Systeemi- ja organisaatiovalvontaraporteista (SOC-raportit) on nopeasti tulossa välttämättömyys luottamuksen rakentamiseksi ja varmuuden antamiseksi organisaation asiakkaille (ja mahdollisille asiakkaille) organisaation tarjoamista palveluista.

Organisaation järjestelmän tai sen toimittajien haavoittuvuuksista johtuvien tietoturvaloukkausten ja vaaratilanteiden määrä kasvaa, ja monet organisaatiot pyrkivät suojautumaan kalliilta tietoverkkorikollisuudelta.

Kuin tietoverkkoturva ja sisäinen valvonta saavat yhä enemmän huomiota ja painotusta nykypäivän liike-elämässä, niin myös SOC-raportit saavat yhä enemmän huomiota ja painotusta.

Aika vähissä? Kuuntele ja opi tästä podcast-jaksostamme: Miksi SOC-raportointi on tärkeää palveluntarjoajille?

Mikä on SOC-raportti?

SOC-raportti on SOC-tarkastuksen tulos ja havainnot, joiden tarkoituksena on antaa varmuus organisaation sisäisen valvonnan toimivuudesta.

Kuka voi laatia SOC-raportin?

SOC-tarkastuksia tekevät riippumattomat tilintarkastajat (palveluntarkastajat) American Institute of Certified Public Accountantsin (AICPA) sertifiointistandardien mukaisesti.

Mitä ovat sisäiset kontrollit?

The Committee of Sponsoring Organizations of the Treadway Commission (COSO) määrittelee sisäisen valvonnan laajasti ”yhteisön hallituksen, johdon ja muun henkilöstön toteuttamaksi prosessiksi, jonka tarkoituksena on antaa kohtuullinen varmuus toimintoihin, raportointiin ja säännösten noudattamiseen liittyvien tavoitteiden saavuttamisesta”.”

Sisäinen valvonta on pohjimmiltaan toimenpiteitä, joita organisaatiosi toteuttaa omien sisäisten toimintojensa osalta tehokkuuden lisäämiseksi, vastuuvelvollisuuksilta suojautumiseksi ja säännösten ja lakien noudattamiseksi.

Miten organisaationi voi hankkia SOC-sertifioinnin?

Termi ”SOC-sertifiointi” on itse asiassa harhaanjohtava nimitys, joka on seurausta yleisestä SOC-raportteihin liittyvästä väärinkäsityksestä. Organisaatiot kysyvät usein, miten ne voivat saada ”SOC-sertifioinnin” tai ”SOC-yhteensopivuuden”, mutta SOC-raporttien osalta ei ole olemassa sertifiointia eikä läpäisyä tai epäonnistumista.

Kun SOC-tarkastus on suoritettu, annetaan raporttipaketti, joka sisältää riippumattoman palveluntarkastajan raportin, tarkastajan suorittamat testit ja niiden tulokset sekä palveluorganisaation vakuutuksen ja kuvauksen järjestelmästä (tai selostuksen kontrolleista).

Tässä riippumattoman palveluntarkastajan raportissa palveluntarkastaja antaa lausunnon. Jos järjestelmän kuvaus on asianmukaisesti esitetty (SOC 1) tai kuvausperusteiden mukainen (SOC 2), kontrollit on suunniteltu asianmukaisesti ja kontrollit toimivat tehokkaasti (tyypin 2 kontrollit), palveluntarkastaja antaa todennäköisesti ”muuttamattoman lausunnon”, mikä on yleensä suositeltava tulos.

Jos testauksessa kuitenkin havaitaan merkittäviä ongelmia tai kuvaus on harhaanjohtava tai siitä puuttuu olennaisia tietoja, palveluntarkastaja voi antaa rajoitetun tai jopa kielteisen lausunnon, riippuen ongelmien laajuudesta.

Kuka tarvitsee SOC-raportin?

Päätös SOC-tarkastuksen teettämisestä johtuu tavallisesti palveluorganisaation asiakkailta tai potentiaalisilta asiakkailta tulevilta asiakkailta tulleista pyynnöistä tai vaatimuksista SOC-raportin laatimiseksi. Todennäköisesti tiedät siis tarvitsevasi SOC-raportin, koska asiakkaasi pyytävät sitä sinulta.

Monille yrityksille SOC-raportin pyytäminen toimittajiltaan on yleensä osa hyviä toimittajahallintaprosesseja ja tyypillistä organisaation toimittajiin kohdistuvaa due diligence -tarkastusta, jolla pyritään puuttumaan riskeihin, jotka liittyvät palvelujen ulkoistamiseen kyseiselle toimittajalle.

On tärkeää muistaa, että vaikka asiakkaasi tai potentiaaliset asiakkaasi voivat ulkoistaa palveluja, he ovat silti vastuussa omien tietojensa suojaamisesta, ja SOC-raportit ovat menetelmä, jonka avulla he voivat rakentaa luottamusta yritykseesi ja heille tarjoamiisi palveluihin.

Organisaatioilla tulisi olla SOC-raportti, jos ne:

• joita pidetään ”palveluorganisaationa” (organisaatio, joka tarjoaa palveluja käyttäjäorganisaatioille);
• joita nykyiset tai tulevat asiakkaat pyytävät usein täyttämään yksityiskohtaisen kyselylomakkeen organisaation tietoturvasta tai sisäisestä valvonnasta, joka on käytössä sellaisten riskien käsittelemiseksi, jotka uhkaavat sopimuksen mukaisten palveluiden tai järjestelmäsitoumusten saavuttamista; tai
• joita nykyiset tai tulevat asiakkaat pyytävät usein toimittamaan SOC-raportin. (Tämä voi olla ratkaiseva tekijä nykyisten asiakkaiden pitämisessä tai mahdollisen asiakkaan liiketoiminnan voittamisessa.)

Mikä on tyypillinen aikataulu SOC-tarkastuksen suorittamiselle?

SOC-tarkastukset voivat olla pitkällinen prosessi, ja niiden suorittaminen voi joskus viedä useita kuukausia tai jopa vuoden riippuen siitä, miten hyvin organisaatio on valmistautunut täyttämään vaatimukset.

Organisaatioilla, joilla on jo vankat käytännöt, menettelyt ja sisäinen valvonta käytössä, prosessi voi varmasti olla lyhyempi.

Jos näitä asioita ei ole käytössä, suosittelemme tyypillisesti, että organisaatio käy läpi Readiness Assessment -arvioinnin valmiuksien määrittämiseksi, puutteiden tai parannusalueiden tunnistamiseksi ja sen välttämiseksi, että SOC-tutkintoon ryhdytään liian nopeasti. Näin toimimalla vältettäisiin toivottavasti merkittävät poikkeukset tai puutteet SOC-raportissa, kun se valmistuu.

Valitsipa organisaatio ennakoivan lähestymistavan tai teettää SOC-tarkastuksen vastauksena pyyntöihin, toivomme viime kädessä, että se saa myös korvaamatonta tietoa siitä, miten hyvin sen sisäisen valvonnan prosessit toimivat ja millä alueilla parannukset ovat ratkaisevan tärkeitä.

Onko SOC-tutkinnoista olemassa erilaisia variaatioita?

Kyllä.

Palveluorganisaatioille on olemassa SOC 1®-, SOC 2®- ja SOC 3®-tutkintoja. Näiden tutkintojen lisäksi AICPA on laatinut myös kyberturvallisuuden SOC-tutkinnon ja toimitusketjun SOC-tutkinnon.

AICPA on brändännyt SOC-palvelusarjan ja raportointivaihtoehdot seuraavasti:

SOC for Service Organizations
SOC 1 Examinations (Types 1 and 2)	Tarkoituksena raportoida palveluorganisaatiossa olevista kontrolleista, jotka ovat merkityksellisiä yhteisön taloudelliseen raportointiin kohdistuvan sisäisen valvonnan (ICFR) kannalta. Tyypillisesti suoritetaan palveluiden, kuten työsuhde-etuuksien tai eläkejärjestelyjen, osalta, rahoitus-/hoitopalvelut, palkanlaskenta, maksujen käsittely, lainanhoito jne. Raportit on rajoitettu palveluorganisaation johdolle, käyttäjäyhteisöille ja käyttäjien tilintarkastajille.
SOC 2 -tarkastukset (tyypit 1 ja 2)	Perustuu AICPA:n määrittelemiin TSP 100, 2017 -luottamusalan palveluiden kriteereihin, ja niiden tarkoituksena on vastata monenlaisten käyttäjien tarpeita ymmärtää viiteen luottamusalan palveluiden kategoriaan liittyvä sisäinen valvonta: Tyypillisesti suoritetaan datakeskusten yhteissijoituksille, SaaS-palvelujen (Software as a Service) tarjoajille, pilvipalvelujen tarjoajille, hallinnoitujen IT-palvelujen tarjoajille jne. Raportit rajataan järjestelmän käyttäjäyksiköille, liikekumppaneille, mahdollisille käyttäjäyksiköille ja liikekumppaneille sekä sääntelyviranomaisille, joilla on käsitys palveluorganisaatiosta ja sen valvonnasta. Lisäaiheita ja lisäkriteerejä voidaan käsitellä muiden sisäisen valvonnan viitekehysten SOC 2+ -tutkinnoissa (esim, SOC 2+ HIPAA).
SOC 3 -tarkastukset	Toteutetaan samojen luottamuspalveluluokkien osalta kuin SOC 2 -tutkinnossa, mutta raportti ei ole yhtä yksityiskohtainen eikä siihen sisälly testaustuloksia Suunniteltu yksiköille, jotka käsittelevät sähköisiä kuluttajatietoja sähköistä kaupankäyntiä, ohjelmistoja palveluna (Software as a Service) jne. hyödyntäen. Yleiskäyttöraportit, joita voidaan jakaa vapaasti niille, joilla ei ole riittävästi tietoa SOC 2 -raporttien ymmärtämiseksi
SOC for Cybersecurity
	Raportoi organisaation kyberturvallisuusriskienhallintaohjelmasta ja kokonaisuudesta .wide controls Kontrollit testataan, mutta testauksen tuloksia ei sisällytetä raporttiin. Yleiskäyttöraportit
SOC for Supply Chain
	Käsittelee AICPA:n luottamuspalvelukriteerejä, jotka ovat merkityksellisiä luokkien Security kannalta, Availability (Saatavuus), Processing Integrity (Käsittelyn eheys), Confidentiality (Luottamuksellisuus) tai Privacy (Yksityisyys) Raportit auttavat toimitusketjuja tiedottamaan tehokkaasti järjestelmiensä tuotanto- ja jakeluriskien valvonnasta. Suunniteltu antamaan valmistajille, tuottajille ja jakeluyrityksille varmuus tavarantoimittajiensa valvonnasta.

Koska käyttäjäyksiköt vaativat eniten SOC 1- ja SOC 2 -raportteja, yksityiskohtaisempi yleiskatsaus näistä kahdesta raporttivaihtoehdosta on perusteltu.

Kummassakin raportissa on kaksi tyyppiä: Tyyppi 1 ja tyyppi 2, jotka myös esitellään.

Mikä on SOC 1 -raportti?

SOC 1 -raporteissa ei ole määritelty kriteerejä. Palveluorganisaatio kehittää ja laatii yleiset valvontatavoitteet ja niihin liittyvät valvontatavoitteiden saavuttamiseen liittyvät erityiset kontrollit. Palveluorganisaatio vastaa myös raportin järjestelmäkuvausosiosta.

SOC 1 -raporttien tarkoituksena on raportoida palveluorganisaatiossa olevista kontrolleista, jotka ovat merkityksellisiä yhteisön taloudellisen raportoinnin sisäisen valvonnan (ICFR) kannalta, ja ne tehdään tyypillisesti sellaisista palveluista kuin työsuhde-etuuksista tai eläkejärjestelyistä, rahoitus-/hoitopalveluista, palkanlaskennan käsittelystä, maksujen käsittelystä, lainojen hoidosta jne.

SOC 1 -raportit on rajattu palveluorganisaation johdolle, käyttäjäyhteisöille ja niiden tilintarkastajille.

Mikä on SOC 2 -raportti?

SOC 2 -raporteissa AICPA on täsmentänyt kontrollien arvioinnissa käytettävät luottamuspalvelukriteerit ja tarjoaa painopisteitä, joita organisaatiot voivat käyttää apuna sovellettavien kontrollien ja valvontakielen määrittämisessä.

Luottamuspalvelukriteerit voidaan luokitella viiteen luokkaan:

• Turvallisuus;
• Käytettävyys;
• Käsittelyn eheys;
• Luottamuksellisuus;
• Luottamuksellisuus;
• Salaisuus.

Valittaessa SOC 2 -tutkintoja on käytettävä turvallisuusluokkaa (jota kutsutaan myös ”yhteisiksi kriteereiksi”), minkä jälkeen voidaan valita lisäluokkia, jotka soveltuvat organisaation palvelusitoumuksiin tai järjestelmävaatimuksiin.

Jos palveluorganisaatio esimerkiksi hahmottelee palvelutasosopimuksissaan, että järjestelmä tai ohjelmistoalusta on käyttäjiensä käytettävissä 24/7, 365 päivää vuodessa ja että toiminnan jatkuvuus- ja palautumismenettelyt on otettu käyttöön ja testattu vähintään vuosittain, saatavuusluokka olisi merkityksellinen niiden raportin kannalta.

AICPA on myös kehittänyt tietyt standardit, joita palveluorganisaation on käytettävä laatiessaan järjestelmän kuvausta SOC 2 -raportteja varten, ja nämä standardit on esitetty Description Criteria (DC) Section 200:ssa.

SOC 2 -tarkastuksia tehdään tyypillisesti datakeskusten yhteissijoitusyrityksille, Software as a Service (SaaS) -palveluntarjoajille, pilvipalveluiden tarjoajille, hallinnoitujen tietotekniikkapalveluiden tarjoajille jne.

Nämä raportit on rajattu järjestelmän käyttäjäyksiköille, liikekumppaneille, mahdollisille käyttäjäyksiköille ja liikekumppaneille sekä sääntelyviranomaisille, joilla on käsitys palveluorganisaatiosta ja sen valvonnasta.

Mitä eroa on tyypin 1 ja tyypin 2 SOC-raportilla?

Tyypin 1 raportti on laadittu tietystä päivämäärästä, ja siinä varmistetaan, että järjestelmän kuvaus on esitetty asianmukaisesti (SOC 1 -raportti) tai että se on kuvauskriteerien mukainen (SOC 2 -raportti) ja että kontrollit on suunniteltu asianmukaisesti tietystä päivämäärästä alkaen. Kontrollit käydään läpi ja yksi niistä testataan, mutta yksityiskohtaista testausta ei suoriteta.

Tyypin 2 raportti koskee tiettyä ajanjaksoa, yleensä vähintään kuutta kuukautta. Lausunnossa annetaan varmuus valvonnan kuvauksesta ja suunnittelun soveltuvuudesta sekä valvonnan toimivuudesta. Tyypin 2 tarkastus sisältää kontrollien yksityiskohtaisen testauksen koko raportointikauden ajalta.

Miten SOC-raportit laaditaan?

SOC-tarkastuksen suorittamisen vaiheet vaihtelevat sen mukaan, miten organisaatio on valmistautunut täyttämään vaatimukset. Tyypillisesti suosittelemme palveluntarkastajana noudattamaan alla esitettyä nelivaiheista prosessia SOC-tarkastusta suorittaessaan:

SOC-tarkastus Vaihe 1: Suorita toimeksianto/suunnittelupalaveri

Palveluntarkastaja tapaa palveluorganisaation määrittääkseen järjestelmän tai palveluiden laajuuden, organisaation tarpeisiin parhaiten soveltuvan SOC-vaihtoehdon sekä toimeksiannon ajoituksen, aikataulun ja maksut.

SOC-tarkastuksen vaihe 2: Suorita valmiuden arviointi

Tapaamisissa keskustellaan käytännöistä, prosesseista ja menettelytavoista, jotka organisaatiolla on käytössä tai joita on kehitettävä tai hiottava. Palveluntarkastaja tekee prosessien ja menettelyjen läpikäyntejä, havaintoja ja kyselyitä.

Organisaatio vastaa valvontatavoitteiden ja niihin liittyvien valvontakeinojen (SOC 1 -raportti) tai erityisten valvontakeinojen kehittämisestä SOC 2 -raportin kriteerien täyttämiseksi; palveluntarkastaja voi kuitenkin jakaa tietämystään, antaa neuvoja tai suositella sopivaa valvontakielenkäyttöä auttaakseen organisaatiota tässä tehtävässä.

Palvelutarkastajan havaitsemat puutealueet raportoidaan palveluorganisaatiolle, jotta prosesseja ja kontrolleja voidaan tarkentaa, jotta voidaan antaa kohtuullinen varmuus siitä, että organisaatio on hyvin valmistautunut ennen SOC-tarkastuksen suorittamista.

SOC-tarkastuksen vaihe 3: Tyypin 1 tarkastus ja raportointi (SOC 1 tai SOC 2)

Organisaatiot voivat halutessaan suorittaa tyypin 1 tarkastuksen ennen tyypin 2 tarkastukseen siirtymistä, jotta voidaan varmistaa, että kontrollit on suunniteltu ja toteutettu asianmukaisesti tiettyyn päivämäärään mennessä.

Palvelun tilintarkastaja laatii edelleen virallisen raportin; Koska valvontatoimien toimivuutta ei kuitenkaan testata yksityiskohtaisesti, valvontatoimet vain luetellaan osana organisaation järjestelmäkuvausta. Palveluntarkastajan lausunto annetaan kuvauksen esittämisen oikeudenmukaisuudesta (SOC 1) tai kuvauskriteerien mukaisesti (SOC 2) ja siitä, ovatko kontrollit asianmukaisesti suunniteltuja.

Vaikka kaikki organisaatiot eivät valitse tyypin 1 suorittamista, se on ehdottomasti harkittava vaihtoehto, jotta vältetään useat poikkeukset tai puutteet, joita voi syntyä liian nopeasta siirtymisestä tyypin 2 suorittamiseen.

SOC-tarkastuksen vaihe 4: Tyypin 2 tarkastus ja raportointi (SOC 1 tai SOC 2)

Jos organisaatio valitsee tyypin 2 tarkastuksen suorittamisen, palveluntarkastaja suorittaa yksityiskohtaisen testauksen koko raportointikauden ajan suunnitteluprosessin aikana määritellyllä tavalla.

Tässä raportissa palveluntarkastaja sisällyttää suoritettujen testien kuvauksen, ja lausunto kattaa jälleen kuvauksen esitystavan oikeellisuuden (tai kuvauskriteerit), sen, ovatko kontrollit asianmukaisesti suunniteltuja, ja myös sen, ovatko kontrollit toimineet tehokkaasti raportointikauden aikana.

Miten organisaationi voi saada SOC-tarkastuksen suoritetuksi SOC-raporttia varten?

Warren Averettin riski-, turvallisuus- ja teknologia-asiantuntijat työskentelevät tiiviissä yhteistyössä palveluja tarjoavien organisaatioiden kanssa saadakseen perusteellisen ymmärryksen sidosryhmiensä vaatimuksista, jotta pystymme määrittelemään oikeat ratkaisut heidän tarpeisiinsa SOC-tarkastusten ja todentamispalvelujen osalta.

Lupaa Warren Averettin neuvonantajalle ottaa sinuun yhteyttä, jotta voimme aloittaa keskustelun siitä, millainen SOC-raportti voisi olla organisaatiollesi.

Päivitys on tehty 3. marraskuuta 2020.