I rapporti SOC (System and Organization Controls) stanno rapidamente diventando una necessità per costruire la fiducia e per dare garanzie ai clienti di un’organizzazione (e potenziali clienti) sui servizi che l’organizzazione fornisce.

Il numero di violazioni e incidenti derivanti da vulnerabilità nel sistema di un’organizzazione o dai fornitori dell’organizzazione è in aumento, e molte organizzazioni stanno cercando di proteggersi contro il costoso crimine informatico.

Come la sicurezza informatica e i controlli interni stanno guadagnando più attenzione ed enfasi nella comunità aziendale di oggi, così sono i rapporti SOC.

A corto di tempo? Ascolta e impara in questo episodio del nostro podcast: Perché il rapporto SOC è importante per i fornitori di servizi?

Cos’è un rapporto SOC?

Un rapporto SOC è il risultato e i risultati di un esame SOC, che è progettato per dare garanzia sul funzionamento dei controlli interni di un’organizzazione.

Chi può emettere un rapporto SOC?

Gli esami SOC sono eseguiti da contabili pubblici certificati indipendenti (revisori di servizi) secondo gli standard di attestazione dell’American Institute of Certified Public Accountants (AICPA).

Cosa sono i controlli interni?

Il Committee of Sponsoring Organizations of the Treadway Commission (COSO) definisce ampiamente il controllo interno come “un processo, effettuato dal consiglio di amministrazione di un’entità, dalla direzione e da altro personale, progettato per fornire una ragionevole garanzia riguardo al raggiungimento degli obiettivi relativi alle operazioni, al reporting e alla conformità.”

In sostanza, i controlli interni sono le misure che la vostra organizzazione mette in atto riguardo alle proprie operazioni interne per aumentare l’efficienza, proteggersi dalle responsabilità e rimanere in conformità con i regolamenti e le leggi.

Come può la mia organizzazione ottenere la certificazione SOC?

Il termine “certificazione SOC” è in realtà un termine improprio che deriva da un malinteso comune sui rapporti SOC. Le organizzazioni chiedono spesso come possono diventare “certificate SOC” o “conformi SOC”, ma non c’è nessuna certificazione e nessun passaggio o fallimento con i rapporti SOC.

Una volta che l’esame SOC è completato, viene emesso un pacchetto di rapporti, che contiene il rapporto del revisore di servizi indipendente, i test eseguiti dal revisore e i risultati di quei test, e l’asserzione dell’organizzazione di servizi e la descrizione del sistema (o la narrazione dei controlli).

In quel rapporto del revisore di servizi indipendente, il revisore di servizi emette un parere. Se la descrizione del sistema è presentata correttamente (SOC 1) o in conformità con i criteri di descrizione (SOC 2), i controlli sono progettati in modo appropriato e i controlli funzionano efficacemente (tipo 2), il revisore di servizi probabilmente emetterà un “parere non modificato”, che di solito è il risultato preferito.

Tuttavia, se ci sono problemi significativi riscontrati nei test o la descrizione è fuorviante o manca di informazioni rilevanti, il revisore di servizi potrebbe emettere un parere qualificato o addirittura negativo, a seconda della pervasività dei problemi.

Chi ha bisogno di un rapporto SOC?

La decisione di far eseguire un esame SOC è solitamente guidata da richieste o requisiti per un rapporto SOC da parte dei clienti dell’organizzazione di servizi o clienti potenziali. Quindi, molto probabilmente, saprete che avete bisogno di un rapporto SOC perché i vostri clienti ve ne stanno chiedendo uno.

Per molte aziende, richiedere un rapporto SOC ai loro fornitori è di solito parte dei buoni processi di gestione dei fornitori e tipico della due diligence eseguita sui fornitori di un’organizzazione al fine di affrontare i rischi associati ai servizi in outsourcing a quel fornitore.

È importante ricordare che mentre i vostri clienti o potenziali clienti possono esternalizzare i servizi, sono ancora responsabili della salvaguardia delle loro informazioni, e i rapporti SOC sono un metodo per loro di costruire la fiducia nella vostra azienda e nei servizi che fornite loro.

Le organizzazioni dovrebbero avere un rapporto SOC se:

• sono considerate una “organizzazione di servizi” (un’organizzazione che fornisce servizi a entità utenti);
• vengono frequentemente richieste da clienti attuali o potenziali di completare un questionario dettagliato sulla sicurezza dell’organizzazione o sui controlli interni in atto per affrontare i rischi che minacciano il raggiungimento dei servizi contrattuali o gli impegni di sistema; o
• vengono frequentemente richieste da clienti attuali o potenziali di fornire un rapporto SOC. (Questo potrebbe essere il fattore determinante per mantenere i clienti attuali o vincere l’affare di un cliente potenziale.)

Qual è la tempistica tipica per avere un esame SOC completato?

Gli esami SOC possono essere un processo lungo, che a volte richiede diversi mesi o addirittura un anno per essere completato, a seconda di quanto l’organizzazione sia preparata a soddisfare i requisiti.

Per quelle organizzazioni che hanno già messo in atto politiche, procedure e controlli interni solidi, il processo può essere sicuramente più breve.

Se queste cose non sono in atto, di solito raccomandiamo che l’organizzazione passi attraverso un Readiness Assessment per determinare la preparazione, per identificare le lacune o le aree di miglioramento e per evitare di buttarsi in un esame SOC troppo velocemente. In questo modo si spera di evitare qualsiasi eccezione significativa o carenza nel rapporto SOC quando sarà completato.

Se l’organizzazione sceglie un approccio proattivo o fa eseguire un esame SOC in risposta alle richieste, speriamo in ultima analisi che ottenga anche una conoscenza inestimabile sul funzionamento dei suoi processi di controllo interno e sulle aree in cui il miglioramento è fondamentale.

Ci sono diverse varianti di esami SOC?

Sì.

Per le organizzazioni di servizi, ci sono gli esami SOC 1®, SOC 2® e SOC 3®. Oltre a questi esami, l’AICPA ha anche formulato un SOC per la Cybersecurity e un SOC per la Supply Chain.

L’AICPA ha marchiato la suite di servizi SOC e le opzioni di reporting come segue:

SOC per le organizzazioni di servizi
SOC 1 Examinations (Tipi 1 e 2)	Inteso a riferire sui controlli di un’organizzazione di servizi rilevanti per il controllo interno di un’entità sul reporting finanziario (ICFR) Tipicamente eseguito su servizi come i piani pensionistici o di benefici per i dipendenti, servizi finanziari/di custodia, elaborazione dei libri paga, elaborazione dei pagamenti, servizio prestiti, ecc. Le relazioni sono limitate alla gestione dell’organizzazione del servizio, alle entità utenti e ai revisori degli utenti.
Esami SOC 2 (Tipi 1 e 2)	Basato sul TSP 100, 2017 Trust Services Criteria specificato dall’AICPA e destinato a soddisfare le esigenze di una vasta gamma di utenti per comprendere i controlli interni relativi alle cinque categorie dei servizi fiduciari: Sicurezza (Common Criteria), Disponibilità, Integrità dell’elaborazione, Riservatezza o Privacy Tipo eseguito per le co-locazioni di data center, fornitori di Software as a Service (SaaS), fornitori di servizi cloud, fornitori di servizi IT gestiti, ecc. Le relazioni sono limitate alle entità utilizzatrici del sistema, ai partner commerciali, alle entità utilizzatrici e ai partner commerciali potenziali e alle autorità di regolamentazione che hanno una comprensione dell’organizzazione del servizio e dei suoi controlli. Altre materie e criteri aggiuntivi possono essere affrontati negli esami SOC 2+ su altri quadri di controllo interno (per esempio, SOC 2+ HIPAA).
Esami SOC 3	Eseguiti sulle stesse categorie di servizi fiduciari dell’esame SOC 2, ma il rapporto è meno dettagliato e non include i risultati dei test Progettato per entità che elaborano dati elettronici dei consumatori utilizzando e-commerce, Software as a Service e altri sistemi elettronici, ecc. Rapporti di uso generale che possono essere distribuiti liberamente a coloro che non hanno conoscenze sufficienti per comprendere i rapporti SOC 2
SOC per la Cybersecurity
	Rapporto sul programma di gestione del rischio di cybersecurity di un’organizzazione e controlli a livello di entitàcontrolli a livello di entità Il test dei controlli viene eseguito ma i risultati dei test non sono inclusi nel rapporto. Rapporti di uso generale
SOC per Supply Chain
	Inserisce i criteri dei servizi fiduciari AICPA pertinenti alle categorie di Sicurezza, Availability, Processing Integrity, Confidentiality o Privacy Le relazioni assistono le catene di approvvigionamento nel comunicare efficacemente i controlli in atto sui rischi di produzione e distribuzione nei loro sistemi. Progettati per dare ai fabbricanti, ai produttori e alle società di distribuzione garanzie sui controlli dei loro fornitori.

Siccome i rapporti SOC 1 e SOC 2 sono i più richiesti dalle entità utenti, una panoramica più dettagliata di queste due opzioni di rapporto è garantita.

Entrambi questi rapporti hanno due tipi: Tipo 1 e Tipo 2, che sono anche delineati.

Cos’è un report SOC 1?

Nei report SOC 1, non ci sono criteri specifici. L’organizzazione di servizio sviluppa e scrive gli obiettivi di controllo generali e i relativi controlli specifici per raggiungere gli obiettivi di controllo. L’organizzazione di servizio è anche responsabile per la descrizione della sezione del sistema del rapporto.

I rapporti SOC 1 sono destinati a riferire sui controlli di un’organizzazione di servizio rilevanti per il controllo interno di un’entità sul reporting finanziario (ICFR), e sono tipicamente eseguiti su servizi come i piani di benefici per i dipendenti o di pensionamento, i servizi finanziari/custodiali, l’elaborazione dei libri paga, l’elaborazione dei pagamenti, il servizio prestiti, ecc.

I rapporti SOC 1 sono limitati alla gestione dell’organizzazione di servizi, alle entità utenti e ai loro revisori.

Cos’è un rapporto SOC 2?

Nei rapporti SOC 2, l’AICPA ha specificato i criteri dei servizi fiduciari usati per valutare i controlli e fornisce punti di attenzione che le organizzazioni possono usare per aiutare a determinare i controlli applicabili e il linguaggio di controllo.

I criteri dei servizi fiduciari possono essere classificati in cinque categorie:

• Security;
• Availability;
• Processing integrity;
• Confidentiality; e
• Privacy.

Quando si sceglie di utilizzare gli esami SOC 2, la categoria di sicurezza (identificata anche come “criteri comuni”) deve essere utilizzata, e poi le categorie aggiuntive possono essere scelte come applicabili agli impegni di servizio dell’organizzazione o ai requisiti di sistema.

Per esempio, se l’organizzazione di servizi delinea nei suoi accordi di livello di servizio che il sistema o la piattaforma software sarà disponibile ai suoi utenti 24/7, 365 giorni all’anno e che le procedure di continuità aziendale e di disaster recovery sono in atto e testate almeno annualmente, la categoria di disponibilità sarebbe rilevante per il loro rapporto.

L’AICPA ha anche sviluppato alcuni standard che l’organizzazione di servizi deve utilizzare quando prepara la descrizione del sistema per i rapporti SOC 2, che sono delineati nei criteri di descrizione (DC) Sezione 200.

Gli esami SOC 2 sono tipicamente eseguiti per Data Center Co-locations, fornitori di Software as a Service (SaaS), fornitori di servizi Cloud, fornitori di servizi IT gestiti, ecc.

Questi rapporti sono limitati alle entità utilizzatrici del sistema, ai partner commerciali, alle entità utilizzatrici potenziali e ai partner commerciali, e ai regolatori che hanno una comprensione dell’organizzazione del servizio e dei suoi controlli.

Qual è la differenza tra un rapporto SOC di tipo 1 e di tipo 2?

Un rapporto di tipo 1 è a partire da una data specificata e assicura che la descrizione del sistema è presentata in modo corretto (rapporto SOC 1) o è conforme ai criteri di descrizione (rapporto SOC 2), e che i controlli sono progettati in modo adeguato a partire dalla data specificata. Viene eseguito un walk-through dei controlli e un test di uno, ma non ci sono test dettagliati.

Un rapporto di tipo 2 è su un periodo specificato, in genere non meno di sei mesi. L’opinione dà garanzia sulla descrizione e l’adeguatezza della progettazione dei controlli, e anche sull’efficacia operativa dei controlli. L’esame di tipo 2 comporta test dettagliati dei controlli per l’intero periodo di riferimento.

Come vengono formulati i rapporti SOC?

Le fasi di esecuzione di un esame SOC variano, a seconda di quanto l’organizzazione sia pronta a soddisfare i requisiti. In genere, consigliamo ai revisori di servizi di seguire il processo in quattro fasi delineato di seguito per condurre un esame SOC:

Esame SOC Fase 1: Condurre un incontro di impegno/pianificazione

Il revisore di servizi incontra l’organizzazione di servizi per determinare la portata del sistema o dei servizi, l’opzione SOC più applicabile alle esigenze dell’organizzazione e i tempi, la programmazione e le tariffe dell’impegno.

Fase 2 dell’esame SOC: condurre una valutazione di preparazione

Si tengono riunioni per discutere le politiche, i processi e le procedure che l’organizzazione ha in atto o se devono essere sviluppati o perfezionati. Walk-throughs, osservazioni e indagini riguardanti i processi e le procedure vengono eseguiti dal revisore di servizi.

L’organizzazione è responsabile dello sviluppo degli obiettivi di controllo e dei relativi controlli (rapporto SOC 1), o dei controlli specifici per soddisfare i criteri del rapporto SOC 2; tuttavia, il revisore di servizi può condividere la conoscenza, dare consigli o raccomandare un linguaggio di controllo appropriato per assistere l’organizzazione in questo compito.

Tutte le aree di lacune identificate dal revisore di servizi vengono segnalate all’organizzazione di servizi in modo che i processi e i controlli possano essere perfezionati per dare una ragionevole garanzia che l’organizzazione sia ben preparata prima che venga eseguito l’esame SOC.

Fase 3 dell’esame SOC: Esame di tipo 1 e reporting (SOC 1 o SOC 2)

Le organizzazioni possono scegliere di far eseguire l’esame di tipo 1 prima di passare all’esame di tipo 2 per aiutare a garantire che i controlli siano adeguatamente progettati e implementati a partire da una data specifica.

Un rapporto formale viene ancora emesso dal revisore di servizi; Tuttavia, poiché non viene eseguita alcuna prova dettagliata dell’efficacia operativa dei controlli, i controlli sono semplicemente elencati come parte della descrizione del sistema dell’organizzazione. L’opinione del revisore di servizi è dichiarata in merito alla correttezza della presentazione della descrizione (SOC 1) o secondo i criteri della descrizione (SOC 2), e se i controlli sono progettati in modo adeguato.

Sebbene non tutte le organizzazioni scelgano di far eseguire il Tipo 1, è sicuramente un’opzione da considerare per evitare molteplici eccezioni o carenze che potrebbero verificarsi passando al Tipo 2 troppo rapidamente.

Fase 4 dell’esame SOC: esame di tipo 2 e reporting (SOC 1 o SOC 2)

Quando l’organizzazione sceglie di far eseguire l’esame di tipo 2, i test dettagliati saranno completati dal revisore di servizi durante l’intero periodo di reporting come specificato durante il processo di pianificazione.

In questa relazione, il revisore di servizi include una descrizione dei test eseguiti, e l’opinione riguarderà nuovamente la correttezza della presentazione della descrizione (o dei criteri di descrizione), se i controlli sono progettati in modo adeguato, e anche se i controlli hanno funzionato in modo efficace durante il periodo di riferimento.

Come può la mia organizzazione ottenere un esame SOC completato per una relazione SOC?

I professionisti di rischio, sicurezza e tecnologia di Warren Averett lavorano a stretto contatto con le organizzazioni fornitrici di servizi al fine di ottenere una comprensione approfondita dei requisiti dei loro stakeholder in modo da poter individuare le soluzioni giuste per le loro esigenze quando si tratta di esami SOC e servizi di attestazione.

Fai in modo che un consulente di Warren Averett ti raggiunga per iniziare la conversazione su come potrebbe essere un rapporto SOC per la tua organizzazione.