System- og organisationskontroller (SOC-rapporter) forklaret: Forklaret: Opbygning af tillid til de tjenester, du leverer

Posted by admin Articles

System- og organisationskontrolrapporter (SOC-rapporter) er hurtigt blevet en nødvendighed for at opbygge tillid og for at give en organisations kunder (og potentielle kunder) sikkerhed for de tjenester, som organisationen leverer.

Antallet af brud og hændelser, der skyldes sårbarheder i en organisations system eller fra organisationens leverandører, er stigende, og mange organisationer søger at beskytte sig mod kostbar cyberkriminalitet.

Da cybersikkerhed og interne kontroller får mere opmærksomhed og vægt i dagens erhvervsliv, er SOC-rapporterne det også.

Er du i tidsnød? Lyt og lær i denne episode af vores podcast: Hvorfor er SOC-rapportering vigtig for tjenesteudbydere?

Hvad er en SOC-rapport?

En SOC-rapport er resultatet og resultaterne af en SOC-undersøgelse, som er designet til at give sikkerhed for, at en organisations interne kontroller fungerer.

Hvem kan udstede en SOC-rapport?

SOC-undersøgelser udføres af uafhængige statsautoriserede revisorer (servicerevisorer) i henhold til American Institute of Certified Public Accountants’ (AICPA) attesteringsstandarder.

Hvad er interne kontroller?

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) definerer i bred forstand intern kontrol som “en proces, der udføres af en virksomheds bestyrelse, ledelse og andet personale, og som er udformet med henblik på at give rimelig sikkerhed for opfyldelse af målene vedrørende drift, rapportering og overholdelse af reglerne.”

Substantielt set er interne kontroller de foranstaltninger, som din organisation iværksætter vedrørende sin egen interne drift for at øge effektiviteten, beskytte sig mod ansvar og forblive i overensstemmelse med regler og love.

Hvordan kan min organisation opnå SOC-certificering?

Udtrykket “SOC-certificering” er faktisk en misforståelse, som skyldes en almindelig misforståelse om SOC-rapporter. Organisationer spørger ofte, hvordan de kan blive “SOC-certificeret” eller “SOC-kompatibel”, men der er ingen certificering og ingen bestået eller dumpet med SOC-rapporter.

Når SOC-undersøgelsen er afsluttet, udstedes der en rapporteringspakke, som indeholder den uafhængige servicerevisors rapport, test udført af revisoren og resultaterne af disse test samt serviceorganisationens påstand og beskrivelse af systemet (eller fortælling om kontrollerne).

I denne uafhængige servicerevisors rapport afgiver servicerevisoren en udtalelse. Hvis beskrivelsen af systemet er rimeligt præsenteret (SOC 1) eller i overensstemmelse med beskrivelseskriterierne (SOC 2), kontrollerne er hensigtsmæssigt udformet, og kontrollerne fungerer effektivt (type 2), vil servicerevisor sandsynligvis afgive en “uændret erklæring”, hvilket normalt er det foretrukne resultat.

Hvis der imidlertid findes væsentlige problemer ved testningen, eller hvis beskrivelsen er misvisende eller mangler relevante oplysninger, kan servicerevisor udstede en erklæring med forbehold eller endog en negativ udtalelse, afhængigt af problemets udbredelse.

Hvem har brug for en SOC-rapport?

Beslutningen om at få foretaget en SOC-undersøgelse er normalt drevet af anmodninger eller krav om en SOC-rapport fra serviceorganisationens kunder eller potentielle kunder. Så du ved højst sandsynligt, at du har brug for en SOC-rapport, fordi dine kunder beder dig om en.

For mange virksomheder er det at anmode om en SOC-rapport fra deres leverandører normalt en del af gode processer for leverandørstyring og typisk for den due diligence, der udføres over for en organisations leverandører for at imødegå risici i forbindelse med outsourcing af tjenester til den pågældende leverandør.

Det er vigtigt at huske, at selvom dine kunder eller potentielle kunder kan outsource tjenester, er de stadig ansvarlige for at beskytte deres egne oplysninger, og SOC-rapporter er en metode for dem til at opbygge tillid til din virksomhed og de tjenester, du leverer til dem.

Organisationer bør have en SOC-rapport, hvis de:

  • betragtes som en “serviceorganisation” (en organisation, der leverer tjenester til brugerenheder);
  • af nuværende eller potentielle kunder ofte bliver bedt om at udfylde et detaljeret spørgeskema om organisationens sikkerhed eller om de interne kontroller, der er indført for at imødegå risici, der truer opfyldelsen af kontraktlige tjenester eller systemforpligtelser; eller
  • af nuværende eller potentielle kunder ofte bliver bedt om at levere en SOC-rapport. (Dette kan være den afgørende faktor for at beholde nuværende kunder eller vinde en potentiel kundes forretning.)

Hvad er den typiske tidslinje for at få gennemført en SOC-undersøgelse?

SOC-undersøgelser kan være en langvarig proces, der nogle gange kan tage flere måneder eller endda et år at gennemføre, afhængigt af hvor forberedt organisationen er på at opfylde kravene.

For de organisationer, der allerede har robuste politikker, procedurer og interne kontroller på plads, kan processen helt sikkert være kortere.

Hvis disse ting ikke er på plads, anbefaler vi typisk, at organisationen gennemgår en Readiness Assessment for at fastslå beredskabet, identificere huller eller områder, der skal forbedres, og for at undgå at springe for hurtigt ud i en SOC-undersøgelse. Hvis man gør det, vil man forhåbentlig undgå væsentlige undtagelser eller mangler i SOC-rapporten, når den er færdig.

Hvorvidt organisationen vælger en proaktiv tilgang eller får foretaget en SOC-undersøgelse som svar på anmodninger om en sådan, håber vi i sidste ende, at de også vil få uvurderlig viden om, hvor godt deres interne kontrolprocesser fungerer, og områder, hvor forbedringer er afgørende.

Er der forskellige variationer af SOC-undersøgelser?

Ja.

For serviceorganisationer findes der SOC 1®-, SOC 2®- og SOC 3®-undersøgelser. Ud over disse eksaminer har AICPA også formuleret et SOC for cybersikkerhed og et SOC for forsyningskæde.

AICPA har brandet SOC Suite of Services og rapporteringsmulighederne som følger:

SOC for Service Organizations
SOC 1 Examinations (Types 1 and 2)
  • Sigtet er at rapportere om kontroller hos en serviceorganisation, der er relevante for en virksomheds interne kontrol over den finansielle rapportering (ICFR)
  • Typisk udført over tjenester såsom medarbejderydelser eller pensionsordninger, finansielle/tjenestetjenester, lønbehandling, betalingsbehandling, låneadministration osv.
  • Rapporterne er begrænset til ledelsen af serviceorganisationen, brugervirksomheder og brugerrevisorer.
SOC 2-undersøgelser (type 1 og 2)
  • Baseret på TSP 100, 2017 Trust Services Criteria specificeret af AICPA og beregnet til at opfylde behovene hos en bred vifte af brugere for at forstå interne kontroller, der er relevante for de fem kategorier af tillidstjenester: Sikkerhed (Common Criteria), tilgængelighed, behandlingsintegritet, fortrolighed eller privatliv
  • Typisk udført for datacentersamarbejdspladser, udbydere af software som en tjeneste (SaaS), udbydere af cloud-tjenester, udbydere af administrerede it-tjenester osv.
  • Rapporterne er begrænset til brugerenheder af systemet, forretningspartnere, potentielle brugerenheder og forretningspartnere samt tilsynsmyndigheder, der har en forståelse af serviceorganisationen og dens kontroller.
  • Der kan behandles yderligere emner og kriterier i SOC 2+-undersøgelser over andre interne kontrolrammer (f.eks, SOC 2+ HIPAA).
SOC 3-undersøgelser
  • Udføres over de samme tillidstjenestekategorier som SOC 2-undersøgelsen, men rapporten er mindre detaljeret og omfatter ikke testresultater
  • Designet til enheder, der behandler elektroniske forbrugerdata ved hjælp af e-handel, Software as a Service og andre elektroniske systemer osv.
  • Rapporter til generel brug, der frit kan distribueres til dem, der ikke har tilstrækkelig viden til at forstå SOC 2-rapporter
SOC for Cybersecurity
  • Rapporterer om en organisations cybersikkerhedsrisikostyringsprogram og enhed-
  • Rapporterer om en organisations cybersikkerhedsrisikostyringsprogram og enhed-
  • wide controls
  • Der udføres testning af kontroller, men resultaterne af testen indgår ikke i rapporten.
  • Rapporter til generel brug
SOC for Supply Chain
  • Rapporterer om AICPA Trust Services-kriterierne, der er relevante for kategorierne Sikkerhed, tilgængelighed, behandlingsintegritet, fortrolighed eller privatliv
  • Rapporterne hjælper forsyningskæderne med at kommunikere effektivt om de eksisterende kontroller af produktions- og distributionsrisici i deres systemer.
  • Designet til at give producenter, producenter og distributionsvirksomheder sikkerhed for kontrollen hos deres leverandører.

Da SOC 1- og SOC 2-rapporter er de mest efterspurgte af brugerenhederne, er det berettiget at give en mere detaljeret oversigt over disse to rapportmuligheder.

Både disse rapporter har to typer: Type 1 og Type 2, som også er skitseret.

Hvad er en SOC 1-rapport?

I SOC 1-rapporter er der ingen specificerede kriterier. Serviceorganisationen udvikler og skriver de overordnede kontrolmål og de relaterede kontroller, der er specifikke for at opnå kontrolmålene. Serviceorganisationen er også ansvarlig for rapportens beskrivelse af systemafsnittet.

SOC 1-rapporter har til formål at rapportere om kontroller hos en serviceorganisation, der er relevante for en virksomheds interne kontrol med den finansielle rapportering (ICFR), og de udføres typisk over tjenester som f.eks. personale- eller pensionsordninger, finansielle/tjenestetjenester, lønbehandling, betalingsbehandling, låneservice osv.

SOC 1-rapporter er begrænset til ledelsen af serviceorganisationen, brugerenhederne og deres revisorer.

Hvad er en SOC 2-rapport?

I SOC 2-rapporter har AICPA specificeret de tillidstjenestekriterier, der anvendes til at evaluere kontroller, og giver fokuspunkter, som organisationer kan bruge til at hjælpe med at bestemme gældende kontroller og kontrolsprog.

Kriterierne for tillidstjenester kan inddeles i fem kategorier:

  • Sikkerhed;
  • Beredygtighed;
  • Procesintegritet;
  • Fortrolighed; og
  • Fortrolighed.

Når man vælger at anvende SOC 2-undersøgelser, skal sikkerhedskategorien (også identificeret som de “fælles kriterier”) anvendes, og derefter kan der vælges yderligere kategorier, hvis de er relevante for organisationens serviceforpligtelser eller systemkrav.

For eksempel, hvis serviceorganisationen i sine serviceniveauaftaler beskriver, at systemet eller softwareplatformen vil være tilgængelig for brugerne 24/7, 365 dage om året, og at der er etableret og testet procedurer for driftskontinuitet og disaster recovery mindst en gang om året, vil tilgængelighedskategorien være relevant for deres rapport.

AICPA har også udviklet visse standarder, som serviceorganisationen skal anvende ved udarbejdelsen af beskrivelsen af systemet til SOC 2-rapporter, som er beskrevet i Description Criteria (DC) Section 200.

SOC 2-undersøgelser udføres typisk for Datacenter Co-locations, Software as a Service (SaaS)-leverandører, Cloud Service-leverandører, Managed IT Services-leverandører osv.

Disse rapporter er begrænset til brugerenheder af systemet, forretningspartnere, potentielle brugerenheder og forretningspartnere samt tilsynsmyndigheder, der har en forståelse af serviceorganisationen og dens kontroller.

Hvad er forskellen mellem en SOC-rapport af type 1 og type 2?

En type 1-rapport er pr. en bestemt dato og sikrer, at beskrivelsen af systemet er retvisende præsenteret (SOC 1-rapport) eller er i overensstemmelse med beskrivelseskriterierne (SOC 2-rapport), og at kontrollerne er hensigtsmæssigt udformet pr. den bestemte dato. Der foretages en gennemgang af kontrollerne og test af en af dem, men der er ingen detaljeret testning.

En type 2-rapport dækker en nærmere angivet periode, typisk ikke under seks måneder. Udtalelsen giver sikkerhed for beskrivelsen og hensigtsmæssigheden af kontrollernes udformning samt for kontrollernes effektivitet i driften. Type 2-undersøgelsen omfatter detaljeret testning af kontroller i hele rapporteringsperioden.

Hvordan formuleres SOC-rapporter?

Trinene i forbindelse med udførelsen af en SOC-undersøgelse varierer, afhængigt af, hvor forberedt organisationen er på at opfylde kravene. Typisk anbefaler vi som servicerevisor at følge nedenstående proces i fire trin ved gennemførelse af en SOC-undersøgelse:

SOC-undersøgelse Trin 1: Gennemførelse af et møde om engagement/planlægning

Servicerevisor mødes med serviceorganisationen for at fastlægge omfanget af systemet eller tjenesterne, den SOC-mulighed, der er mest anvendelig for organisationens behov, samt tidspunkt, planlægning og honorar for engagementet.

SOC-undersøgelse Trin 2: Gennemførelse af en beredskabsvurdering

Møder afholdes for at drøfte politikker, processer og procedurer, som organisationen har på plads, eller om de skal udvikles eller finpudses. Servicerevisor foretager gennemgange, observationer og forespørgsler vedrørende processer og procedurer.

Organisationen er ansvarlig for at udvikle kontrolmål og relaterede kontroller (SOC 1-rapport) eller specifikke kontroller for at opfylde kriterierne i SOC 2-rapporten; servicerevisor kan dog dele viden, give råd eller anbefale passende kontrolsprog for at hjælpe organisationen med denne opgave.

Alle områder med mangler, som servicerevisor identificerer, rapporteres til serviceorganisationen, således at processer og kontroller kan forfines med henblik på at give rimelig sikkerhed for, at organisationen er godt forberedt, inden SOC-undersøgelsen gennemføres.

SOC-undersøgelse Trin 3: Type 1-undersøgelse og rapportering (SOC 1 eller SOC 2)

Organisationer kan vælge at få udført type 1-undersøgelsen, før de går over til type 2-undersøgelsen, for at hjælpe med at sikre, at kontrollerne er hensigtsmæssigt udformet og implementeret pr. en bestemt dato.

Der udarbejdes stadig en formel rapport af servicerevisor; Da der imidlertid ikke foretages en detaljeret test af kontrollernes effektivitet, er kontrollerne blot opført som en del af organisationens systembeskrivelse. Servicerevisoren udtaler sig om, hvorvidt beskrivelsens præsentation er rimelig (SOC 1) eller i overensstemmelse med beskrivelseskriterierne (SOC 2), og om kontrollerne er hensigtsmæssigt udformet.

Selv om ikke alle organisationer vælger at få udført type 1, er det bestemt en mulighed, der bør overvejes for at undgå flere undtagelser eller mangler, der kan opstå ved at gå over til type 2 for hurtigt.

SOC-undersøgelse Trin 4: Type 2-undersøgelse og rapportering (SOC 1 eller SOC 2)

Når organisationen vælger at få udført Type 2-undersøgelsen, vil den detaljerede testning blive gennemført af servicerevisor over hele rapporteringsperioden som angivet under planlægningsprocessen.

I denne rapport medtager servicerevisor en beskrivelse af de udførte test, og udtalelsen vil igen dække rimeligheden af præsentationen af beskrivelsen (eller beskrivelseskriterierne), om kontrollerne er hensigtsmæssigt udformet, og også om kontrollerne fungerede effektivt i løbet af rapporteringsperioden.

Hvordan kan min organisation få gennemført en SOC-undersøgelse til en SOC-rapport?

Warren Averetts fagfolk inden for risiko, sikkerhed og teknologi arbejder tæt sammen med tjenesteudbydende organisationer for at få en grundig forståelse af deres interessenters krav, så vi kan udpege de rigtige løsninger til deres behov, når det gælder SOC-undersøgelser og attesteringstjenester.

Få en Warren Averett-rådgiver til at kontakte dig for at starte samtalen om, hvordan en SOC-rapport kan se ud for din organisation.

Denne blog blev oprindeligt offentliggjort den 16. december 2019 og blev senest opdateret den 3. november 2020.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.