" SOC SOC 1对2对3 SOC - 理解SSAE 18:500万彩票网(cliftonlarsonallen)

      <kbd id="z0274xrs"></kbd><address id="msiszqbr"><style id="neq7l2i3"></style></address><button id="1eldhsh7"></button>

          ManOutliningPlanonWhiteBoardtoCasualGroup

          SSAE 18所提供的内部控制和数据安全保障的最高标准之一。

          降低风险

          你的指导,为服务机构SOC报告

          • 乔尔埃什尔曼
          • 2017年10月25日

          数据安全是所有行业服务组织的客户关注的问题,尤其是金融交易,关于他人的代加工企业。如果你保持数据是不是您的组织的责任,或者是新来提供托管服务或外包加工,你怎么能保证提供给您的客户和潜在客户的系统来保护他们的数据?

          一个很好的选择要考虑的是对服务机构报告制度和组织控制(SOC)。仔细描述SOC报告提供您的服务组织的控制,并旨在提供保证,以客户端用户控制组织这样的描述是准确的;控制被适当地设计,并且在预期的控制作为报告期间操作。

          如果你是新来提供外包交易处理或服务,SOC可能是你不熟悉的。 SOC报告改为“SAS 70“而对鉴证业务(SSAE)16标准的语句,并按照准备与SSAE没有。 18。

          什么是SOC报告?

          SOC报告,旨在提供客户端用户提供合理的保证,组织,控制在服务组织中准确地描述,适当地设计和运行基于整体有效运行环境,包括提供的服务及加工和维护的数据类型。

          它是一个标准化的报告,给服务供应商提供的洞察力机构到设计和相关的用户实体(即,客户)的内部控制的执行有效性。有三种主要类型的报告:

          • 到SOC 1是有关内部控制或财务报告服务机构的客户的影响内部控制。
          • 到SOC SOC 2和3涉及的内部控制系统的安全性或即冲击可用性,处理完整性,机密性,或客户数据的私密性。

          SOC 1个比SOC 2与SOC 3

          在SOC参与的第一步是要建立什么样的服务,将审查和报告的类型将那发出。这将包括识别控制目标(SOC 1)或信任原则(SOC SOC 2和3)。有许多因素决定的范围和类型的接合适合于您的情况,其中包括:

          • 使用报告:谁是报告的用户有意和他们有什么期望?该报告将用于他们的支持对财务报告的内部控制?法规或合同要求参与?有人担心有关数据和服务的安全性或可用性?
          • 服务:该服务确实对客户的财务影响?
          • 子维修人员:你依赖于其他服务供应商提供的服务?没有服务提供商对服务和您的客户有什么影响?难道服务提供商有它自己的SOC报告?

          哪种类型的SOC报告是正确的吗?

          你的回答每一个问题都有帮助您确定应为您的情况的正确报告。

          SOC报告类型
          该报告将通过您的客户和他们的财务审计中使用计划,并执行整合客户的财务报表进行了审计或审计? SOC一个报告
          该报告将您的客户作为其遵守萨班斯 - 奥克斯利法案或类似法律或法规的一部分吗? SOC一个报告
          该报告将通过你的客户或利益相关者用来获得对服务组织系统的安全信心和地方的信赖和数据得到保护? SOC 2或3报告
          我需要你做的提供给实体的报告通常可能不熟悉你的服务? SOC 3报告
          让你的客户都在服务机构了解处理和控制的细节,测试由独立审计师执行的需要,并测试这些结果? SOC 2报告
          没有 SOC 3报告

          SOC的方法

          准备评估

          十一参与的范围已经-已经建立,服务组织决定可以评估目前的内部控制,以确定是否选择的标准管理的控制手托他们的目标或信托原则。 ESTA将通过现有的程序文件,步行通过流程,以及管理层访谈的审查来实现。通过这种方式,内部控制将进行分析,以确定它们是否满足控制目标信赖原则或标准。如果控件不足以整治工作将被设计为缩小差距控制。在ESTA阶段的结论,管理层将收到一份报告,以控制每个目标和标准,并进行必要的整治力度确定关键控制。

          差距控制整治

          2个显著步骤发生在补救阶段:

          1. 努力跟踪和补救注意到控制间隙被封闭。
          2. 服务提供商将起草一个系统描述识别过程和交付服务范围内参与的范围控制。 ESTA的描述是核数师审核的基础上,将被包含在最终的报告。

          这验证,确认控制的描述是准确的

          控制补救间隙和起草的控制描述后查明,程序被执行以验证的控制的描述中的措词和准确适当的设计。完成这一步通过一系列的测试,证实为设计已实施的控制。这些程序的成功的结果是1型报告与服务SOC审计人员审查的具体日期的发行。

          测试,以确定是否控制被操作有效

          实现与相关的控制工作成效反馈SOC报告,执行程序,以确定是否控件在整个报告期内经营效益。这需要监测活动ESTA整个特定时期进行试验,以确定是否符合控制设计。的测试程序完成后,2型报告与服务SOC审核签发审计提供效能监测规定报告期内的保证。

          我们如何能够帮助

          完成 SOC检查 是你的整体的重要组成部分 风险管理计划。该报告提供了与你的内部控制保证为服务提供商客户。也许这些检查(S)的最好的结果是,你将深入了解自己的内部控制,并知道无论你控制按预期执行。

          关于常见问题解答查看SSAE 18,SSAE 16和SAS 70。