Les rapports sur les contrôles des systèmes et des organisations (SOC) expliqués : Bâtir la confiance dans les services que vous fournissez

Posted by admin Articles

Les rapports sur les contrôles des systèmes et des organisations (SOC) deviennent rapidement une nécessité pour bâtir la confiance et pour donner une assurance aux clients (et aux clients potentiels) d’une organisation sur les services que celle-ci fournit.

Le nombre de brèches et d’incidents résultant de vulnérabilités dans le système d’une organisation ou de la part des fournisseurs de l’organisation est en augmentation, et de nombreuses organisations cherchent à se protéger contre la cybercriminalité coûteuse.

Alors que la cybersécurité et les contrôles internes gagnent en attention et en importance dans le monde des affaires d’aujourd’hui, il en va de même pour les rapports SOC.

Moins de temps ? Écoutez et apprenez dans cet épisode de notre podcast : Pourquoi les rapports SOC sont-ils importants pour les fournisseurs de services ?

Qu’est-ce qu’un rapport SOC ?

Un rapport SOC est le résultat et les conclusions d’un examen SOC, qui est conçu pour donner une assurance sur le fonctionnement des contrôles internes d’une organisation.

Qui peut émettre un rapport SOC?

Les examens SOC sont effectués par des experts-comptables indépendants (auditeurs de service) selon les normes d’attestation de l’American Institute of Certified Public Accountants (AICPA).

Que sont les contrôles internes ?

Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) définit largement le contrôle interne comme « un processus, effectué par le conseil d’administration, la direction et d’autres membres du personnel d’une entité, conçu pour fournir une assurance raisonnable quant à l’atteinte des objectifs liés aux opérations, à l’information et à la conformité. »

Essentiellement, les contrôles internes sont les mesures que votre organisation met en place concernant ses propres opérations internes afin d’accroître l’efficacité, de se protéger contre la responsabilité et de rester en conformité avec les réglementations et les lois.

Comment mon organisation peut-elle obtenir la certification SOC ?

Le terme « certification SOC » est en fait un terme impropre résultant d’une idée fausse courante sur les rapports SOC. Les organisations demandent fréquemment comment elles peuvent devenir « certifiées SOC » ou « conformes SOC », mais il n’y a pas de certification ni de réussite ou d’échec avec les rapports SOC.

Une fois l’examen SOC terminé, un dossier de rapport est émis, qui contient le rapport de l’auditeur de service indépendant, les tests effectués par l’auditeur et les résultats de ces tests, ainsi que l’affirmation et la description du système (ou le récit des contrôles) de l’organisme de service.

Dans ce rapport de l’auditeur de service indépendant, l’auditeur de service émettra une opinion. Si la description du système est présentée de manière fidèle (SOC 1) ou conforme aux critères de description (SOC 2), que les contrôles sont conçus de manière appropriée et que les contrôles fonctionnent efficacement (types 2), l’auditeur de services émettra probablement une  » opinion non modifiée « , ce qui est généralement le résultat préféré.

Toutefois, si des problèmes importants sont découverts lors des tests ou si la description est trompeuse ou manque d’informations pertinentes, l’auditeur de services pourrait émettre une opinion avec réserve ou même défavorable, selon l’omniprésence des problèmes.

Qui a besoin d’un rapport SOC ?

La décision de faire effectuer un examen SOC est généralement motivée par des demandes ou des exigences de rapport SOC de la part des clients ou des clients potentiels de l’organisme de services. Ainsi, le plus souvent, vous saurez que vous avez besoin d’un rapport SOC parce que vos clients vous en demandent un.

Pour de nombreuses entreprises, demander un rapport SOC à leurs fournisseurs fait généralement partie des bons processus de gestion des fournisseurs et est typique de la diligence raisonnable effectuée sur les fournisseurs d’une organisation afin d’aborder les risques associés à l’externalisation des services à ce fournisseur.

Il est important de se rappeler que si vos clients ou clients potentiels peuvent externaliser des services, ils sont toujours responsables de la protection de leurs propres informations, et les rapports SOC sont une méthode qui leur permet d’établir une confiance dans votre entreprise et les services que vous leur fournissez.

Les organisations devraient avoir un rapport SOC si elles :

  • sont considérées comme une « organisation de services » (une organisation qui fournit des services à des entités utilisatrices);
  • sont fréquemment invitées par des clients actuels ou potentiels à remplir un questionnaire détaillé sur la sécurité de l’organisation ou sur les contrôles internes en place pour traiter les risques qui menacent la réalisation des services contractuels ou des engagements relatifs aux systèmes ; ou
  • sont fréquemment invitées par des clients actuels ou potentiels à fournir un rapport SOC. (Cela pourrait être le facteur déterminant pour conserver les clients actuels ou gagner les affaires d’un client potentiel.)

Quel est le délai typique pour faire réaliser un examen SOC ?

Les examens SOC peuvent être un long processus, prenant parfois plusieurs mois, voire un an, selon le degré de préparation de l’organisation pour répondre aux exigences.

Pour les organisations qui ont déjà des politiques, des procédures et des contrôles internes robustes en place, le processus peut certainement être plus court.

Si ces choses ne sont pas en place, nous recommandons généralement que l’organisation passe par une évaluation de l’état de préparation pour déterminer l’état de préparation, identifier les lacunes ou les domaines à améliorer et éviter de sauter dans un examen SOC trop rapidement. Ce faisant, nous espérons éviter toute exception ou déficience importante dans le rapport SOC lorsqu’il sera terminé.

Que l’organisation choisisse une approche proactive ou qu’elle fasse effectuer un examen SOC en réponse à des demandes, nous espérons en fin de compte qu’elle obtiendra également des connaissances inestimables sur le fonctionnement de ses processus de contrôle interne et sur les domaines où une amélioration est cruciale.

Y a-t-il différentes variantes d’examens SOC ?

Oui.

Pour les organisations de services, il existe des examens SOC 1®, SOC 2® et SOC 3®. En plus de ces examens, l’AICPA a également formulé un SOC pour la cybersécurité et un SOC pour la chaîne d’approvisionnement.

L’AICPA a marqué la suite de services SOC et les options de rapport comme suit :

SOC pour les organismes de services
SOC 1 Examens (types 1 et 2)
  • Vise à rendre compte des contrôles d’un organisme de services pertinents pour le contrôle interne à l’égard de l’information financière (CIIF)
  • Typiquement effectué sur des services tels que les régimes d’avantages sociaux ou de retraite, les services financiers/de garde, le traitement de la paie, le traitement des paiements, le service des prêts, etc.
  • Les rapports sont limités à la direction de l’organisme de services, aux entités utilisatrices et aux auditeurs des utilisateurs.
Examens SOC 2 (types 1 et 2)
  • Selon le TSP 100, 2017 Trust Services Criteria spécifié par l’AICPA et destiné à répondre aux besoins d’un large éventail d’utilisateurs pour la compréhension des contrôles internes pertinents aux cinq catégories de services de confiance : Sécurité (Critères communs), Disponibilité, Intégrité du traitement, Confidentialité ou Vie privée
  • Typiquement réalisé pour les Co-localisations de centres de données, les fournisseurs de logiciels en tant que service (SaaS), les fournisseurs de services Cloud, les fournisseurs de services informatiques gérés, etc.
  • Les rapports sont limités aux entités utilisatrices du système, aux partenaires commerciaux, aux entités utilisatrices et partenaires commerciaux potentiels et aux régulateurs qui ont une compréhension de l’organisation de services et de ses contrôles.
  • Des sujets et des critères supplémentaires peuvent être abordés dans les examens SOC 2+ sur d’autres cadres de contrôle interne (par ex, SOC 2+ HIPAA).
Examens SOC 3
  • Exercés sur les mêmes catégories de services de confiance que l’examen SOC 2, mais le rapport est moins détaillé et ne comprend pas les résultats des tests
  • Conçu pour les entités qui traitent les données électroniques des consommateurs en utilisant le commerce électronique, les logiciels en tant que service et d’autres systèmes électroniques, etc.
  • Rapports à usage général qui peuvent être distribués gratuitement à ceux qui n’ont pas les connaissances suffisantes pour comprendre les rapports SOC 2
SOC pour la cybersécurité
  • Rapport sur le programme de gestion des risques de cybersécurité d’une organisation et les contrôles à l’échelle de l’entité.contrôles à l’échelle de l’entité
  • Des tests des contrôles sont effectués mais les résultats des tests ne sont pas inclus dans le rapport.
  • Rapports d’usage général
SOC pour la chaîne d’approvisionnement
  • Tient compte des critères des services fiduciaires de l’AICPA pertinents pour les catégories de sécurité, Disponibilité, Intégrité de traitement, Confidentialité ou Vie privée
  • Les rapports aident les chaînes d’approvisionnement à communiquer efficacement les contrôles en place sur les risques de production et de distribution dans leurs systèmes.
  • Conçus pour donner aux fabricants, aux producteurs et aux sociétés de distribution une assurance sur les contrôles de leurs fournisseurs.

Puisque les rapports SOC 1 et SOC 2 sont les plus demandés par les entités utilisatrices, un aperçu plus détaillé de ces deux options de rapport est justifié.

Ces deux rapports ont deux types : Type 1 et Type 2, qui sont également décrits.

Qu’est-ce qu’un rapport SOC 1 ?

Dans les rapports SOC 1, il n’y a pas de critères spécifiés. L’organisme de service élabore et rédige les objectifs de contrôle généraux et les contrôles connexes spécifiques à la réalisation des objectifs de contrôle. L’organisme de services est également responsable de la section de description du système du rapport.

Les rapports SOC 1 visent à rendre compte des contrôles d’un organisme de services pertinents pour le contrôle interne de l’information financière (CIIF) d’une entité, et ils sont généralement effectués sur des services tels que les régimes d’avantages sociaux ou de retraite des employés, les services financiers/de garde, le traitement de la paie, le traitement des paiements, le service des prêts, etc.

Les rapports SOC 1 sont réservés à la direction de l’organisme de services, aux entités utilisatrices et à leurs auditeurs.

Qu’est-ce qu’un rapport SOC 2 ?

Dans les rapports SOC 2, l’AICPA a précisé les critères des services fiduciaires utilisés pour évaluer les contrôles et fournit des points d’attention que les organisations peuvent utiliser pour aider à déterminer les contrôles applicables et la langue de contrôle.

Les critères des services de confiance peuvent être classés en cinq catégories :

  • Sécurité;
  • Disponibilité;
  • Intégrité du traitement;
  • Confidentialité ; et
  • Privacité.

Lorsqu’on choisit d’utiliser les examens SOC 2, la catégorie de sécurité (également identifiée comme les « critères communs ») doit être utilisée, puis des catégories supplémentaires peuvent être choisies en fonction des engagements de service ou des exigences du système de l’organisation.

Par exemple, si l’organisme de services souligne dans ses accords de niveau de service que le système ou la plateforme logicielle sera disponible pour ses utilisateurs 24 heures sur 24, 7 jours sur 7, 365 jours par an et que des procédures de continuité des activités et de reprise après sinistre sont en place et testées au moins une fois par an, la catégorie de disponibilité serait pertinente pour leur rapport.

L’AICPA a également élaboré certaines normes que l’organisme de services doit utiliser lors de la préparation de la description du système pour les rapports SOC 2, qui sont décrites dans les critères de description (DC) section 200.

Les examens SOC 2 sont généralement effectués pour les colocations de centres de données, les fournisseurs de logiciels en tant que service (SaaS), les fournisseurs de services en nuage, les fournisseurs de services informatiques gérés, etc.

Ces rapports sont limités aux entités utilisatrices du système, aux partenaires commerciaux, aux entités utilisatrices et partenaires commerciaux potentiels et aux régulateurs qui ont une compréhension de l’organisation de services et de ses contrôles.

Quelle est la différence entre un rapport SOC de type 1 et de type 2 ?

Un rapport de type 1 date d’une date précise et assure que la description du système est présentée de manière équitable (rapport SOC 1) ou est conforme aux critères de description (rapport SOC 2), et que les contrôles sont conçus de manière appropriée à la date précisée. Un passage en revue des contrôles et le test d’un seul est effectué, mais il n’y a pas de test détaillé.

Un rapport de type 2 porte sur une période déterminée, généralement pas moins de six mois. L’opinion donne une assurance sur la description et la pertinence de la conception des contrôles, ainsi que sur l’efficacité du fonctionnement des contrôles. L’examen de type 2 implique des tests détaillés des contrôles sur l’ensemble de la période de déclaration.

Comment sont formulés les rapports SOC ?

Les étapes de la réalisation d’un examen SOC varient, selon le degré de préparation de l’organisation pour répondre aux exigences. Généralement, nous recommandons en tant qu’auditeur de services de suivre le processus en quatre étapes décrit ci-dessous lors de la réalisation d’un examen SOC :

Examen SOC Étape 1 : Réalisation d’une réunion de mission/planification

L’auditeur de services rencontre l’organisme de services pour déterminer la portée du système ou des services, l’option SOC la plus applicable aux besoins de l’organisme, ainsi que le calendrier, la programmation et les honoraires de la mission.

Etape 2 de l’examen SOC : effectuer une évaluation de l’état de préparation

Des réunions sont organisées pour discuter des politiques, des processus et des procédures que l’organisation a mis en place ou si elles doivent être développées ou affinées. Des visites, des observations et des demandes de renseignements concernant les processus et les procédures sont effectuées par l’auditeur de services.

L’organisation est responsable de l’élaboration des objectifs de contrôle et des contrôles connexes (rapport SOC 1), ou des contrôles spécifiques pour répondre aux critères du rapport SOC 2 ; cependant, l’auditeur de services peut partager ses connaissances, donner des conseils ou recommander un langage de contrôle approprié pour aider l’organisation dans cette tâche.

Toutes les zones de lacunes identifiées par l’auditeur de services sont signalées à l’organisation de services afin que les processus et les contrôles puissent être affinés pour donner une assurance raisonnable que l’organisation est bien préparée avant l’exécution de l’examen SOC.

Etape de l’examen SOC 3 : Examen de type 1 et rapport (SOC 1 ou SOC 2)

Les organisations peuvent choisir de faire effectuer l’examen de type 1 avant de passer à l’examen de type 2 pour aider à garantir que les contrôles sont conçus et mis en œuvre de manière appropriée à une date précise.

Un rapport officiel est toujours émis par l’auditeur de services ; cependant, étant donné qu’aucun test détaillé de l’efficacité opérationnelle des contrôles n’est effectué, les contrôles sont simplement énumérés comme faisant partie de la description du système de l’organisation. L’opinion de l’auditeur de service est énoncée en ce qui concerne la fidélité de la présentation de la description (SOC 1) ou selon les critères de description (SOC 2), et si les contrôles sont conçus de manière appropriée.

Bien que toutes les organisations ne choisissent pas de faire effectuer l’examen de type 1, c’est certainement une option à considérer afin d’éviter les multiples exceptions ou déficiences qui pourraient survenir en passant trop rapidement à l’examen de type 2.

Etape de l’examen SOC 4 : Examen de type 2 et rapport (SOC 1 ou SOC 2)

Lorsque l’organisation choisit de faire réaliser l’examen de type 2, des tests détaillés seront réalisés par l’auditeur de service sur l’ensemble de la période de rapport, comme spécifié lors du processus de planification.

Dans ce rapport, le vérificateur de services inclut une description des tests effectués, et l’opinion portera à nouveau sur la fidélité de la présentation de la description (ou des critères de description), sur le fait que les contrôles sont conçus de manière appropriée, et aussi si les contrôles ont fonctionné efficacement au cours de la période de déclaration.

Comment mon organisation peut-elle faire réaliser un examen SOC pour un rapport SOC ?

Les professionnels du risque, de la sécurité et de la technologie de Warren Averett travaillent en étroite collaboration avec les organisations prestataires de services afin d’acquérir une compréhension approfondie des exigences de leurs parties prenantes, de sorte que nous puissions identifier les bonnes solutions pour leurs besoins en matière d’examens SOC et de services d’attestation.

Demandez à un conseiller de Warren Averett de vous contacter pour entamer la conversation sur ce à quoi pourrait ressembler un rapport SOC pour votre organisation.

Ce blog a été initialement publié le 16 décembre 2019 et a été mis à jour le plus récemment le 3 novembre 2020.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.