Аудит соответствия требованиям SOC 2

Аудиты SOC 2 нацелены, в первую очередь, на технологические компании, которые предоставляют услуги и системы организациям-клиентам. Требования SOC 2 разработаны AICPA для независимой оценки контрольных процедур по управлению рисками в сервисных компаниях.

Кто должен соответствовать:

  • Компании, которые предоставляют сервисные услуги другим организациям и хотят предоставить своим имеющимся или потенциальным клиентам подтверждение от независимой стороны относительно высокого качества своих внутренних процессов.
  • Аутсорсинговые ИТ-компании.
  • Компании интернет-сервисов.
  • Компании, предоставляющие услуги в сфере здравоохранения.
  • Производители продовольственной, фармацевтической или высокотехнологичной продукции.
  • Банки и финансовые компании как дополнительное преимущество подтверждения сторонним аудитором качества обработки персональных данных клиентов и защиты данных в целом (Security, Confidentiality и Privacy).

Компании, использующие аутсорсинг, должны быть уверены, что поставщик услуг обладает надежной, надлежащим образом организованной и эффективной системой внутреннего контроля. Одним из способов предоставления сервисной организацией подобной информации является формирование независимым аудитором отчета о результатах оценки нефинансовых контрольных процедур организации.

В рамках аудита SOC 2 анализируется информация и свидетельства в отношении безопасности, доступности, целостности обработки данных и/или конфиденциальности персональных данных обслуживающей организации в соответствии с SOC 2 Trust Services Criteria (TSC), которые разработаны AICPA’s (American Institute of Certified Public Accountants — Американским институтом дипломированных общественных бухгалтеров).

SOC 2 TSC определяют 5 критериев и обслуживающие организации должны выбрать, какие из пяти (или все пять) критериев требуются для снижения основных рисков для услуги или системы, которые они предоставляют:

  1. Общие критерии – когда информация и системы защищены от несанкционированного доступа, несанкционированного раскрытия информации и повреждения систем, которые могут поставить под угрозу доступность, целостность, конфиденциальность информации или систем, и повлиять на способность организации достичь своих целей. Является обязательной категорией.
  2. Доступность – когда информация и системы доступны для работы, и использования для достижения целей организации.
  3. Целостность обработки – когда информация и системы доступны для работы, и использования для достижения целей организации.
  4. Конфиденциальность – когда информация, обозначенная как конфиденциальная, защищена для достижения целей организации.
  5. Конфиденциальность персональных данных – когда персональные данные собираются, используется, хранятся, раскрываются и удаляются для достижения целей организации.

Отчет SOC 2 предназначен для предоставления клиентам, руководству и пользователям сервисных организаций. Отчет отражает уверенность в пригодности и эффективности средств контроля обслуживающей организации, которые имеют отношение к безопасности, доступности, целостности обработки, конфиденциальности и/или конфиденциальности персональных данных. Отчет обычно предназначен для ограниченного использования существующими и потенциальными клиентами.

Существует два типа аудитов и отчетов SOC2:

Тип 1 – аудит и отчет, выполненные в указанную дату.

Тип 2 – аудит и отчет, выполненные за определенный период, обычно не менее шести месяцев.

Напишите нам, чтобы получить консультацию по вопросам Аудита SOC 2 и мы свяжемся с Вами!

Заполнить

ОБЩИЙ ПЛАН ПРОЕКТА

  • 1 Этап
    1 ЭТАП

    Определение области аудита и проведение GAP-анализа.

  • 2 Этап
    2 ЭТАП

    Внедрение требований SOC 2.

  • 3 Этап
    3 ЭТАП

    Проведение тестирования и подготовка отчета.

РЕЗУЛЬТАТЫ ПРОЕКТА

Отчет об аудите SOC2 включает:

 

• Заключение о результатах аудита.

• Утверждение руководства проверяемой организации.

• Подробное описание системы или услуги.

• Подробная информация о выбранных TSC.

• Описание тестов внутренних контролей компании и результаты их тестирования.

• Необязательная дополнительная информация, которую организация может добавить в отчет.

 

Отчет об аудите SOC2 также указывает, соответствует ли обслуживающая организация требованиям AICPA TSC.

Заинтересованы в услуге? Напишите нам!