©2021 arizent。版权所有。
声音

重新介绍SoC报告:SSAE第18号的意思是SOC 1S

现在注册

对于组织依赖于其他第三方提供商来提供外包服务,这些组织需要有关他们为这些外包服务使用的第三方的信息。

这些信息是否具体到第三方如何确保其在本组织提供的服务中的质量,事务的准确性和完整性,其信息的安全性,或其控制环境的整体健康,许多基本驱动因素在过去的几十年中,及时的信息没有太多变化。

自20世纪90年代初以来,服务组织一直在使用公共会计师的服务审核员报告,向有关各方传达此信息。美国CPA研究所已成为提供组织的行业领导者,以获得此信息的报告框架,并为服务提供商和审计师提供生产和解释此信息的指导。

AICPA的审计标准委员会是颁布并依赖服务审计员报告的标准的实体,以及产生这些报告的潜在审计程序。在2004年夏天,AICPA的ASB启动了一个计划,以提高其标准的可读性和可理解性(包括服务审计员报告标准),以及增加美国标准的对齐与其国际对应物管理的类似标准,国际审计和保证标准委员会。这种清晰度和融合项目将意味着服务审计师报告世界的巨大和重大变化,包括消除近20年的SAS 70报告,以及建立服务组织控制,或“SOC” - 符号报告 - SOC 1,SOC 2和SOC 3。

尽管如此,也许是更多的值得注意的是目的的识别,分离和编纂各种审计和认证标准。现在可以制定非常明确的标准和指导,以管理SOC考试的表现,分别使用这些报告。现在,目前澄清项目完成了,管理从业者审计服务提供商如何报告服务提供商的控件的标准以及这些报告最终如何共享和使用自早期的SAS 70天以来的报告。

什么ssae没有。 18意味着给你

简而言之,SSAE第18号是重构所有先前的证明标准的标准。澄清澄清各种标准的努力是澄清,其中包括许多其他标准,其中包括许多人,SOC 1(通常称为SSAE No.16)和SoC 2和SoC 3(第101条)中的一个审计员的标准。毫无疑问,将有报告用户,服务提供商和审计员,他们将以与“SAS 70”,“SSAE 16”和“在101”的方式中的方式与“SAS 70”,“SSAE 16”和“在101”中的相同方式相同;但是,对于许多感兴趣的各方来说,这些缩略语仅仅是对审计或报告的概念或想法的影响。

对于SOC报告空间,证明标准(SSAE No.18)的重构主要是现有标准的简化版本。净效果是“SSAE 16”SOC 1将与“SSAE 18”SOC 1看起来几乎相同(那些不是SOC 1报告的权威术语 - 它们只是为了说明目的)。为SOC报告执行认证的从业者不会发现标准的许多材料变化;但是,有一些重点的关键领域值得为SOC 1报告注明:

1.修改对断言标准。 与子宫内容组织(服务组织使用的相关第三方组织)的附加说明标准包含在重新定义的证明标准中。由顾客组织执行的服务以及顾客组织的控制是否已被列入或雕刻出审查范围,这一直是SOC 1审查和结果报告的一部分。然而,这种变化确实重新强调描述了描述这种具体关系并以公平的方式披露它的重要性。

子业员组织的公平介绍还包括对其控制设计中的服务机构的任何控件(互补子组织控制)的描述。一个常见的例子是当服务组织将数据中心操作销售给云服务提供商的分集工具或其平台托管服务。在这两个实例中,服务组织通常假设分配提供者或云服务提供商已经实现了关于其操作环境的物理和/或逻辑保护的控制。因此,这些保障和控件将补充服务组织本身的额外控件。在这些实例中,对这种假定的互补控件的描述应包括在服务组织的系统描述中。此更改会影响主张信中包含在SOC 1报告中。

2.监测隶属组织对控件的有效性。 在与上述额外的额外标准保持对辅助组织的情况下,修订后的证明标准确实促进了审计员确定和报告的控制,服务组织已经实施,以监测隶属顾问组织的相关控制。它解决了服务组织是否有效监督其子维修组织的问题。修订后的标准还正式包括监测服务组织SOC的范围的子宫组织1.修订标准规定了监测活动的例子,包括以下内容:

  • 查看和协调输出报告。 服务组织可以实施程序以验证从其子维修组织收到的输出报告(或文件)的准确性和完整性。应准备服务组织的管理,以描述执行的审查和/或和解程序(包括审查程序的性质,时序和范围),用于协调子维修组织的输出报告的数据或信息的来源,以及如果确定偏差,则修复或纠正措施的过程。
  • 与子宫组织人员定期讨论。 服务组织管理层确定隶属组织控制权及其运营的有效方法也可能包括与相关的辅助组织人员的定期讨论。然而,由于对基于查询的保证方法可靠性的局限性,服务组织可以考虑使用综合和结构化书面问卷与证据要求的请求,以及调查问卷(或讨论)由成员完成子维修组织具有必要的知识,技能和熟悉适用的控件和服务组织的系统。应准备服务组织管理,以描述其系统描述中这些讨论的过程。
  • 定期访问。 在许多情况下,服务组织可以确定现场演练,并浏览子维修组织的操作的相关部分。这可能包括在现场访问期间的现场讨论。应准备管理服务组织的管理来描述站点访问进程的频率和范围,包括处理可能影响服务组织服务的不合格或偏差的过程。
  • 测试控制在子维修组织中。 也许最有效的方法服务组织可以用于监控他们相关的辅助机构的控件的性能,是使用服务组织的内部审计人员在子维修组织进行控制测试。通过这种方法可以考虑几个因素,包括在制定审计计划时,审计的旋转或频率,如果多个辅助组织用于服务,技能和知识,则审计的关键或关键控制的风险评估服务组织将执行审核的内部审计人员,以及审计是否将及时提供相关的控制绩效信息。然而,它仍然存在,控制测试可以提供关于控制子宫组织的控制性能的非常有效的信息,特别是在与本文中描述的其他监视方法结合时。应准备管理服务组织的管理,以描述对辅助组织进行控制测试的过程,包括确定测试的控制,控制测试的频率,记录和报告这些测试结果的方法,以及确保确定缺陷和偏差的过程是及时的方式解决的。
  • 监控外部通信。 服务组织可以单独或与其他监测方法结合决定,监测外部通信,如客户投诉,监管机构报告或其他关于隶属分组织控制行动的有效性的通信是确定控制权的适当方法在这些组织。应准备管理管理,以描述其系统的描述中的这些监控程序。
  • 审查Subervice组织系统的SoC报告。 服务组织越来越受欢迎的趋势,以获取他们对顾客组织的控制性能所需的信息是接收和阅读来自这些子宫内容组织的SOC报告。通常,2型SOC 1或2型SOC 2报告可能提供关于对其类型的1个对应物或SOC 3报告的控制性能的必要信息,但服务组织还可以考虑与其相关的其他类型的正确准备的证明。服务。许多组织使用此监视方法,特别是如果服务组织使用多个子宫组织,并且执行这些子维修组织的审核将太耗或昂贵。使用SOC或其他证明报告来监控这些子宫内容组织的组织应额外关注这些报告中描述的任何互补用户实体控制,因为这些CUECS代表其子用户的辅助组织假设服务组织的控制假设将在设计时实施它的控制。

服务组织可以预期这些或类似的监控控制成为他们的SOC 1报告中更加突出的主题。

3.评估服务组织产生的证据的可靠性。 这长期以来一直是有效审计的宗旨,并包括在现有和现有审计和证明标准中,而且对于大多数审计员和服务组织而言,不太可能在SOC 1考试表现方面存在重大变化。但是,在先前的标准管理SOC 1报告中,尚未以这种明确和明确的条款描述。虽然这种撰写专注于SOC 1,但是,SOC 2和SOC 3考试的审计员都必须确保服务组织提供的证据是足够的准确,完整,详细的审计目的。 SSAE No.18提供了以下列表服务审核员收到的信息的示例,这可能需要额外的评估前进:

  • 用于样品测试的人口名单;
  • 例外报告;
  • 具有特定特征的数据列表;
  • 交易和解;
  • 系统生成的报告;
  • 其他系统生成的数据(例如,配置,参数等);和,
  • 文档提供了控制控制的运营有效性的证据,例如用户访问列表。

对于SoC审计师来说,这可能需要更详细和记录的定性程序来确定服务组织提供的证据的充分性。对于服务组织,这可能需要更详细或提供支持审计师的证据的更详细或核制性的工件。

4.了解服务组织的系统并评估物质错误陈述的风险。与现存SSAE第16号符合,服务审计员需要了解对服务组织的系统,包括所包含在参与范围内的控件。在SSAE第18号下的重述建立了这一要求,有关评估物质错误陈述风险的额外指导。再次,了解服务组织的系统和风险评估的要求是在SSAE第16号以下的要求;但是,修订后的标准以更加突出的方式与这些领域发言。服务组织不太可能注意到这一领域的任何差异。

接下来做什么

服务组织应咨询有关其SOC 1报告的有能力的专业人士以及SSAE No.18重新介绍对其SOC 1考试和报告的影响。虽然上述摘要并非旨在彻底回顾SSAE第18号SSAE第16号的所有差异,但它应该提供大多数服务组织,其中大多数服务组织具有讨论的起点。截至2017年5月,SSAE第18号变得有效。

用于本文的重印和许可请求, 点击这里.
审计standards AICPA
更多来自今天的会计