Zprávy o kontrolách systému a organizace (SOC) se rychle stávají nezbytností pro budování důvěry a pro ujištění zákazníků organizace (a potenciálních zákazníků) o službách, které organizace poskytuje.

Počet narušení a incidentů v důsledku zranitelností v systému organizace nebo od dodavatelů organizace roste a mnoho organizací se snaží chránit před nákladnou kybernetickou kriminalitou.

Jak kybernetická bezpečnost a vnitřní kontroly získávají v dnešní podnikatelské komunitě stále větší pozornost a důraz, tak i zprávy SOC.

Máte málo času? Poslechněte si a poučte se v tomto díle našeho podcastu:

Co je to zpráva SOC?

Zpráva SOC je výsledkem a zjištěními prověrky SOC, jejímž cílem je poskytnout ujištění o fungování vnitřních kontrol organizace.

Kdo může vydat zprávu SOC?

Přezkoumání SOC provádějí nezávislí certifikovaní účetní (auditoři služeb) podle atestačních standardů Amerického institutu certifikovaných účetních (AICPA).

Co jsou to vnitřní kontroly?

Výbor sponzorských organizací Treadwayovy komise (COSO) obecně definuje vnitřní kontrolu jako „proces prováděný představenstvem, vedením a dalšími pracovníky účetní jednotky, jehož cílem je poskytnout přiměřenou jistotu ohledně dosažení cílů týkajících se operací, výkaznictví a dodržování předpisů.“

Vnitřní kontroly jsou v podstatě opatření, která vaše organizace zavádí v souvislosti s vlastními vnitřními operacemi, aby zvýšila efektivitu, chránila se před odpovědností a zůstala v souladu s předpisy a zákony.

Jak může moje organizace získat certifikaci SOC?

Termín „certifikace SOC“ je ve skutečnosti nesprávné označení vyplývající z běžné mylné představy o zprávách SOC. Organizace se často ptají, jak mohou získat „SOC certifikaci“ nebo „SOC compliant“, ale u zpráv SOC neexistuje žádná certifikace ani žádné projití či neprojití.

Po dokončení prověrky SOC je vydán balíček zpráv, který obsahuje zprávu nezávislého auditora služeb, testy provedené auditorem a výsledky těchto testů a tvrzení servisní organizace a popis systému (nebo popis kontrol).

V rámci této zprávy nezávislého auditora služeb vydá auditor služeb výrok. Pokud je popis systému věrně zobrazen (SOC 1) nebo v souladu s kritérii popisu (SOC 2), kontroly jsou vhodně navrženy a kontroly fungují efektivně (typ 2), auditor služby pravděpodobně vydá „výrok bez výhrad“, což je obvykle preferovaný výsledek.

Pokud se však při testování vyskytnou významné problémy nebo je popis zavádějící či v něm chybí relevantní informace, může auditor služby vydat výrok s výhradou nebo dokonce záporný výrok, a to v závislosti na rozšířenosti problémů.

Kdo potřebuje zprávu SOC?“

Rozhodnutí o provedení prověrky SOC obvykle vychází z žádostí nebo požadavků na zprávu SOC od zákazníků nebo potenciálních zákazníků servisní organizace. S největší pravděpodobností tedy budete vědět, že potřebujete zprávu SOC, protože vás o ni požádají vaši zákazníci.

Pro mnoho společností je vyžádání zprávy SOC od jejich dodavatelů obvykle součástí dobrých procesů řízení dodavatelů a typickou součástí hloubkové kontroly prováděné nad dodavateli organizace s cílem řešit rizika spojená s outsourcingem služeb tomuto dodavateli.

Je důležité si uvědomit, že i když vaši zákazníci nebo potenciální zákazníci mohou outsourcovat služby, stále jsou odpovědní za ochranu svých vlastních informací a zprávy SOC jsou pro ně metodou, jak si vybudovat důvěru ve vaši společnost a služby, které jim poskytujete.

Organizace by měly mít zprávu SOC, pokud:

• jsou považovány za „servisní organizaci“ (organizaci, která poskytuje služby uživatelským subjektům);
• jsou často žádány současnými nebo potenciálními zákazníky o vyplnění podrobného dotazníku o bezpečnosti organizace nebo o zavedených vnitřních kontrolách k řešení rizik, která ohrožují dosažení smluvních služeb nebo systémových závazků; nebo
• jsou často žádány současnými nebo potenciálními zákazníky o dodání zprávy SOC. (To může být rozhodujícím faktorem pro udržení stávajících zákazníků nebo získání zakázky potenciálního zákazníka.)

Jaký je typický časový plán pro dokončení prověrky SOC?“

Prověření SOC může být zdlouhavý proces, který někdy trvá několik měsíců nebo dokonce rok, v závislosti na tom, jak je organizace připravena splnit požadavky.

U organizací, které již mají zavedeny robustní zásady, postupy a vnitřní kontroly, může být proces rozhodně kratší.

Pokud tyto věci zavedeny nejsou, obvykle doporučujeme, aby organizace prošla hodnocením připravenosti, aby zjistila připravenost, identifikovala nedostatky nebo oblasti ke zlepšení a vyhnula se příliš rychlému zahájení zkoušky SOC. Tímto postupem se snad vyhnete významným výjimkám nebo nedostatkům ve zprávě SOC po jejím dokončení.

Ať už organizace zvolí proaktivní přístup, nebo si nechá provést zkoušku SOC v reakci na žádost o její provedení, doufáme, že v konečném důsledku získá také neocenitelné poznatky o tom, jak dobře fungují její vnitřní kontrolní procesy a v jakých oblastech je nezbytné zlepšení.

Existují různé varianty zkoušek SOC?

Ano.

Pro organizace poskytující služby existují zkoušky SOC 1®, SOC 2® a SOC 3®. Kromě těchto zkoušek AICPA formulovala také SOC pro kybernetickou bezpečnost a SOC pro dodavatelský řetězec.

AICPA označila soubor služeb a možností vykazování SOC následovně:

SOC pro servisní organizace
Přezkoumání SOC 1 (typy 1 a 2)	Zaměřené na vykazování kontrol v servisní organizaci relevantních pro vnitřní kontrolu účetního výkaznictví (ICFR) Typicky prováděné nad službami, jako jsou zaměstnanecké požitky nebo penzijní plány, finanční/správcovské služby, zpracování mezd, zpracování plateb, obsluha úvěrů atd. Zprávy jsou určeny pouze vedení servisní organizace, uživatelským subjektům a auditorům uživatelů.
Přezkoumání SOC 2 (typy 1 a 2)	Vychází z TSP 100, Kritéria svěřenských služeb 2017 specifikovaných AICPA a jsou určena k uspokojení potřeb širokého okruhu uživatelů pro pochopení vnitřních kontrol relevantních pro pět kategorií svěřenských služeb: Bezpečnost (Společná kritéria), Dostupnost, Integrita zpracování, Důvěrnost nebo Ochrana osobních údajů Typicky se provádí u poskytovatelů společného umístění datových center, poskytovatelů softwaru jako služby (SaaS), poskytovatelů cloudových služeb, poskytovatelů řízených IT služeb atd. Zprávy jsou vyhrazeny subjektům uživatelů systému, obchodním partnerům, potenciálním uživatelským subjektům a obchodním partnerům a regulačním orgánům, které mají povědomí o organizaci služeb a jejích kontrolách. Další témata a další kritéria mohou být řešena při zkouškách SOC 2+ nad jinými rámci vnitřní kontroly (např, SOC 2+ HIPAA).
Zkoušky SOC 3	Provádí se nad stejnými kategoriemi důvěryhodných služeb jako zkouška SOC 2, ale zpráva je méně podrobná a neobsahuje výsledky testování Určeno pro subjekty, které zpracovávají elektronická data spotřebitelů pomocí elektronického obchodu, softwaru jako služby a dalších elektronických systémů atd. Zprávy pro všeobecné použití, které lze volně distribuovat těm, kteří nemají dostatečné znalosti pro pochopení zpráv SOC 2
SOC pro kybernetickou bezpečnost
	Zprávy o programu řízení rizik kybernetické bezpečnosti organizace a subjektu-.celoplošných kontrol Testování kontrol se provádí, ale výsledky testování nejsou zahrnuty do zprávy. Reporty pro obecné použití
SOC pro dodavatelský řetězec
	Podává kritéria AICPA pro důvěryhodné služby relevantní pro kategorie Bezpečnost, Dostupnost, Integrita zpracování, Důvěrnost nebo Ochrana osobních údajů Zprávy pomáhají dodavatelským řetězcům účinně informovat o zavedených kontrolách výrobních a distribučních rizik v jejich systémech. Navrženy tak, aby poskytovaly výrobcům, producentům a distribučním společnostem jistotu o kontrolách jejich dodavatelů.

Protože zprávy SOC 1 a SOC 2 jsou uživatelskými subjekty nejžádanější, je oprávněný podrobnější přehled těchto dvou možností zpráv.

Obě tyto zprávy mají dva typy:

Co je to report SOC 1?

U reportů SOC 1 nejsou stanovena žádná kritéria. Servisní organizace vypracovává a autorizuje celkové kontrolní cíle a související kontroly specifické pro dosažení kontrolních cílů. Servisní organizace je také zodpovědná za popis systémové části zprávy.

Zprávy SOC 1 jsou určeny k podávání zpráv o kontrolách v servisní organizaci, které jsou relevantní pro vnitřní kontrolu účetního výkaznictví (ICFR) účetní jednotky, a obvykle se provádějí nad službami, jako jsou zaměstnanecké požitky nebo penzijní plány, finanční/správcovské služby, zpracování mezd, zpracování plateb, obsluha úvěrů atd.

Zprávy SOC 1 jsou určeny pouze vedení servisní organizace, uživatelským subjektům a jejich auditorům.

Co je to zpráva SOC 2?

AICPA ve zprávách SOC 2 specifikovala kritéria důvěryhodných služeb používaná k hodnocení kontrol a uvádí body, na které se organizace mohou zaměřit, aby si pomohly při určování použitelných kontrol a jazyka kontrol.

Kritéria důvěryhodných služeb lze rozdělit do pěti kategorií:

• Bezpečnost;
• Dostupnost;
• Celost zpracování;
• Důvěrnost a
• Soukromí.

Při volbě použití zkoušek SOC 2 je třeba využít bezpečnostní kategorii (označovanou také jako „společná kritéria“) a poté lze zvolit další kategorie, které se vztahují k závazkům organizace v oblasti služeb nebo systémovým požadavkům.

Pokud například organizace poskytující služby ve svých dohodách o úrovni služeb uvádí, že systém nebo softwarová platforma budou pro své uživatele dostupné 24 hodin denně, 7 dní v týdnu, 365 dní v roce a že jsou zavedeny a nejméně jednou ročně testovány postupy pro zajištění kontinuity provozu a obnovy po havárii, bude pro jejich zprávu relevantní kategorie dostupnosti.

AICPA rovněž vypracovala určité standardy, které musí servisní organizace použít při přípravě popisu systému pro zprávy SOC 2 a které jsou uvedeny v části 200 Kritérií popisu (DC).

Přezkoumání SOC 2 se obvykle provádí u ko-lokací datových center, poskytovatelů softwaru jako služby (SaaS), poskytovatelů cloudových služeb, poskytovatelů řízených IT služeb atd.

Tyto zprávy jsou určeny pouze uživatelským subjektům systému, obchodním partnerům, potenciálním uživatelským subjektům a obchodním partnerům a regulačním orgánům, které mají přehled o organizaci služeb a jejích kontrolních mechanismech.

Jaký je rozdíl mezi zprávou SOC typu 1 a SOC typu 2?

Zpráva typu 1 je k určitému datu a zajišťuje, že popis systému je věrně prezentován (zpráva SOC 1) nebo je v souladu s kritérii popisu (zpráva SOC 2) a že kontroly jsou k určitému datu vhodně navrženy. Provádí se procházka kontrolami a test jedné z nich, ale neprovádí se podrobné testování.

Report typu 2 je za určité období, obvykle ne kratší než šest měsíců. Výrok poskytuje ujištění o popisu a vhodnosti návrhu kontrol a také o provozní účinnosti kontrol. Prověrka typu 2 zahrnuje podrobné testování kontrol za celé vykazované období.

Jak se formulují zprávy SOC?“

Kroky při provádění prověrky SOC se liší v závislosti na tom, jak je organizace připravena splnit požadavky. Obvykle doporučujeme jako auditor služeb při provádění prověrky SOC postupovat podle níže uvedeného čtyřstupňového procesu:

Krok prověrky SOC 1: Proveďte schůzku k zakázce/plánování

Auditor služeb se sejde s organizací služeb, aby určil rozsah systému nebo služeb, variantu SOC, která je pro potřeby organizace nejvhodnější, a načasování, harmonogram a poplatky za zakázku.

Krok 2 prověrky SOC: Provedení posouzení připravenosti

Setkání se koná za účelem projednání zásad, procesů a postupů, které má organizace zavedeny, nebo zda je třeba je vytvořit či zdokonalit. Procházky, pozorování a dotazy týkající se procesů a postupů provádí auditor služeb.

Organizace je odpovědná za vypracování kontrolních cílů a souvisejících kontrol (zpráva SOC 1) nebo konkrétních kontrol, aby splnila kritéria zprávy SOC 2; auditor služeb však může sdílet znalosti, poskytovat rady nebo doporučovat vhodné kontrolní formulace, aby organizaci pomohl v tomto úkolu.

Všechny oblasti s nedostatky zjištěné auditorem služeb jsou oznámeny organizaci poskytující služby, aby mohly být procesy a kontroly zdokonaleny s cílem poskytnout přiměřenou jistotu, že organizace je dobře připravena před provedením prověrky SOC.

Krok 3 prověrky SOC: Prověrka typu 1 a podávání zpráv (SOC 1 nebo SOC 2)

Organizace se mohou rozhodnout, že před přechodem na prověrku typu 2 provedou prověrku typu 1, která pomůže zajistit, že kontroly jsou k určitému datu vhodně navrženy a zavedeny.

Oficiální zprávu vydává ještě auditor služeb; protože se však neprovádí podrobné testování provozní účinnosti kontrol, jsou kontroly pouze uvedeny jako součást popisu systému organizace. Výrok auditora služby je vyjádřen s ohledem na věrnost prezentace popisu (SOC 1) nebo podle kritérií popisu (SOC 2) a na to, zda jsou kontroly vhodně navrženy.

Ačkoli se ne všechny organizace rozhodnou nechat si provést typ 1, je to rozhodně možnost, kterou je třeba zvážit, aby se předešlo četným výjimkám nebo nedostatkům, které by mohly vzniknout příliš rychlým přechodem na typ 2. V případě, že by se organizace rozhodly pro typ 1, je třeba o této možnosti uvažovat.

Krok 4 prověrky SOC: Prověrka typu 2 a vykazování (SOC 1 nebo SOC 2)

Pokud se organizace rozhodne pro provedení prověrky typu 2, provede auditor služby podrobné testování v průběhu celého vykazovaného období, jak bylo stanoveno během procesu plánování.

V této zprávě auditor služby zahrne popis provedených testů a výrok se bude opět týkat věrnosti prezentace popisu (nebo kritérií popisu), toho, zda jsou kontroly vhodně navrženy, a také toho, zda kontroly ve vykazovaném období fungovaly efektivně.

Jak si může moje organizace nechat dokončit prověrku SOC pro zprávu SOC?

Profesionálové společnosti Warren Averett v oblasti rizik, bezpečnosti a technologií úzce spolupracují s organizacemi poskytujícími služby, aby důkladně porozuměli požadavkům jejich zainteresovaných stran, a my tak mohli přesně určit správná řešení pro jejich potřeby, pokud jde o prověrky SOC a atestační služby.

Nechte se oslovit poradcem společnosti Warren Averett, aby s vámi zahájil rozhovor o tom, jak by mohla vypadat zpráva SOC pro vaši organizaci.

Původně byl zveřejněn 16. prosince 2019.