System and Organization Controls (SOC) Reports Explained:

Posted by admin Articles

A rendszer- és szervezetellenőrzési jelentések (SOC) gyorsan szükségessé válnak a bizalomépítéshez és ahhoz, hogy egy szervezet ügyfeleinek (és leendő ügyfeleinek) biztosítékot nyújtsanak a szervezet által nyújtott szolgáltatásokról.

A szervezet rendszerének vagy a szervezet szállítóinak sebezhetőségéből eredő jogsértések és incidensek száma növekszik, és sok szervezet igyekszik megvédeni magát a költséges kiberbűnözéssel szemben.

Amint a kiberbiztonság és a belső ellenőrzések egyre nagyobb figyelmet és hangsúlyt kapnak napjaink üzleti életében, úgy a SOC-jelentések is.

Szoros az idő? Hallgassa meg és tanuljon podcastunk ezen epizódjában:

Mi az a SOC-jelentés?

A SOC-jelentés a SOC-vizsgálat eredménye és megállapításai, amelynek célja, hogy bizonyosságot adjon egy szervezet belső kontrolljainak működéséről.

Ki állíthat ki SOC-jelentést?

A SOC-vizsgálatokat független hitelesített könyvvizsgálók (szolgáltatási könyvvizsgálók) végzik az Amerikai Könyvvizsgálók Intézetének (AICPA) tanúsítási szabványai szerint.

Mi a belső kontroll?

A Treadway Bizottság Szponzoráló Szervezetek Bizottsága (COSO) tágan definiálja a belső kontrollt, mint “a gazdálkodó egység igazgatótanácsa, vezetése és egyéb személyzete által végzett folyamatot, amelynek célja, hogy ésszerű bizonyosságot nyújtson a működéssel, beszámolással és megfeleléssel kapcsolatos célok elérésére vonatkozóan.”

Lényegében a belső kontrollok azok az intézkedések, amelyeket a szervezet saját belső műveleteivel kapcsolatban hoz a hatékonyság növelése, a felelősség elleni védelem, valamint a szabályozásoknak és törvényeknek való megfelelés érdekében.

Hogyan szerezhet szervezetem SOC-tanúsítványt?

A “SOC-tanúsítvány” kifejezés valójában egy téves elnevezés, amely a SOC-jelentésekkel kapcsolatos általános tévhitből ered. A szervezetek gyakran kérdezik, hogyan válhatnak “SOC-tanúsítottá” vagy “SOC-kompatibilissé”, de a SOC-jelentések esetében nincs minősítés és nincs megfelelés vagy bukás.

A SOC-vizsgálat befejezése után egy jelentéscsomagot adnak ki, amely tartalmazza a független szolgáltatási auditor jelentését, az auditor által elvégzett teszteket és azok eredményeit, valamint a szolgáltató szervezet állítását és a rendszer leírását (vagy a kontrollok leírását).

A független szolgáltatási auditor jelentésben a szolgáltatási auditor véleményt ad ki. Ha a rendszer leírása tisztességesen (SOC 1) vagy a leírási kritériumokkal összhangban (SOC 2) van, a kontrollok megfelelően vannak kialakítva, és a kontrollok hatékonyan működnek (2. típus), a szolgáltatási könyvvizsgáló valószínűleg “változatlan véleményt” ad ki, ami általában az előnyben részesített eredmény.

Ha azonban a tesztelés során jelentős problémák merülnek fel, vagy a leírás félrevezető vagy hiányzik belőle releváns információ, a szolgáltatási auditor a problémák elterjedtségétől függően minősített vagy akár kedvezőtlen véleményt is kiadhat.

Kinek van szüksége SOC-jelentésre?

A SOC-vizsgálat elvégzésére vonatkozó döntés hátterében általában a szolgáltató szervezet ügyfeleinek vagy leendő ügyfeleinek SOC-jelentésre vonatkozó kérései vagy követelményei állnak. Tehát valószínűleg azért tudja, hogy szüksége van SOC-jelentésre, mert az ügyfelei kérik azt.

Sok vállalat esetében a SOC-jelentés bekérése a szállítóktól általában a jó szállítói menedzsmentfolyamatok része, és jellemzően a szervezet szállítói felett végzett átvilágítás része annak érdekében, hogy kezeljék az adott szállítónak nyújtott szolgáltatások kiszervezésével kapcsolatos kockázatokat.

Nem szabad elfelejteni, hogy bár ügyfelei vagy leendő ügyfelei kiszervezhetik a szolgáltatásokat, továbbra is felelősek saját információik védelméért, és a SOC-jelentések egy olyan módszer, amellyel bizalmat építhetnek az Ön vállalatába és a számukra nyújtott szolgáltatásokba.

A szervezeteknek akkor érdemes SOC-jelentést készíteniük, ha:

  • “szolgáltató szervezetnek” minősülnek (olyan szervezet, amely szolgáltatásokat nyújt a felhasználó szervezetek számára);
  • a jelenlegi vagy leendő ügyfelek gyakran kérik, hogy töltsenek ki részletes kérdőívet a szervezet biztonságáról vagy a szerződéses szolgáltatások vagy rendszervállalások teljesítését veszélyeztető kockázatok kezelésére szolgáló belső kontrollokról; vagy
  • a jelenlegi vagy leendő ügyfelek gyakran kérik, hogy nyújtsanak be SOC-jelentést. (Ez meghatározó tényező lehet a jelenlegi ügyfelek megtartása vagy egy leendő ügyfél megnyerése szempontjából.)

Melyik a SOC-vizsgálat elvégzésének tipikus menetrendje?

A SOC-vizsgálat hosszadalmas folyamat lehet, néha több hónapig vagy akár egy évig is eltarthat, attól függően, hogy a szervezet mennyire van felkészülve a követelmények teljesítésére.

Azoknál a szervezeteknél, amelyek már rendelkeznek szilárd irányelvekkel, eljárásokkal és belső kontrollokkal, a folyamat határozottan rövidebb lehet.

Ha ezek a dolgok nincsenek meg, általában azt javasoljuk, hogy a szervezet menjen keresztül egy felkészültségi felmérésen a felkészültség megállapítása, a hiányosságok vagy a fejlesztendő területek azonosítása és a túl gyors SOC-vizsgálat elkerülése érdekében. Ezzel remélhetőleg elkerülhető, hogy a SOC-jelentés elkészültekor jelentős kivételek vagy hiányosságok szerepeljenek benne.

Mindegy, hogy a szervezet a proaktív megközelítést választja, vagy a SOC-vizsgálatot kérésre végezteti el, végső soron reméljük, hogy felbecsülhetetlen értékű ismereteket szerez arról is, hogy mennyire jól működnek a belső ellenőrzési folyamatai, és melyek azok a területek, ahol elengedhetetlen a fejlesztés.

A SOC-vizsgálatoknak vannak különböző változatai?

Igen.

A szolgáltató szervezetek esetében létezik SOC 1®, SOC 2® és SOC 3® vizsgálat. Ezeken a vizsgákon kívül az AICPA megfogalmazott egy SOC for Cybersecurity és egy SOC for Supply Chain vizsgát is.

Az AICPA az alábbiak szerint jelölte meg a SOC szolgáltatáscsomagot és a jelentéstételi lehetőségeket:

SOC for Service Organizations
SOC 1 Examinations (Types 1 and 2)
  • Célja a szervezet pénzügyi beszámolás feletti belső kontroll (ICFR)
  • Típusosan olyan szolgáltatások, például munkavállalói juttatási vagy nyugdíjprogramok felett végzett ellenőrzések jelentése, pénzügyi/gondnoki szolgáltatások, bérszámfejtés, fizetésfeldolgozás, hitelkiszolgálás, stb.
  • A jelentések a szolgáltató szervezet vezetésére, a felhasználó gazdálkodó egységekre és a felhasználó könyvvizsgálókra korlátozódnak.
SOC 2 vizsgálatok (1. és 2. típus)
  • Az AICPA által meghatározott TSP 100, 2017 Trust Services Criteria alapján készült, és a felhasználók széles körének igényeit hivatott kielégíteni az öt trust szolgáltatási kategória szempontjából releváns belső kontrollok megértéséhez: Biztonság (közös kritériumok), rendelkezésre állás, feldolgozási integritás, bizalmasság vagy adatvédelem
  • Típusosan adatközpontok, szoftver mint szolgáltatás (SaaS) szolgáltatók, felhőszolgáltatók, menedzselt IT-szolgáltatók stb. esetében végzik.
  • A jelentések a rendszert használó jogalanyokra, üzleti partnerekre, leendő felhasználó jogalanyokra és üzleti partnerekre, valamint a szabályozó hatóságokra korlátozódnak, akik ismerik a szolgáltató szervezetet és annak ellenőrzéseit.
  • A SOC 2+ vizsgák során más belső ellenőrzési keretrendszerek felett további témakörökkel és további kritériumokkal is lehet foglalkozni (pl, SOC 2+ HIPAA).
SOC 3 vizsgálatok
  • Az SOC 2 vizsgával azonos bizalmi szolgáltatási kategóriák felett végzik, de a jelentés kevésbé részletes és nem tartalmazza a vizsgálati eredményeket
  • Az elektronikus fogyasztói adatokat elektronikus kereskedelem, szoftver mint szolgáltatás és egyéb elektronikus rendszerek stb. segítségével feldolgozó szervezetek számára készült.
  • Általános felhasználású jelentések, amelyek szabadon terjeszthetők azok számára, akik nem rendelkeznek elegendő ismerettel a SOC 2 jelentések megértéséhez
SOC for Cybersecurity
  • Beszámoló a szervezet kiberbiztonsági kockázatkezelési programjáról és egységéről

    • .széles körű kontrollok

  • A kontrollok tesztelése megtörténik, de a tesztelés eredményei nem szerepelnek a jelentésben.
  • Általános felhasználású jelentések
SOC for Supply Chain
  • Az AICPA Trust Services Criteria (Biztonság kategóriák szempontjából releváns AICPA bizalmi szolgáltatások kritériumai) témakörökkel foglalkozik, Availability, Processing Integrity, Confidentiality or Privacy
  • A jelentések segítik az ellátási láncokat abban, hogy hatékonyan kommunikálják a rendszereikben a termelési és terjesztési kockázatokra alkalmazott ellenőrzéseket.
  • Azért tervezték, hogy a gyártók, termelők és forgalmazó vállalatok bizonyosságot szerezzenek beszállítóik ellenőrzéséről.

Mivel a SOC 1 és SOC 2 jelentéseket igénylik leginkább a felhasználó szervezetek, indokolt e két jelentési lehetőség részletesebb áttekintése.

Mindkét jelentésnek két típusa van: Típus 1 és típus 2, amelyeket szintén felvázolunk.

Mi a SOC 1 jelentés?

A SOC 1 jelentésekben nincsenek meghatározott kritériumok. A szolgáltató szervezet dolgozza ki és írja az átfogó ellenőrzési célokat és a kapcsolódó, az ellenőrzési célok elérésére vonatkozó specifikus ellenőrzéseket. A szolgáltató szervezet felelős a jelentés rendszerre vonatkozó részének leírásáért is.

A SOC 1 jelentések célja, hogy jelentést készítsenek egy szolgáltató szervezetnél lévő, a gazdálkodó egység pénzügyi beszámolás feletti belső kontroll (ICFR) szempontjából releváns kontrollokról, és jellemzően olyan szolgáltatásokról készülnek, mint a munkavállalói juttatási vagy nyugdíjprogramok, pénzügyi/gondnoki szolgáltatások, bérszámfejtés, fizetésfeldolgozás, hitelkiszolgálás stb.

A SOC 1 jelentések a szolgáltató szervezet vezetésére, a felhasználó gazdálkodó egységekre és azok könyvvizsgálóira korlátozódnak.

Mi a SOC 2 jelentés?

A SOC 2 jelentésekben az AICPA meghatározta az ellenőrzések értékeléséhez használt bizalmi szolgáltatási kritériumokat, és olyan fókuszpontokat ad meg, amelyeket a szervezetek felhasználhatnak az alkalmazandó ellenőrzések és a kontrollok nyelvének meghatározásához.

A bizalmi szolgáltatások kritériumai öt kategóriába sorolhatók:

  • biztonság;
  • rendelkezésre állás;
  • feldolgozási integritás;
  • bizalmasság; és
  • bizalmasság.

A SOC 2 vizsgálatok választása esetén a biztonsági kategóriát (amelyet “közös kritériumként” is azonosítanak) kell használni, majd további kategóriák választhatók a szervezet szolgáltatási kötelezettségvállalásaihoz vagy rendszerkövetelményeihez igazodóan.

Ha például a szolgáltató szervezet a szolgáltatási szintű megállapodásaiban felvázolja, hogy a rendszer vagy a szoftverplatform az év 365 napján, a nap 24 órájában elérhető lesz a felhasználók számára, és hogy az üzletmenet-folytonossági és katasztrófa-visszaállítási eljárások léteznek, és legalább évente tesztelik őket, akkor a rendelkezésre állási kategória releváns lenne a jelentésük szempontjából.

Az AICPA bizonyos szabványokat is kidolgozott, amelyeket a szolgáltató szervezetnek alkalmaznia kell a rendszer leírásának elkészítésekor a SOC 2 jelentésekhez, és amelyeket a 200. szakaszban a Description Criteria (DC) Section 200 ismertet.

A SOC 2 vizsgálatokat jellemzően az adatközpontok ko-lokációi, a Software as a Service (SaaS) szolgáltatók, a Cloud Service szolgáltatók, a Managed IT Services szolgáltatók stb. esetében végzik.

Ezek a jelentések a rendszert használó jogalanyokra, üzleti partnerekre, leendő felhasználó jogalanyokra és üzleti partnerekre, valamint azokra a szabályozó hatóságokra korlátozódnak, akik ismerik a szolgáltató szervezetet és annak ellenőrzéseit.

Mi a különbség az 1. típusú és a 2. típusú SOC jelentés között?

Az 1. típusú jelentés egy meghatározott időpontra szól, és biztosítja, hogy a rendszer leírása tisztességesen van bemutatva (SOC 1 jelentés) vagy megfelel a leírási kritériumoknak (SOC 2 jelentés), és hogy a kontrollok megfelelően vannak kialakítva a meghatározott időpontra. A kontrollok végigjárására és egy tesztelésére kerül sor, de részletes tesztelésre nem kerül sor.

A 2. típusú jelentés egy meghatározott időszakra, jellemzően legalább hat hónapra vonatkozik. A vélemény bizonyosságot ad a kontrollok leírására és kialakításának megfelelőségére, valamint a kontrollok működési hatékonyságára vonatkozóan. A 2. típusú vizsgálat magában foglalja a kontrollok részletes tesztelését a teljes jelentési időszakra vonatkozóan.

Hogyan készülnek a SOC-jelentések?

A SOC-vizsgálat elvégzésének lépései attól függően változnak, hogy a szervezet mennyire felkészült a követelmények teljesítésére. Általában azt javasoljuk, hogy szolgáltatási auditorként a SOC-vizsgálat elvégzésekor az alábbi négylépcsős folyamatot kövessük:

SOC-vizsgálat 1. lépés: Megbízási/tervezési megbeszélés lefolytatása

A szolgáltatási auditor találkozik a szolgáltató szervezettel, hogy meghatározza a rendszer vagy a szolgáltatások körét, a szervezet igényeinek leginkább megfelelő SOC-változatot, valamint a megbízás időzítését, ütemezését és díjait.

SOC-vizsgálat 2. lépés: Készültségi felmérés elvégzése

Találkozókat tartanak, hogy megvitassák a szervezet által már alkalmazott irányelveket, folyamatokat és eljárásokat, illetve azt, hogy azokat ki kell-e dolgozni vagy finomítani kell-e. A folyamatokkal és eljárásokkal kapcsolatos bejárásokat, megfigyeléseket és vizsgálatokat a szolgáltatási auditor végzi.

A szervezet felelős a kontrollcélok és a kapcsolódó kontrollok (SOC 1 jelentés), illetve a SOC 2 jelentés kritériumainak megfelelő konkrét kontrollok kidolgozásáért; a szolgáltatási auditor azonban megoszthatja ismereteit, tanácsot adhat vagy megfelelő kontrollnyelvet ajánlhat, hogy segítse a szervezetet ebben a feladatban.

A szolgáltatási auditor által azonosított hiányossági területeket jelenteni kell a szolgáltatási szervezetnek, hogy a folyamatokat és a kontrollokat finomítani lehessen annak érdekében, hogy ésszerű biztosítékot nyújtson arra, hogy a szervezet jól felkészült a SOC-vizsgálat elvégzése előtt.

SOC-vizsgálat 3. lépés: 1. típusú vizsgálat és jelentéstétel (SOC 1 vagy SOC 2)

A szervezetek választhatják, hogy a 2. típusú vizsgálatra való áttérés előtt elvégzik az 1. típusú vizsgálatot, hogy biztosítsák, hogy a kontrollok megfelelően vannak kialakítva és végrehajtva egy meghatározott időpontra.

A szolgáltatási auditor továbbra is hivatalos jelentést állít ki; mivel azonban a kontrollok működési hatékonyságának részletes tesztelésére nem kerül sor, a kontrollok egyszerűen a szervezet rendszerleírásának részeként szerepelnek. A szolgáltatást végző könyvvizsgáló véleményét a leírás bemutatásának tisztességes voltára (SOC 1) vagy a leírás kritériumai szerint (SOC 2), valamint arra vonatkozóan mondja ki, hogy a kontrollok megfelelően vannak-e kialakítva.

Míg nem minden szervezet választja az 1. típusú vizsgálat elvégzését, mindenképpen megfontolandó lehetőség a többszörös kivételek vagy hiányosságok elkerülése érdekében, amelyek a 2. típusú vizsgálatra való túl gyors áttérésből adódhatnak.

SOC-vizsgálat 4. lépés: 2. típusú vizsgálat és jelentéstétel (SOC 1 vagy SOC 2)

Ha a szervezet a 2. típusú vizsgálat elvégzését választja, a részletes tesztelést a szolgáltatási auditor végzi el a teljes jelentéstételi időszak alatt, a tervezési folyamat során meghatározottak szerint.

Ebben a jelentésben a szolgáltatási auditor tartalmazza az elvégzett tesztek leírását, és a vélemény ismét kiterjed a leírás bemutatásának (vagy a leírási kritériumoknak) a tisztességességére, arra, hogy a kontrollok megfelelően vannak-e kialakítva, valamint arra, hogy a kontrollok hatékonyan működtek-e a beszámolási időszakban.

Hogyan végezhet a szervezetem SOC vizsgálatot a SOC jelentéshez?

A Warren Averett kockázati, biztonsági és technológiai szakemberei szorosan együttműködnek a szolgáltatást nyújtó szervezetekkel annak érdekében, hogy alaposan megértsék az érdekelt felek igényeit, így pontosan meg tudjuk határozni az igényeiknek megfelelő megoldásokat a SOC-vizsgálatok és tanúsítási szolgáltatások tekintetében.

Hívja fel a Warren Averett tanácsadóját, hogy beszélgessünk arról, hogyan nézhet ki egy SOC-jelentés az Ön szervezete számára.

Ez a blog eredetileg 2019. december 16-án jelent meg, és legutóbb 2020. november 3-án frissítették.

A blog eredetileg 2019. december 16-án jelent meg, és legutóbb 2020. november 3-án frissítették.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.