ISAE 3402 | SOC 1
Anpassat efter en organisation?
System och kontroller – SOC-rapporteringen kretsar kring kontroller. En ISAE 3402 | SOC 1-rapport fokuserar på finansiell outsourcing, inklusive kapitalförvaltning, SaaS-leverantörer (finansiell programvara), datacenter (lagring av finansiella data). SOC 2-rapporten riktar sig till ett bredare spektrum av användarorganisationer med ytterligare krav på säkerhet, tillgänglighet, processintegritet, konfidentialitet och integritet. Våra konsulter hjälper många organisationer att uppnå det ultimata målet; en professionell SOC-rapport och ett godkännande utlåtande. Vilka är de nödvändiga stegen för att uppnå detta?
Metod
De första stegen handlar om att förstå kriterierna, välja rätt omfattning på revisionen och följa en strukturerad metod för implementeringen. I den här artikeln beskriver vi hur denna process går till. Att erhålla en godkänd revisionsrapport är beroende av olika faktorer och kräver betydande disciplin från dina anställda när det gäller att följa rutiner och utföra kontroller, men effektiv strukturering och planering kan vara till stor hjälp!
Kriterier
Kriterierna för en ISAE 3402 | SOC 1-rapport beror huvudsakligen på användarorganisationens rapporteringsförfaranden, SLA-avtalet och andra krav från användarorganisationen. Kriterierna för en ISAE 3000- eller SOC 2-rapport har tagits fram av American Institute of Certified Public Accountants (AICPA). AICPA har utvecklat kriterier för förtroendetjänster som är mer beskrivande och som omfattar kontrollmiljö, riskhantering, kommunikation, detaljerade kontroller och detaljerade tekniska kriterier.
Med andra ord beskriver Trust Service Criteria i stora drag vad som behöver göras, men det är upp till organisationerna att utveckla kontroller. Revisorer som verifierar organisationens kontroller genom SOC-revisioner observerar och omformulerar kontroller för att avgöra om de är väletablerade, existerar och fungerar effektivt för att uppnå önskat resultat. Det första steget i SOC-implementeringsprocessen är att definiera revisionens omfattning.
Omfattning av kontroll
Att få en överblick över miljön och systemen är avgörande för att definiera omfattningen. Därför inleds Risklane SOC-implementeringsprojekt med en grundlig analys av organisationen, infrastrukturen, de tjänster som tillhandahålls och processerna. Utan denna analys kanske kvaliteten på SOC-rapporten inte är optimal, vilket i slutändan leder till ett kvalificerat utlåtande eller åtminstone en ineffektiv ISAE 3402- eller ISAE 3000-revision. För en ISAE 3000 | SOC 2-rapport är nästa steg att förstå Trust Service Criteria.
Förstå Trust Service Criteria. Det första steget för att förstå kriterierna är att hämta dem från AICPA:s webbplats och studera dem i förhållande till den definierade omfattningen. Trust Service Criteria finns i ett omfattande dokument, och det specifika språket kan ibland vara svårt att förstå, men att investera tid i att studera det kommer att löna sig i senare skeden av revisionen. Trust Service Criteria innehåller exempel för varje kriterium på risker och kontroller som normalt minskar dessa risker. Efter att ha förstått kriterierna måste kontrollerna kopplas till riskerna och vice versa.
Kartlägga risker och kontroller
De vanligaste felen vi identifierar i befintliga ramverk är omatchade eller överflödiga kontroller. Omatchade interna kontrollåtgärder är de som inte på ett effektivt sätt täcker en definierad risk eller risker för vilka interna kontrollåtgärder saknas (omatchade interna kontrollåtgärder). Överflödiga interna kontrollåtgärder definieras som interna kontrollåtgärder som täcks av andra interna kontrollåtgärder eller som inte täcker någon risk alls. Dessa överflödiga kontroller existerar i princip utan något egentligt syfte. Efter denna analys och matchning är nästa steg att skapa en kontrollmatris.
Skapa en kontrollmatris
Att dokumentera kontrollmål och relaterade kontroller i en strukturerad kontrollmatris kommer att vara fördelaktigt av mer än ett skäl, det kommer att bli källan till hur riskkontroller struktureras och implementeras och kommer att vara ett viktigt referensdokument för dina SOC-revisorer.
Därmed är Trust Service Criteria relaterade till att övervaka kontroller kopplade till en lista över bekräftande kontroller, som visar hur dessa kontroller för att minska den relevanta risken är väl utformade och effektiva. Enligt vår erfarenhet bör dessa vara så detaljerade som möjligt. Vem utför kontrollen? Vilken information används? Vad är resultatet? Hur dokumenteras detta? Svaren på dessa frågor är till stor hjälp när revisorn ska validera att de angivna interna kontrollåtgärderna finns, och är utformade för att uppnå kontrollmålen, samt att de är effektiva. I kommande artiklar kommer vi att gå djupare in på hur du strukturerar ditt kontrollramverk. Efter denna fas följer en bedömning av beredskapen (förgranskning), varefter rapporteringen skräddarsys och den slutliga revisionen kan förberedas.
Förberedelse för revision
Processen som beskrivs ovan kan verka lite skrämmande, men få inte panik. Vi kan stödja dig i detta avseende. Vi kan hjälpa dig att förstå Trust Service Criteria och ge dig råd om hur du effektivt kan anpassa kontroller till risker och ta bort överflödiga kontroller. Naturligtvis kan du också få en ControlReports-licens för ISAE 3402 | SOC 1-implementering eller ISAE 3000 | SOC 2-implementering, vilket ger ett väldefinierat tillvägagångssätt och ett effektivt arbetsflöde för att undersöka, förstå och definiera de olika elementen. Båda resulterar i slutändan i SOC-rapportering i enlighet med vår bästa branschpraxis, baserat på många års erfarenhet. Kontakta Securance (+31) 30 2800888.
