Rapoartele SOC (System and Organization Controls) devin rapid o necesitate pentru consolidarea încrederii și pentru a da asigurări clienților unei organizații (și potențialilor clienți) cu privire la serviciile pe care organizația le furnizează.

Numărul breșelor și incidentelor care rezultă din vulnerabilitățile sistemului unei organizații sau ale furnizorilor organizației este în creștere, iar multe organizații caută să se protejeze împotriva criminalității cibernetice costisitoare.

Pe măsură ce securitatea cibernetică și controalele interne capătă o atenție și un accent tot mai mare în comunitatea de afaceri de astăzi, la fel și rapoartele SOC.

Nu aveți prea mult timp? Ascultați și învățați în acest episod al podcastului nostru: De ce este importantă raportarea SOC pentru furnizorii de servicii?

Ce este un raport SOC?

Un raport SOC este rezultatul și constatările unei examinări SOC, care este concepută pentru a oferi asigurări cu privire la funcționarea controalelor interne ale unei organizații.

Cine poate emite un raport SOC?

Examinările SOC sunt efectuate de experți contabili independenți (auditori de servicii) în conformitate cu standardele de atestare ale Institutului American de Experți Contabili (AICPA).

Ce sunt controalele interne?

Comitetul Committee of Sponsoring Organizations of the Treadway Commission (COSO) definește, în linii mari, controlul intern ca fiind „un proces, efectuat de consiliul de administrație al unei entități, de conducere și de alt personal, conceput pentru a oferi o asigurare rezonabilă cu privire la realizarea obiectivelor legate de operațiuni, raportare și conformitate.”

În esență, controalele interne sunt măsurile pe care organizația dumneavoastră le pune în aplicare în ceea ce privește propriile operațiuni interne pentru a crește eficiența, pentru a se proteja împotriva răspunderii și pentru a rămâne în conformitate cu reglementările și legile.

Cum poate organizația mea să obțină certificarea SOC?

Termenul „certificare SOC” este, de fapt, o denumire greșită care rezultă dintr-o concepție greșită comună despre rapoartele SOC. Organizațiile întreabă frecvent cum pot deveni „certificate SOC” sau „conforme SOC”, dar nu există nicio certificare și nu există nici un succes sau eșec cu rapoartele SOC.

După ce examinarea SOC este finalizată, se emite un pachet de raportare, care conține raportul auditorului independent de servicii, testele efectuate de auditor și rezultatele acestor teste, precum și afirmația și descrierea sistemului (sau descrierea narativă a controalelor) de către organizația de servicii.

În cadrul acestui raport al auditorului independent de servicii, auditorul de servicii va emite o opinie. În cazul în care descrierea sistemului este prezentată în mod corect (SOC 1) sau în conformitate cu criteriile de descriere (SOC 2), controalele sunt concepute în mod corespunzător și controalele funcționează în mod eficient (tip 2), auditorul de servicii va emite probabil o „opinie nemodificată”, care este de obicei rezultatul preferat.

Cu toate acestea, dacă există probleme semnificative constatate în timpul testării sau dacă descrierea este înșelătoare sau lipsesc informații relevante, auditorul de servicii ar putea emite o opinie cu rezerve sau chiar o opinie negativă, în funcție de omniprezența problemelor.

Cine are nevoie de un raport SOC?

Decizia de a efectua o examinare SOC este, de obicei, determinată de solicitările sau cerințele pentru un raport SOC din partea clienților sau a clienților potențiali ai organizației de servicii. Deci, cel mai probabil, veți ști că aveți nevoie de un raport SOC pentru că clienții dumneavoastră vă cer unul.

Pentru multe companii, solicitarea unui raport SOC de la furnizorii lor face parte, de obicei, din bunele procese de gestionare a furnizorilor și este tipică pentru diligența necesară efectuată asupra furnizorilor unei organizații pentru a aborda riscurile asociate cu externalizarea serviciilor către acel furnizor.

Este important să vă amintiți că, deși clienții sau potențialii clienți pot externaliza serviciile, ei sunt în continuare responsabili pentru protejarea propriilor informații, iar rapoartele SOC sunt o metodă prin care aceștia pot avea încredere în compania dumneavoastră și în serviciile pe care le oferiți.

Organizațiile ar trebui să aibă un raport SOC dacă:

• sunt considerate a fi o „organizație de servicii” (o organizație care furnizează servicii entităților utilizatoare);
• sunt frecvent rugate de clienții actuali sau potențiali să completeze un chestionar detaliat despre securitatea organizației sau despre controalele interne instituite pentru a aborda riscurile care amenință realizarea serviciilor contractate sau a angajamentelor de sistem; sau
• sunt frecvent rugate de clienții actuali sau potențiali să furnizeze un raport SOC. (Acesta ar putea fi factorul determinant pentru păstrarea clienților actuali sau pentru câștigarea afacerii unui client potențial.)

Care este calendarul tipic pentru finalizarea unei examinări SOC?

Examinările SOC pot fi un proces îndelungat, având uneori nevoie de câteva luni sau chiar de un an pentru a fi finalizate, în funcție de cât de pregătită este organizația pentru a îndeplini cerințele.

Pentru acele organizații care dispun deja de politici, proceduri și controale interne solide, procesul poate fi cu siguranță mai scurt.

În cazul în care aceste lucruri nu sunt în vigoare, de obicei recomandăm ca organizația să treacă printr-o evaluare a pregătirii pentru a determina gradul de pregătire, pentru a identifica lacunele sau zonele de îmbunătățire și pentru a evita să se lanseze prea repede într-un examen SOC. Procedând astfel, sperăm să se evite orice excepții sau deficiențe semnificative în raportul SOC atunci când acesta va fi finalizat.

Dacă organizația alege o abordare proactivă sau are un examen SOC efectuat ca răspuns la solicitări în acest sens, sperăm că, în cele din urmă, va obține, de asemenea, cunoștințe neprețuite cu privire la cât de bine funcționează procesele lor de control intern și la domeniile în care îmbunătățirea este crucială.

Există diferite variante de examinări SOC?

Da.

Pentru organizațiile de servicii, există examinări SOC 1®, SOC 2® și SOC 3®. În plus față de aceste examinări, AICPA a formulat, de asemenea, un SOC pentru securitate cibernetică și un SOC pentru lanțul de aprovizionare.

AICPA a denumit suita de servicii SOC și opțiunile de raportare, după cum urmează:

SOC pentru organizațiile de servicii
EXAMINĂRI SOC 1 (Tipurile 1 și 2)	Destinate să raporteze asupra controalelor la o organizație de servicii relevante pentru controlul intern al entității asupra raportării financiare (ICFR) În mod obișnuit efectuate asupra serviciilor, cum ar fi planurile de beneficii pentru angajați sau de pensii, servicii financiare/de custodie, procesarea salariilor, procesarea plăților, deservirea împrumuturilor etc. Raporturile sunt limitate la conducerea organizației de servicii, la entitățile utilizatoare și la auditorii utilizatorilor.
Examinări SOC 2 (Tipurile 1 și 2)	Bazate pe TSP 100, 2017 Trust Services Criteria specificate de AICPA și destinate să satisfacă nevoile unei game largi de utilizatori pentru înțelegerea controalelor interne relevante pentru cele cinci categorii de servicii fiduciare: Securitate (Criterii comune), Disponibilitate, Integritate de procesare, Confidențialitate sau Confidențialitate Realizat în mod obișnuit pentru colocări în centre de date, furnizori de Software as a Service (SaaS), furnizori de servicii cloud, furnizori de servicii IT gestionate etc. Raporturile sunt rezervate entităților utilizatoare ale sistemului, partenerilor de afaceri, entităților utilizatoare și partenerilor de afaceri potențiali și autorităților de reglementare care au o înțelegere a organizației de servicii și a controalelor sale. Subiecte suplimentare și criterii suplimentare pot fi abordate în cadrul examenelor SOC 2+ asupra altor cadre de control intern (de ex, SOC 2+ HIPAA).
Examinări SOC 3	Realizate asupra acelorași categorii de servicii de încredere ca și examenul SOC 2, dar raportul este mai puțin detaliat și nu include rezultatele testelor Conceput pentru entitățile care procesează date electronice ale consumatorilor folosind comerțul electronic, Software as a Service și alte sisteme electronice etc. Rapoarte de uz general care pot fi distribuite gratuit celor care nu au cunoștințe suficiente pentru a înțelege rapoartele SOC 2
SOC pentru securitate cibernetică
	Raport privind programul de gestionare a riscurilor de securitate cibernetică al unei organizații și al entității-.controale la nivelul întregii entități Se efectuează testarea controalelor, dar rezultatele testării nu sunt incluse în raport. Rapoarte de uz general
SOC pentru lanțul de aprovizionare
	Ajunge la criteriile AICPA privind serviciile de încredere relevante pentru categoriile de securitate, Disponibilitate, Integritate de procesare, Confidențialitate sau Intimitate Raportul ajută lanțurile de aprovizionare să comunice în mod eficient controalele instituite cu privire la riscurile de producție și distribuție din sistemele lor. Conceput pentru a oferi fabricanților, producătorilor și companiilor de distribuție asigurări cu privire la controalele furnizorilor lor.

Din moment ce rapoartele SOC 1 și SOC 2 sunt cele mai solicitate de către entitățile utilizatoare, se justifică o prezentare mai detaliată a acestor două opțiuni de raport.

Ambele rapoarte au două tipuri: Tip 1 și Tip 2, care sunt, de asemenea, descrise.

Ce este un raport SOC 1?

În rapoartele SOC 1, nu există criterii specificate. Organizația de servicii elaborează și autorizează obiectivele generale de control și controalele aferente specifice pentru atingerea obiectivelor de control. Organizația de servicii este, de asemenea, responsabilă pentru secțiunea de descriere a sistemului din raport.

Rapoartele SOC 1 au ca scop raportarea controalelor la o organizație de servicii relevante pentru controlul intern al entității asupra raportării financiare (ICFR) și sunt de obicei efectuate asupra unor servicii cum ar fi planurile de beneficii pentru angajați sau de pensionare, serviciile financiare/de custodie, procesarea salariilor, procesarea plăților, deservirea împrumuturilor etc.

Rapoartele SOC 1 sunt rezervate conducerii organizației de servicii, entităților utilizatoare și auditorilor acestora.

Ce este un raport SOC 2?

În rapoartele SOC 2, AICPA a specificat criteriile serviciilor fiduciare utilizate pentru evaluarea controalelor și oferă puncte de interes pe care organizațiile le pot utiliza pentru a ajuta la determinarea controalelor aplicabile și a limbajului de control.

Criteriile serviciilor de încredere pot fi clasificate în cinci categorii:

• Securitate;
• Disponibilitate;
• Integritate de procesare;
• Confidențialitate; și
• Privacy.

Când se optează pentru utilizarea examinărilor SOC 2, trebuie utilizată categoria de securitate (identificată și ca „criterii comune”), iar apoi pot fi alese categorii suplimentare, după cum se aplică angajamentelor de servicii sau cerințelor de sistem ale organizației.

De exemplu, dacă organizația de servicii subliniază în acordurile sale de nivel de servicii că sistemul sau platforma software va fi disponibilă pentru utilizatorii săi 24 de ore din 24, 7 zile din 7, 365 de zile pe an și că procedurile de continuitate a activității și de recuperare în caz de dezastru sunt implementate și testate cel puțin o dată pe an, categoria Disponibilitate ar fi relevantă pentru raportul lor.

AICPA a elaborat, de asemenea, anumite standarde pe care organizația de servicii trebuie să le utilizeze atunci când pregătește descrierea sistemului pentru rapoartele SOC 2, care sunt prezentate în secțiunea 200 a Criteriilor de descriere (DC).

Examinările SOC 2 se efectuează, de obicei, pentru colocări de centre de date, furnizori de software ca serviciu (SaaS), furnizori de servicii cloud, furnizori de servicii IT gestionate etc.

Aceste rapoarte sunt rezervate entităților utilizatoare ale sistemului, partenerilor de afaceri, entităților utilizatoare și partenerilor de afaceri potențiali, precum și autorităților de reglementare care au o înțelegere a organizației de servicii și a controalelor acesteia.

Care este diferența dintre un raport SOC de tip 1 și unul de tip 2?

Un raport de tip 1 este întocmit la o dată specificată și asigură că descrierea sistemului este prezentată în mod corect (raport SOC 1) sau este în conformitate cu criteriile de descriere (raport SOC 2) și că controalele sunt concepute în mod corespunzător la data specificată. Se efectuează o trecere în revistă a controalelor și un test al unuia dintre ele, dar nu există teste detaliate.

Un raport de tip 2 se referă la o perioadă specificată, de obicei nu mai puțin de șase luni. Opinia oferă asigurări cu privire la descrierea și caracterul adecvat al concepției controalelor, precum și cu privire la eficacitatea operațională a controalelor. Examinarea de tip 2 implică testarea detaliată a controalelor pe întreaga perioadă de raportare.

Cum se formulează rapoartele SOC?

Etapele pentru efectuarea unei examinări SOC variază, în funcție de cât de pregătită este organizația pentru a îndeplini cerințele. În mod obișnuit, recomandăm ca auditorul de servicii să urmeze procesul în patru etape descris mai jos atunci când efectuează o examinare SOC:

Examinarea SOC Etapa 1: Efectuarea unei întâlniri de angajare/planificare

Auditorul de servicii se întâlnește cu organizația de servicii pentru a determina domeniul de aplicare al sistemului sau al serviciilor, opțiunea SOC cea mai aplicabilă pentru nevoile organizației, precum și calendarul, programarea și onorariile aferente angajamentului.

Etapa 2 a examinării SOC: Efectuarea unei evaluări a gradului de pregătire

Se organizează întâlniri pentru a discuta politicile, procesele și procedurile pe care organizația le are în vigoare sau dacă acestea trebuie să fie dezvoltate sau perfecționate. Auditorul de servicii efectuează vizite, observații și interogări cu privire la procese și proceduri.

Organizația este responsabilă pentru dezvoltarea obiectivelor de control și a controalelor aferente (raportul SOC 1), sau a controalelor specifice pentru a îndeplini criteriile raportului SOC 2; cu toate acestea, auditorul de servicii poate împărtăși cunoștințe, da sfaturi sau recomanda un limbaj de control adecvat pentru a ajuta organizația în această sarcină.

Toate zonele cu lacune identificate de către auditorul de servicii sunt raportate organizației de servicii, astfel încât procesele și controalele să poată fi perfecționate pentru a oferi o asigurare rezonabilă că organizația este bine pregătită înainte de efectuarea examinării SOC.

Etapa 3 a examinării SOC: Examinarea de tip 1 și raportarea (SOC 1 sau SOC 2)

Organizațiile pot alege ca examinarea de tip 1 să fie efectuată înainte de a trece la examinarea de tip 2 pentru a ajuta la asigurarea faptului că controalele sunt concepute și implementate în mod corespunzător la o anumită dată.

Un raport formal este încă emis de către auditorul de servicii; Cu toate acestea, întrucât nu se efectuează o testare detaliată a eficacității operaționale a controalelor, controalele sunt pur și simplu enumerate ca parte a descrierii sistemului organizației. Opinia auditorului de servicii este exprimată în ceea ce privește corectitudinea prezentării descrierii (SOC 1) sau în conformitate cu criteriile de descriere (SOC 2) și dacă controalele sunt concepute în mod corespunzător.

În timp ce nu toate organizațiile aleg să efectueze tipul 1, aceasta este cu siguranță o opțiune de luat în considerare pentru a evita multiplele excepții sau deficiențe care ar putea apărea în urma trecerii prea rapide la tipul 2.

Etapa 4 a examinării SOC: Examinarea de tip 2 și raportarea (SOC 1 sau SOC 2)

Când organizația alege ca examinarea de tip 2 să fie efectuată, testarea detaliată va fi finalizată de către auditorul de servicii pe parcursul întregii perioade de raportare, așa cum s-a specificat în timpul procesului de planificare.

În acest raport, auditorul de servicii include o descriere a testelor efectuate, iar opinia va viza din nou corectitudinea prezentării descrierii (sau criteriile de descriere), dacă controalele sunt concepute în mod corespunzător și, de asemenea, dacă controalele au funcționat în mod eficient pe parcursul perioadei de raportare.

Cum poate organizația mea să obțină o examinare SOC finalizată pentru un raport SOC?

Profesioniștii în domeniul riscului, securității și tehnologiei de la Warren Averett lucrează îndeaproape cu organizațiile furnizoare de servicii pentru a înțelege în profunzime cerințele părților interesate, astfel încât să putem identifica soluțiile potrivite pentru nevoile lor atunci când vine vorba de examinări SOC și servicii de atestare.

Căutați un consilier Warren Averett să vă contacteze pentru a începe conversația despre cum ar putea arăta un raport SOC pentru organizația dumneavoastră.