Аудит соответствия требованиям SOC 2

Аудиты SOC 2 нацелены, в первую очередь, на технологические компании, которые предоставляют услуги и системы организациям-клиентам. Требования SOC 2 разработаны AICPA для независимой оценки контрольных процедур по управлению рисками в сервисных компаниях.
Кто должен соответствовать:
- Компании, которые предоставляют сервисные услуги другим организациям и хотят предоставить своим имеющимся или потенциальным клиентам подтверждение от независимой стороны относительно высокого качества своих внутренних процессов.
- Аутсорсинговые ИТ-компании.
- Компании интернет-сервисов.
- Компании, предоставляющие услуги в сфере здравоохранения.
- Производители продовольственной, фармацевтической или высокотехнологичной продукции.
- Банки и финансовые компании как дополнительное преимущество подтверждения сторонним аудитором качества обработки персональных данных клиентов и защиты данных в целом (Security, Confidentiality и Privacy).
Компании, использующие аутсорсинг, должны быть уверены, что поставщик услуг обладает надежной, надлежащим образом организованной и эффективной системой внутреннего контроля. Одним из способов предоставления сервисной организацией подобной информации является формирование независимым аудитором отчета о результатах оценки нефинансовых контрольных процедур организации.
В рамках аудита SOC 2 анализируется информация и свидетельства в отношении безопасности, доступности, целостности обработки данных и/или конфиденциальности персональных данных обслуживающей организации в соответствии с SOC 2 Trust Services Criteria (TSC), которые разработаны AICPA’s (American Institute of Certified Public Accountants — Американским институтом дипломированных общественных бухгалтеров).
SOC 2 TSC определяют 5 критериев и обслуживающие организации должны выбрать, какие из пяти (или все пять) критериев требуются для снижения основных рисков для услуги или системы, которые они предоставляют:
- Общие критерии – когда информация и системы защищены от несанкционированного доступа, несанкционированного раскрытия информации и повреждения систем, которые могут поставить под угрозу доступность, целостность, конфиденциальность информации или систем, и повлиять на способность организации достичь своих целей. Является обязательной категорией.
- Доступность – когда информация и системы доступны для работы, и использования для достижения целей организации.
- Целостность обработки – когда информация и системы доступны для работы, и использования для достижения целей организации.
- Конфиденциальность – когда информация, обозначенная как конфиденциальная, защищена для достижения целей организации.
- Конфиденциальность персональных данных – когда персональные данные собираются, используется, хранятся, раскрываются и удаляются для достижения целей организации.
Отчет SOC 2 предназначен для предоставления клиентам, руководству и пользователям сервисных организаций. Отчет отражает уверенность в пригодности и эффективности средств контроля обслуживающей организации, которые имеют отношение к безопасности, доступности, целостности обработки, конфиденциальности и/или конфиденциальности персональных данных. Отчет обычно предназначен для ограниченного использования существующими и потенциальными клиентами.
Существует два типа аудитов и отчетов SOC2:
Тип 1 – аудит и отчет, выполненные в указанную дату.
Тип 2 – аудит и отчет, выполненные за определенный период, обычно не менее шести месяцев.
Напишите нам, чтобы получить консультацию по вопросам Аудита SOC 2 и мы свяжемся с Вами!
ЗаполнитьЗаполните форму, чтобы получить консультацию по вопросам Аудита SOC 2 и мы свяжемся с Вами!
ОБЩИЙ ПЛАН ПРОЕКТА
- 1 Этап1 ЭТАП
Определение области аудита и проведение GAP-анализа.
- 2 Этап2 ЭТАП
Внедрение требований SOC 2.
- 3 Этап3 ЭТАП
Проведение тестирования и подготовка отчета.
РЕЗУЛЬТАТЫ ПРОЕКТА
Отчет об аудите SOC2 включает:
• Заключение о результатах аудита.
• Утверждение руководства проверяемой организации.
• Подробное описание системы или услуги.
• Подробная информация о выбранных TSC.
• Описание тестов внутренних контролей компании и результаты их тестирования.
• Необязательная дополнительная информация, которую организация может добавить в отчет.
Отчет об аудите SOC2 также указывает, соответствует ли обслуживающая организация требованиям AICPA TSC.