SOC 报告

随着萨班斯-奥克斯利法案 (SOX) 的出现、对透明度的其他要求、日益全球化和外包,SSAE 18 的使用呈指数增长。提供关键第三方外包服务的服务组织通常需要对其服务的客户负责。这些组织包括索赔处理者、应用服务提供商、福利管理员、薪资公司、数据中心等等。

此外,创建 系统和组织控制报告(SOC 1、SOC 2、SOC 3 报告) 提供为服务组织开发的三种新报告工具,以响应统一报告和审查的需求——扩大服务组织报告财务控制、非财务控制的能力,并通过 SOC 3 成为经过认证的可信系统服务组织。

注册会计师的表现 SSAE 18 证明 向服务组织的客户及其审计员保证该组织具有一定的、充分的和有效的控制措施。

  • 第一类审核 考虑控制在某个时间点的设计有效性
  • 第二类审核 检查特定时期(通常为 6 至 12 个月)内控制的设计和操作有效性。

SOC 1、SOC 2 和 SOC 3 合作解决了当今的环境:

  • 需要更高的国际一致性
  • 处理更新的技术,例如云计算、移动和虚拟化
  • 需要更广泛认可和理解的报告选项

LBMC Information Security 的审计专业人员是 LBMC, PC 的一部分——美国 50 强注册会计师事务所。我们为全国各地的客户提供 SOC 服务,并在我们提供证明工作的州保持适当的许可。因此,我们拥有深入的行业知识,可以帮助各行各业的服务提供商,包括医疗保健和索赔处理、金融服务、云服务提供商以及商业整理和托管提供商。

SOC 1

SOC 1 要求管理层提供其系统的书面描述,并断言系统描述是公平呈现的,控制目标经过适当设计和有效运作,并确定他们用来做出这些断言的标准。

SOC 1 检查服务组织与财务报告相关的控制,SOC 2 和 SOC 3 审查与 AICPA 信托服务标准 (TSC) 一致的安全性、可用性、处理完整性、机密性和隐私报告控制。

SOC 2 报告和 SOC 3 报告之间的主要区别在于,SOC 2 报告详细描述了服务审计师的控制测试和这些测试的结果,以及服务审计师对服务组织系统描述的意见. SOC 3 报告可以自由分发,而 SOC 2 则适用于服务组织的客户。

SOC 2 参与

SOC 2 约定使用 TSC 以及 SSAE 的 AT 第 101 节中的要求和指南,证明约定(AICPA,专业标准,第 1 卷)。 SOC 2 报告类似于 SOC 1 报告。可以发布 1 类或 2 类报告,并且报告提供了对服务组织系统的描述。对于类型 2 报告,它还包括对服务审计师执行的测试和这些测试结果的描述。

查看服务传单 (PDF)

SOC 3 参与

SOC 3 约定使用 SOC 2 约定中使用的信任服务标准中的预定义标准。 SOC 3 报告是一种通用报告,仅提供审计师关于系统是否达到信任服务标准的报告(不描述测试和结果)。它还允许服务组织在其网站上使用 SOC 3 印章。 SOC 3 报告可以根据一个或多个信任服务标准(安全性、可用性、处理完整性、机密性和隐私)发布。

网络安全 SOC

SOC 网络安全考试旨在为报告用户提供信息,帮助他们了解管理层处理企业范围网络风险的流程。它可以为任何类型的组织执行,无论规模或行业如何,报告用户不一定是当前客户或客户审计员。

用于网络安全的 SOC 提供以下内容:

  • 一种标准、一致的报告实体网络安全风险管理计划 (CRMP) 的方式。
  • 通过全面的网络安全审计向利益相关者、董事会、委员会、客户和合作伙伴传达网络安全控制有效性的有效方式。

与 SOC 2 报告不同,SOC for Cyber​​security 报告解决以下问题:

  • SOC 网络安全评估实体的基准是管理层对实体网络安全风险管理计划的描述的描述标准。
  • 追求网络安全 SOC 的组织可以使用信任服务标准,但在设计或评估其控制要求时也可以使用另一个普遍接受的安全框架。
  • 用于网络安全报告的 SOC 是通用报告,报告的目标通常由公司管理层决定。这些报告适用于比 SOC 2 报告更广泛的受众,可以与组织内部或外部的任何人共享。
  • 在网络安全 SOC 中,控制矩阵不会包含在报告中。

LBMC 信息安全团队在与 AICPA 合作创建和发布此评估方面发挥了重要作用,以帮助您实现合规性并提供您做出更好业务决策所需的见解。

查看服务传单 (PDF)

什么类型的 SOC 报告最适合您?

SOC 报告可帮助您的企业留住并吸引新客户。每个与服务提供商共享关键数据的企业都希望确保业务合作伙伴尽其所能保护其重要信息资产。你怎么证明你是?

您的客户及其审计师是否会使用该报告来计划和执行对客户财务报表的审计或综合审计?

如果您回答“是”,则您需要 SOC 1。

您的客户是否会将该报告用作他们遵守萨班斯-奥克斯利法案或类似法律/法规的一部分?

如果您回答“是”,则您需要 SOC 1。

您的客户或利益相关者是否会使用该报告来获得对服务组织 IT 系统的信心和信任?

如果您回答“是”,则您需要 SOC 2 或 3。

您是否需要向非客户普遍提供报告?

如果您回答“是”,则您需要 SOC 3。

您的客户是否需要并有能力了解服务组织的处理和控制细节、服务审核员执行的测试以及这些测试的结果?

如果您回答“是”,则需要 SOC 2。但是,如果您回答“否”,则需要 SOC 3。

高管团队

链接到服务组织 (SOC) 的 Drew 系统和组织控制

德鲁 亨德里克森

股东,信息安全

电话图标 电子邮件图标 纳什维尔
电话图标 电子邮件图标 纳什维尔
链接到服务组织 (SOC) 的 Robyn 系统和组织控制

罗宾 巴顿

信息安全高级经理

电话图标 电子邮件图标 纳什维尔
电话图标 电子邮件图标 纳什维尔
链接到服务组织 (SOC) 的 Rob 系统和组织控制

Rob 斯托德

LBMC 信息安全高级经理

电话图标 电子邮件图标 纳什维尔
电话图标 电子邮件图标 纳什维尔