A rendszer- és szervezetellenőrzési jelentések (SOC) gyorsan szükségessé válnak a bizalomépítéshez és ahhoz, hogy egy szervezet ügyfeleinek (és leendő ügyfeleinek) biztosítékot nyújtsanak a szervezet által nyújtott szolgáltatásokról.
A szervezet rendszerének vagy a szervezet szállítóinak sebezhetőségéből eredő jogsértések és incidensek száma növekszik, és sok szervezet igyekszik megvédeni magát a költséges kiberbűnözéssel szemben.
Amint a kiberbiztonság és a belső ellenőrzések egyre nagyobb figyelmet és hangsúlyt kapnak napjaink üzleti életében, úgy a SOC-jelentések is.
Szoros az idő? Hallgassa meg és tanuljon podcastunk ezen epizódjában:
Mi az a SOC-jelentés?
A SOC-jelentés a SOC-vizsgálat eredménye és megállapításai, amelynek célja, hogy bizonyosságot adjon egy szervezet belső kontrolljainak működéséről.
Ki állíthat ki SOC-jelentést?
A SOC-vizsgálatokat független hitelesített könyvvizsgálók (szolgáltatási könyvvizsgálók) végzik az Amerikai Könyvvizsgálók Intézetének (AICPA) tanúsítási szabványai szerint.
Mi a belső kontroll?
A Treadway Bizottság Szponzoráló Szervezetek Bizottsága (COSO) tágan definiálja a belső kontrollt, mint “a gazdálkodó egység igazgatótanácsa, vezetése és egyéb személyzete által végzett folyamatot, amelynek célja, hogy ésszerű bizonyosságot nyújtson a működéssel, beszámolással és megfeleléssel kapcsolatos célok elérésére vonatkozóan.”
Lényegében a belső kontrollok azok az intézkedések, amelyeket a szervezet saját belső műveleteivel kapcsolatban hoz a hatékonyság növelése, a felelősség elleni védelem, valamint a szabályozásoknak és törvényeknek való megfelelés érdekében.
Hogyan szerezhet szervezetem SOC-tanúsítványt?
A “SOC-tanúsítvány” kifejezés valójában egy téves elnevezés, amely a SOC-jelentésekkel kapcsolatos általános tévhitből ered. A szervezetek gyakran kérdezik, hogyan válhatnak “SOC-tanúsítottá” vagy “SOC-kompatibilissé”, de a SOC-jelentések esetében nincs minősítés és nincs megfelelés vagy bukás.
A SOC-vizsgálat befejezése után egy jelentéscsomagot adnak ki, amely tartalmazza a független szolgáltatási auditor jelentését, az auditor által elvégzett teszteket és azok eredményeit, valamint a szolgáltató szervezet állítását és a rendszer leírását (vagy a kontrollok leírását).
A független szolgáltatási auditor jelentésben a szolgáltatási auditor véleményt ad ki. Ha a rendszer leírása tisztességesen (SOC 1) vagy a leírási kritériumokkal összhangban (SOC 2) van, a kontrollok megfelelően vannak kialakítva, és a kontrollok hatékonyan működnek (2. típus), a szolgáltatási könyvvizsgáló valószínűleg “változatlan véleményt” ad ki, ami általában az előnyben részesített eredmény.
Ha azonban a tesztelés során jelentős problémák merülnek fel, vagy a leírás félrevezető vagy hiányzik belőle releváns információ, a szolgáltatási auditor a problémák elterjedtségétől függően minősített vagy akár kedvezőtlen véleményt is kiadhat.
Kinek van szüksége SOC-jelentésre?
A SOC-vizsgálat elvégzésére vonatkozó döntés hátterében általában a szolgáltató szervezet ügyfeleinek vagy leendő ügyfeleinek SOC-jelentésre vonatkozó kérései vagy követelményei állnak. Tehát valószínűleg azért tudja, hogy szüksége van SOC-jelentésre, mert az ügyfelei kérik azt.
Sok vállalat esetében a SOC-jelentés bekérése a szállítóktól általában a jó szállítói menedzsmentfolyamatok része, és jellemzően a szervezet szállítói felett végzett átvilágítás része annak érdekében, hogy kezeljék az adott szállítónak nyújtott szolgáltatások kiszervezésével kapcsolatos kockázatokat.
Nem szabad elfelejteni, hogy bár ügyfelei vagy leendő ügyfelei kiszervezhetik a szolgáltatásokat, továbbra is felelősek saját információik védelméért, és a SOC-jelentések egy olyan módszer, amellyel bizalmat építhetnek az Ön vállalatába és a számukra nyújtott szolgáltatásokba.
A szervezeteknek akkor érdemes SOC-jelentést készíteniük, ha:
- “szolgáltató szervezetnek” minősülnek (olyan szervezet, amely szolgáltatásokat nyújt a felhasználó szervezetek számára);
- a jelenlegi vagy leendő ügyfelek gyakran kérik, hogy töltsenek ki részletes kérdőívet a szervezet biztonságáról vagy a szerződéses szolgáltatások vagy rendszervállalások teljesítését veszélyeztető kockázatok kezelésére szolgáló belső kontrollokról; vagy
- a jelenlegi vagy leendő ügyfelek gyakran kérik, hogy nyújtsanak be SOC-jelentést. (Ez meghatározó tényező lehet a jelenlegi ügyfelek megtartása vagy egy leendő ügyfél megnyerése szempontjából.)
Melyik a SOC-vizsgálat elvégzésének tipikus menetrendje?
A SOC-vizsgálat hosszadalmas folyamat lehet, néha több hónapig vagy akár egy évig is eltarthat, attól függően, hogy a szervezet mennyire van felkészülve a követelmények teljesítésére.
Azoknál a szervezeteknél, amelyek már rendelkeznek szilárd irányelvekkel, eljárásokkal és belső kontrollokkal, a folyamat határozottan rövidebb lehet.
Ha ezek a dolgok nincsenek meg, általában azt javasoljuk, hogy a szervezet menjen keresztül egy felkészültségi felmérésen a felkészültség megállapítása, a hiányosságok vagy a fejlesztendő területek azonosítása és a túl gyors SOC-vizsgálat elkerülése érdekében. Ezzel remélhetőleg elkerülhető, hogy a SOC-jelentés elkészültekor jelentős kivételek vagy hiányosságok szerepeljenek benne.
Mindegy, hogy a szervezet a proaktív megközelítést választja, vagy a SOC-vizsgálatot kérésre végezteti el, végső soron reméljük, hogy felbecsülhetetlen értékű ismereteket szerez arról is, hogy mennyire jól működnek a belső ellenőrzési folyamatai, és melyek azok a területek, ahol elengedhetetlen a fejlesztés.
A SOC-vizsgálatoknak vannak különböző változatai?
Igen.
A szolgáltató szervezetek esetében létezik SOC 1®, SOC 2® és SOC 3® vizsgálat. Ezeken a vizsgákon kívül az AICPA megfogalmazott egy SOC for Cybersecurity és egy SOC for Supply Chain vizsgát is.
Az AICPA az alábbiak szerint jelölte meg a SOC szolgáltatáscsomagot és a jelentéstételi lehetőségeket:
SOC for Service Organizations | |
SOC 1 Examinations (Types 1 and 2) |
|
SOC 2 vizsgálatok (1. és 2. típus) |
|
SOC 3 vizsgálatok |
|
SOC for Cybersecurity | |
.széles körű kontrollok |
|
SOC for Supply Chain | |
|
Mivel a SOC 1 és SOC 2 jelentéseket igénylik leginkább a felhasználó szervezetek, indokolt e két jelentési lehetőség részletesebb áttekintése.
Mindkét jelentésnek két típusa van: Típus 1 és típus 2, amelyeket szintén felvázolunk.
Mi a SOC 1 jelentés?
A SOC 1 jelentésekben nincsenek meghatározott kritériumok. A szolgáltató szervezet dolgozza ki és írja az átfogó ellenőrzési célokat és a kapcsolódó, az ellenőrzési célok elérésére vonatkozó specifikus ellenőrzéseket. A szolgáltató szervezet felelős a jelentés rendszerre vonatkozó részének leírásáért is.
A SOC 1 jelentések célja, hogy jelentést készítsenek egy szolgáltató szervezetnél lévő, a gazdálkodó egység pénzügyi beszámolás feletti belső kontroll (ICFR) szempontjából releváns kontrollokról, és jellemzően olyan szolgáltatásokról készülnek, mint a munkavállalói juttatási vagy nyugdíjprogramok, pénzügyi/gondnoki szolgáltatások, bérszámfejtés, fizetésfeldolgozás, hitelkiszolgálás stb.
A SOC 1 jelentések a szolgáltató szervezet vezetésére, a felhasználó gazdálkodó egységekre és azok könyvvizsgálóira korlátozódnak.
Mi a SOC 2 jelentés?
A SOC 2 jelentésekben az AICPA meghatározta az ellenőrzések értékeléséhez használt bizalmi szolgáltatási kritériumokat, és olyan fókuszpontokat ad meg, amelyeket a szervezetek felhasználhatnak az alkalmazandó ellenőrzések és a kontrollok nyelvének meghatározásához.
A bizalmi szolgáltatások kritériumai öt kategóriába sorolhatók:
- biztonság;
- rendelkezésre állás;
- feldolgozási integritás;
- bizalmasság; és
- bizalmasság.
A SOC 2 vizsgálatok választása esetén a biztonsági kategóriát (amelyet “közös kritériumként” is azonosítanak) kell használni, majd további kategóriák választhatók a szervezet szolgáltatási kötelezettségvállalásaihoz vagy rendszerkövetelményeihez igazodóan.
Ha például a szolgáltató szervezet a szolgáltatási szintű megállapodásaiban felvázolja, hogy a rendszer vagy a szoftverplatform az év 365 napján, a nap 24 órájában elérhető lesz a felhasználók számára, és hogy az üzletmenet-folytonossági és katasztrófa-visszaállítási eljárások léteznek, és legalább évente tesztelik őket, akkor a rendelkezésre állási kategória releváns lenne a jelentésük szempontjából.
Az AICPA bizonyos szabványokat is kidolgozott, amelyeket a szolgáltató szervezetnek alkalmaznia kell a rendszer leírásának elkészítésekor a SOC 2 jelentésekhez, és amelyeket a 200. szakaszban a Description Criteria (DC) Section 200 ismertet.
A SOC 2 vizsgálatokat jellemzően az adatközpontok ko-lokációi, a Software as a Service (SaaS) szolgáltatók, a Cloud Service szolgáltatók, a Managed IT Services szolgáltatók stb. esetében végzik.
Ezek a jelentések a rendszert használó jogalanyokra, üzleti partnerekre, leendő felhasználó jogalanyokra és üzleti partnerekre, valamint azokra a szabályozó hatóságokra korlátozódnak, akik ismerik a szolgáltató szervezetet és annak ellenőrzéseit.
Mi a különbség az 1. típusú és a 2. típusú SOC jelentés között?
Az 1. típusú jelentés egy meghatározott időpontra szól, és biztosítja, hogy a rendszer leírása tisztességesen van bemutatva (SOC 1 jelentés) vagy megfelel a leírási kritériumoknak (SOC 2 jelentés), és hogy a kontrollok megfelelően vannak kialakítva a meghatározott időpontra. A kontrollok végigjárására és egy tesztelésére kerül sor, de részletes tesztelésre nem kerül sor.
A 2. típusú jelentés egy meghatározott időszakra, jellemzően legalább hat hónapra vonatkozik. A vélemény bizonyosságot ad a kontrollok leírására és kialakításának megfelelőségére, valamint a kontrollok működési hatékonyságára vonatkozóan. A 2. típusú vizsgálat magában foglalja a kontrollok részletes tesztelését a teljes jelentési időszakra vonatkozóan.
Hogyan készülnek a SOC-jelentések?
A SOC-vizsgálat elvégzésének lépései attól függően változnak, hogy a szervezet mennyire felkészült a követelmények teljesítésére. Általában azt javasoljuk, hogy szolgáltatási auditorként a SOC-vizsgálat elvégzésekor az alábbi négylépcsős folyamatot kövessük:
SOC-vizsgálat 1. lépés: Megbízási/tervezési megbeszélés lefolytatása
A szolgáltatási auditor találkozik a szolgáltató szervezettel, hogy meghatározza a rendszer vagy a szolgáltatások körét, a szervezet igényeinek leginkább megfelelő SOC-változatot, valamint a megbízás időzítését, ütemezését és díjait.
SOC-vizsgálat 2. lépés: Készültségi felmérés elvégzése
Találkozókat tartanak, hogy megvitassák a szervezet által már alkalmazott irányelveket, folyamatokat és eljárásokat, illetve azt, hogy azokat ki kell-e dolgozni vagy finomítani kell-e. A folyamatokkal és eljárásokkal kapcsolatos bejárásokat, megfigyeléseket és vizsgálatokat a szolgáltatási auditor végzi.
A szervezet felelős a kontrollcélok és a kapcsolódó kontrollok (SOC 1 jelentés), illetve a SOC 2 jelentés kritériumainak megfelelő konkrét kontrollok kidolgozásáért; a szolgáltatási auditor azonban megoszthatja ismereteit, tanácsot adhat vagy megfelelő kontrollnyelvet ajánlhat, hogy segítse a szervezetet ebben a feladatban.
A szolgáltatási auditor által azonosított hiányossági területeket jelenteni kell a szolgáltatási szervezetnek, hogy a folyamatokat és a kontrollokat finomítani lehessen annak érdekében, hogy ésszerű biztosítékot nyújtson arra, hogy a szervezet jól felkészült a SOC-vizsgálat elvégzése előtt.
SOC-vizsgálat 3. lépés: 1. típusú vizsgálat és jelentéstétel (SOC 1 vagy SOC 2)
A szervezetek választhatják, hogy a 2. típusú vizsgálatra való áttérés előtt elvégzik az 1. típusú vizsgálatot, hogy biztosítsák, hogy a kontrollok megfelelően vannak kialakítva és végrehajtva egy meghatározott időpontra.
A szolgáltatási auditor továbbra is hivatalos jelentést állít ki; mivel azonban a kontrollok működési hatékonyságának részletes tesztelésére nem kerül sor, a kontrollok egyszerűen a szervezet rendszerleírásának részeként szerepelnek. A szolgáltatást végző könyvvizsgáló véleményét a leírás bemutatásának tisztességes voltára (SOC 1) vagy a leírás kritériumai szerint (SOC 2), valamint arra vonatkozóan mondja ki, hogy a kontrollok megfelelően vannak-e kialakítva.
Míg nem minden szervezet választja az 1. típusú vizsgálat elvégzését, mindenképpen megfontolandó lehetőség a többszörös kivételek vagy hiányosságok elkerülése érdekében, amelyek a 2. típusú vizsgálatra való túl gyors áttérésből adódhatnak.
SOC-vizsgálat 4. lépés: 2. típusú vizsgálat és jelentéstétel (SOC 1 vagy SOC 2)
Ha a szervezet a 2. típusú vizsgálat elvégzését választja, a részletes tesztelést a szolgáltatási auditor végzi el a teljes jelentéstételi időszak alatt, a tervezési folyamat során meghatározottak szerint.
Ebben a jelentésben a szolgáltatási auditor tartalmazza az elvégzett tesztek leírását, és a vélemény ismét kiterjed a leírás bemutatásának (vagy a leírási kritériumoknak) a tisztességességére, arra, hogy a kontrollok megfelelően vannak-e kialakítva, valamint arra, hogy a kontrollok hatékonyan működtek-e a beszámolási időszakban.
Hogyan végezhet a szervezetem SOC vizsgálatot a SOC jelentéshez?
A Warren Averett kockázati, biztonsági és technológiai szakemberei szorosan együttműködnek a szolgáltatást nyújtó szervezetekkel annak érdekében, hogy alaposan megértsék az érdekelt felek igényeit, így pontosan meg tudjuk határozni az igényeiknek megfelelő megoldásokat a SOC-vizsgálatok és tanúsítási szolgáltatások tekintetében.
Hívja fel a Warren Averett tanácsadóját, hogy beszélgessünk arról, hogyan nézhet ki egy SOC-jelentés az Ön szervezete számára.
Ez a blog eredetileg 2019. december 16-án jelent meg, és legutóbb 2020. november 3-án frissítették.
A blog eredetileg 2019. december 16-án jelent meg, és legutóbb 2020. november 3-án frissítették.