Psychz -甘
投票:5发布日期:2017年5月25日08:14:37
服务组织控制(SOC)框架是由美国注册会计师协会(AICPA)引入的一个新的报告平台,取代了SAS 70报告框架。Soc报告是由独立审计员关于组织的独立控制的报告。
假设你是一家为客户提供服务的公司。这些服务可能会对客户产生影响。SOC报告是一种确保围绕可能影响客户的服务的控制被正确实现的方法。必威平台
目前,市场上对服务组织的评估是根据其拥有的SOC报告。因此,无论是基于服务还是基于用户的组织,都必须进行SOC审计并拥有SOC报告。
SOC 1和SOC 2报告是两种类型的报告,侧重于一个组织的不同控制。各组织通常会提出一个共同的问题,即哪些报告适合它们。这通常取决于你向客户/用户提供的服务。有时您可能需要通过SOC 1和SOC 2审计。下面是SOC 1和SOC 2报告之间的一些比较,将帮助您在两者之间做出更好的选择。
SOC 1或SSAE 16报告
SOC 1报告也称为SSAE 16(认证业务标准声明)报告。这些报告的重点是审查与财务报告程序有关的控制。经过SOC 1审查并发布SOC 1报告的组织是那些管理影响其用户/客户财务报表的过程的组织。我想到的一些例子是工资流程、账单、收入流程等。SOC1报告有两种类型。
1.SOC 1 - I型审计报告侧重于描述服务组织的控制,以及在指定日期时如何设计这些控制以实现控制目标的适用性。
2.SOC 1 II型审计报告包含与第一类审计报告相同的意见,但增加了在指定时期内实现相关控制目标的运营有效性意见。
SOC 2报告
SOC 2报告关注组织的运营和合规部分。关注某些领域的组织发布SOC 2报告。下面将讨论这些领域。
1.服务组织过程的安全性。
2.服务组织系统的可用性。
3.服务组织系统处理完整性
4.服务组织的系统为用户实体处理或维护的信息的机密性。
5.用户/客户个人资料的私隐。
SOC 2报告下的组织是负责管理高度敏感数据、管理交易或其他机密信息的组织。其中一些组织是数据中心、托管设施、云服务提供商和软件服务提供商。
这些是SOC 1和SOC 2报告之间的一些基本比较,将帮助您评估哪种报告适合您的服务。必威平台