何帮助您开展业务的更多信息了吗?

联系我们

实践领导力

杰夫·斯塔克
杰夫·斯塔克风险保障实践负责人
电子邮件杰夫
(408) 286-7780
布莱恩·比尔
布莱恩·比尔风险保障总监
电子邮件布赖恩
(408) 286-7780