ISAE 3402 | SOC 1

Anpassad till en organisation?


System och kontroller – SOC-rapporteringen kretsar kring kontroller. En ISAE 3402 | SOC 1-rapport fokuserar på finansiell outsourcing, inklusive kapitalförvaltning, SaaS-leverantörer (finansiell programvara), datacenter (lagring av finansiell data). SOC 2-rapporten riktar sig till ett bredare spektrum av användarorganisationer med ytterligare krav på säkerhet, tillgänglighet, processintegritet, konfidentialitet och integritet. Våra konsulter hjälper många organisationer att uppnå det ultimata målet; en professionell SOC-rapport och ett godkännande utlåtande. Vilka är de nödvändiga stegen för att uppnå detta?

Metoden

De första stegen handlar om att förstå kriterierna, välja rätt omfattning på revisionen och följa en strukturerad metod för genomförandet. I den här artikeln beskriver vi hur denna process går till. Att erhålla en godkänd revisionsberättelse är beroende av olika faktorer och kräver betydande disciplin från dina anställda när det gäller att följa rutiner och utföra kontroller, men effektiv strukturering och planering kan vara till stor hjälp!

Kriterier

Kriterierna för en ISAE 3402 | SOC 1-rapport beror huvudsakligen på användarorganisationens rapporteringsförfaranden, SLA-avtalet och andra krav från användarorganisationen. Kriterierna för en ISAE 3000- eller SOC 2-rapport har tagits fram av American Institute of Certified Public Accountants (AICPA). AICPA har utvecklat kriterier för förtroendetjänster som är mer beskrivande och som omfattar kontrollmiljö, riskhantering, kommunikation, detaljerade kontroller och detaljerade tekniska kriterier.

Med andra ord beskriver Trust Service Criteria i stora drag vad som behöver göras, men det är upp till organisationerna att utveckla kontroller. Revisorer som verifierar organisationens kontroller genom SOC-revisioner observerar och omformulerar kontroller för att avgöra om de är väletablerade, existerar och fungerar effektivt för att uppnå önskat resultat. Det första steget i SOC-implementeringsprocessen är att definiera revisionens omfattning.

Omfattning av kontroll

Att få en överblick över miljön och systemen är avgörande för att definiera omfattningen. Därför inleds Risklane SOC-implementeringsprojekt med en grundlig analys av organisationen, infrastrukturen, de tjänster som tillhandahålls och processerna. Utan denna analys kanske kvaliteten på SOC-rapporten inte är optimal, vilket i slutändan leder till ett uttalande med reservation eller, åtminstone, en ineffektiv ISAE 3402- eller ISAE 3000-revision. För en ISAE 3000 | SOC 2-rapport är nästa steg att förstå Trust Service Criteria.

Förståelse av kriterier för Trust-tjänster
Det första steget för att förstå kriterierna är att hämta dem från AICPA:s webbplats och studera dem i förhållande till den definierade omfattningen. Trust Service Criteria finns i ett omfattande dokument, och det specifika språket kan ibland vara svårt att förstå, men att investera tid i att studera dem kommer att löna sig i senare skeden av revisionen. Trust Service Criteria innehåller exempel för varje kriterium på risker och kontroller som normalt minskar dessa risker. Efter att ha förstått kriterierna måste kontrollerna kopplas till riskerna och vice versa.

Kartläggning av risker och kontroller

De vanligaste felen vi identifierar i befintliga ramverk är omatchade eller överflödiga kontroller. Omatchade interna kontrollåtgärder är sådana som inte på ett effektivt sätt täcker en definierad risk eller risker för vilka interna kontrollåtgärder saknas (omatchade interna kontrollåtgärder). Överflödiga interna kontrollåtgärder definieras som interna kontrollåtgärder som täcks av andra interna kontrollåtgärder eller som inte täcker någon risk alls. Dessa överflödiga kontroller existerar i princip utan något egentligt syfte. Efter denna analys och matchning är nästa steg att skapa en kontrollmatris.

Skapa en kontrollmatris

Att dokumentera kontrollmål och relaterade kontroller i en strukturerad kontrollmatris kommer att vara fördelaktigt av mer än ett skäl; det kommer att bli källan till hur riskkontroller struktureras och implementeras och kommer att vara ett viktigt referensdokument för dina SOC-revisorer.

Således är Trust Service Criteria relaterade till övervakningskontroller kopplade till en lista över bekräftande kontroller, som visar hur dessa kontroller minskar den relevanta risken, är väl utformade och effektiva. Enligt vår erfarenhet bör dessa vara så detaljerade som möjligt; vem utför kontrollen? Vilken information används? Vad är resultatet? Hur dokumenteras detta? Svaren på dessa frågor kommer att vara till stor hjälp för revisorn att validera att de angivna interna kontrollåtgärderna finns, är utformade för att uppnå kontrollmålen och är effektiva. I kommande artiklar kommer vi att gå djupare in på hur du strukturerar ditt kontrollramverk. Efter denna fas följer en bedömning av beredskapen (preaudit), varefter rapporteringen skräddarsys och den slutliga revisionen kan förberedas.


Förberedelse av revision

Processen som beskrivs ovan kan verka lite skrämmande, men få inte panik. Vi kan stödja dig i detta avseende. Vi kan hjälpa dig att förstå Trust Service Criteria och ge dig råd om hur du effektivt kan anpassa kontroller till risker och ta bort överflödiga kontroller. Naturligtvis kan du också få en ControlReports-licens för ISAE 3402 | SOC 1-implementering eller ISAE 3000 | SOC 2-implementering, vilket ger ett väldefinierat tillvägagångssätt och ett effektivt arbetsflöde för att undersöka, förstå och definiera de olika elementen. Båda resulterar i slutändan i SOC-rapportering i enlighet med vår bästa branschpraxis, baserad på många års erfarenhet. Kontakta Securance (+31) 30 2800888.

Share this blog

juli 5, 2024

Återanvänds den lokala administratörens lösenord i din miljö? Windows operativsystem...

    juni 17, 2024

    Signering för små och medelstora företag: Stoppa nätverksövertagande attacker Vikten...

      maj 28, 2024

      Securance och Kiwa samarbetar kring lösningar för cybersäkerhet och riskhantering...