©2021 arizent。版权所有。

AICPA计划向供应链框架推出SOC

现在注册

美国CPAS研究所将于本月提供新的保证框架,新的保证框架,以帮助商业客户在冠状病毒等威胁中对其全球供应链的可行性带来更大的信心。

供应链SOC 对于允许CPA提供审计,报告和保证服务的网络安全框架,在AICPA的早期SOC 1,SOC 2,SOC 3和SOC上构建。 SOC最初站在“服务组织控制”中,但现在意味着“系统和组织控制”。 AICPA也发展了概念 社会报告 这些年来。原始SOC 1报告过财务报告的内部控制,但已进化为包括网络安全等其他领域,现在供应链管理。

“SOC 1专门查看系统内的系统和控件,使组织能够提供可靠的财务报表,”AIMI Blanco-Best,AIMI Blanco-Best,AICPA副主任的认证方法和指导。 “我们将那些作为财务报告的内部控制系统,不同于SOC 2. SOC 2也是服务组织,但我们在SOC 2参与中看的控件比用于提供可靠财务的系统更广泛报告。相反,我们正在寻找用于向客户提供服务的系统。在那些系统中,我们可以看出安全控制,控制可用性,处理完整性或机密性。最后,如果服务组织收集个人可识别的信息,我们也可以参与查看隐私控制,以维护该PII的隐私。我们还有一个SoC为网络ecurity,我们刚刚与SoC出来的供应链。“

新的服务将提供有报告的公司,这些公司将使他们更加保证可能在可能持有供应链的问题,特别是在网络安全和产品和组件的可用性方面。除了从“服务组织控制”到“系统和组织控制”中改变SOC的含义外,AICPA还开始远离编号的各种形式的SOC,以便为IT名称赋予网络安全和SOC。供应链。

“我们看看用于为客户提供服务的系统,”Blanco-Best说。 “在这种情况下,我们专注于产品。它真正的制造商,生产商甚至在某些情况下分销公司,因此用于制造,生产或分配产品的系统。这些产品可以是有形或无形的,但它是一种产品与服务之间的区别,虽然控制器,我们希望系统所希望的东西,真的相似。在制造环境中实现这些控件的方式的方式不同于例如,在为其客户提供薪资服务的ADP环境中。但除此之外,他们几乎相同。“

供应链中的因素可能是冠状病毒的影响或汽车中的安全气囊中的关键零件的影响。

“我们之前可能没有经历过冠状病毒,但我们之前经历过市场短缺,”布兰科最佳说。 “气囊制造商很少,制造商发现他们无法快速获得安全气囊。我们试图帮助管理理解风险,并根据这些风险,他们需要控制控制,以确保这些风险得到减轻。“

SOC for供应链在允许CPAS提供保证的早期框架上建立在公司的控件上,特别是与技术相关。 “技术进步在世界各地的组织比以前更加联系,”Blanco-Best说。 “正如那就是开始发生的,组织认识到,随时他们与另一家公司做生意,他们公司介绍了某些风险。他们开始更加了解第三方风险,可能有控制的组织以外的人,或者可能无法控制。“

她指出,SoC报告可以帮助客户提供对其供应商和有疑问的客户提供答案的答案。 “提供服务组织的组织,即提供服务的服务开始与客户的问卷调查说,”我知道您的工资汇款给我们。但是你的控件是什么样的?我如何知道我给你的信息正确地处理了?如何知道我给你的所有信息都被处理了?我如何知道出现的是我给了你的一切?您对未经授权的用户有能够进入系统并更改某人的个人数据的何种控件。您的员工是否可以访问系统并窃取我们给予您的员工的个人信息?“”她说。

“他们淹没了这些200页调查问卷,这些问卷是想要的非常详细的问题,因为这些组织想知道他们给予第三方的员工信息仍然被保护,即使他们把它交给第三名派对,“她补充道。”那种SoC 2诞生的时候是对该服务组织的回应说,'您可以向所有客户提供这一份报告。也许它不会回答他们可能拥有的100%的问题,但它可能会回答他们的90%或更多。希望能够拯救您的时间和努力,以便为所有这些问卷分别报告。如果您的客户需要更多的信息,而不是SoC报告中的信息,显然他们仍然可以与您联系。“

SOC for供应链专门用于有关供应链的问题。 “与制造商和生产者及其供应商及其客户的完全相同的事情开始发生,”Blanco-Best说。 “供应商,我怎么知道我可以依靠你?你有什么样的控制?如果有火灾或业务中断,如果您的末尾有问题,您可以快速启动并再次运行吗?风险是不同的,但事实是公司需要将那些识别为风险,并有一些控制权来减轻它。同样的事情开始发生,这就是AICPA认为我们可以帮助制造商和生产者解决这个问题,就像我们为服务组织所做的那样。对我来说,这真的是关于第三方风险管理,这是一种让这些报告的组织更容易实现这些努力的方法。“

虽然CPAS可以提供​​财务专业知识来进行此类评估,但它们也可能需要一些技术专家对其公司的工作人员。 “请记住,像我一样的注册会计师,谁只是有一份金融声明背景,不能出去做,”Blanco-Best说。 “但是,我可以与一群人合作。他们甚至可能甚至没有注册会计师。他们可能只是人们。我们都可以在订婚团队中,我们可以为公司提供一个SOC 2,因为我们的团队将拥有我们需要做这项工作的所有技能和资格。从我的结束,我需要多少证据来提高意见?这看起来像什么?从他们的位置来看,我们实际上可以执行我们需要了解这些控件是否有效地运营的程序,或有效地设计。“

用于本文的重印和许可请求, 点击这里.
AICPA 审计 内部控制 网络安全 会计公司服务 新冠病毒
更多来自今天的会计