自去年初大流行病肆虐全球之前,许多行业已经开始重新设计运营模式,以提高数字时代的效率和效益。现在,这些努力比以往任何时候都更具现实意义,因为企业需要更精简、适应性更强、能够快速变化和响应的数字化企业。我们看到,在 "后大流行病时代",将某些职能转移到具有成本效益的共享服务中心,或通过托管服务或与第三方的外包关系完全转移到企业外部,是许多企业计划采取的行动的重点。.
许多组织(用户实体)通过将任务或整个职能外包给另一个组织(服务组织)来提高运作效率和效益。服务机构的组织和运营旨在为用户实体提供人员、专业知识、设备和技术服务,以帮助完成这些任务或职能。一些常见的外包服务包括客户支持、企业 IT 外包服务和金融技术(FinTech)服务,如在线支付机制。其他企业(业务合作伙伴)与服务机构签订协议,使服务机构能够使用或利用其服务或资产(IP),例如 IBM 为数据中心提供硬件和软件。.
这些外包关系可能会为用户实体和业务伙伴增加收入、扩大市场机会并降低成本,但也会在与服务机构及其系统的互动中产生额外风险,如与安全性、可用性、完整性、保密性和隐私有关的问题。用户实体和业务伙伴都希望了解服务组织为满足用户实体的例外服务水平和保护业务伙伴的知识产权而实施的控制措施的有效性。.
为支持对服务组织的风险评估,用户实体和业务合作伙伴可能会要求服务组织提供有关控制措施检查或审查的独立报告。SOC 报告和 ISAE 3402 等服务组织控制报告的鉴证标准就是在这种情况下制定的。.
审计标准
SOC 报告实际上并不是一项新的发展。20 世纪 90 年代,根据《审计准则说明》(SAS)70 执行的服务审计师检查表明,服务组织已对其控制目标和控制活动进行了深入检查,其中通常包括对信息技术和相关流程的控制。2011 年,在发布 SSAE 16 的同时,美国注册会计师协会用服务组织控制 (SOC) 报告套件取代了 SAS 70 规定的服务审计师检查 (SAS 70) 报告。.
2016 年 4 月,美国注册会计师协会发布了关于 审计业务准则》第 18 条;《审计准则》:澄清和重新编纂 以回应 “对其标准的清晰度、长度和复杂性的担忧”,大部分章节于 2017 年 5 月 1 日生效。SSAE 第 18 号取代了之前发布的相关 SSAE,并将其整合为一个单一的明确标准。美国注册会计师协会还将SOC的缩写重新定义为系统与组织控制(SOC),指审计师(会计师事务所)除服务机构外,还可为其他类型的机构提供系统级或实体级控制的成套服务。.
SSAE 18 鉴定标准规定了 3 类服务--检查、复核(有限保证)和约定程序业务。SSAE 18 对 AT-C 章节的鉴证标准进行了重组,是否适用于特定业务约定取决于所提供服务的类型和业务约定的主题。AC-T 第 105 节包含适用于任何鉴证业务的要求和指导。AT-C第205节包括审查业务的规定,AT-C第210节包括复核业务的规定,AT-C第215节包括商定程序业务的规定。.
SOC 报告还规定了关于服务机构控制措施的两类报告。第一类报告包括对内部控制设计的评估,第二类报告还包括对控制运行效果的评估。.
标准趋同
美国审计准则委员会 (ASB) 的总体战略是将其准则与国际审计与鉴证准则委员会 (IAASB) 的准则相衔接。AC-T 第 105、205 和 210 条的基础是 ISAE 3000、, 历史财务信息审计或审查以外的鉴证业务. .SSAE 18 中的许多段落已与 ISAE 3000 中的相关段落合并。.
ISAE 3402、, 关于服务机构控制的鉴证报告涉及鉴证业务 审计师提供报告,供用户实体及其审计师在服务机构与财务报告相关的控制中使用。就 SOC 而言,ISAE 3402 属于 SOC 1。.
SOC 报告类型
SOC 报告也有不同的类型(性质),它们是 SOC 1(ICFR)、SOC 2、SOC 3 和网络安全 SOC。.
SOC 1 的重点是与服务机构的财务报告内部控制 (ICFR) 相关的控制措施,这些服务机构可能提供与其客户(用户实体)的财务报告内部控制相关的服务,因此也与财务报表审计相关。例如,工资单处理公司为用户机构处理工资单,并提供报告供用户机构记录相关的财务交易。其他例子包括医疗报销处理公司和投资公司的托管人。.
就 SOC 2 而言,其重点是报告服务机构针对特定(知识渊博)用户的安全性、可用性、处理完整性、保密性或隐私性等与美国注册会计师协会信托服务标准相关的控制措施。知情用户了解服务机构的业务、内部控制及其局限性。例如,IT 基础设施管理和数据中心托管服务的客户。以下是 5 项信任服务标准的摘要:
- 安全 - 保护信息和系统,防止未经授权的访问、未经授权的信息披露以及可能危及其他标准的系统损坏。.
- 可用性 - 信息和系统可供操作和使用,以实现实体的目标。.
- 加工完整性 - 系统处理过程完整、有效、准确、及时,并经过授权,以实现实体的目标。.
- 保密性 - 指定为机密的信息受到保护,以实现实体的目标。.
- 隐私权 - 个人信息的收集、使用、保留、披露和处置都是为了实现实体的目标。.
在与信托服务标准相关的控制方面,SOC 3 与 SOC 2 类似。SOC 3 报告仅提供有关 “一般使用 ”系统的说明和设计的有限信息,如向潜在客户分发和在服务机构网站上发布。 网络安全 SOC 注重实体的网络安全风险管理计划、网络安全控制措施的设计、实施和运行。下表描述了 SOC 1、SOC 2 和 SOC 3 之间的区别:
关于 SOC 2 报告的进一步讨论
由于 SOC 2(第 2 类)报告对服务机构控制措施的检查是不同类型 SOC 报告中最常见的,因此本节将提供与 SOC 2 报告相关的更多详细信息。.
SOC 2 报告不必涉及所有 5 项信任服务标准,它可以涉及与服务机构最相关的任何标准,通常以安全性为基准,并根据行业规范或 SOC 2 报告用户的偏好和期望添加其他标准。通常情况下,对于第一年的审计,建议只纳入安全标准,以便熟悉 SOC 2 报告,然后在相关情况下纳入其他标准。例如,可用性是数据中心运营的另一个关键标准。至于范围内的系统,SOC 2 报告也提供了灵活性,服务机构可以为报告定义特定的信息系统、应用程序或服务。 可以是整个公司,也可以是组织内的某个业务部门或职能部门。在确定范围时,服务机构需要定义范围内的系统,并提供涵盖以下 5 个方面的说明:
- 基础设施 - 系统的物理和硬件组件(设施、设备和网络)。.
- 软件 - 系统的程序和操作软件(系统、应用程序和实用程序)。.
- 专业团队 - 参与系统操作和使用的人员(开发人员、操作人员、用户)。.
- 程序 - 系统运行(自动和手动)所涉及的程序和手动程序。.
- 数据 - 系统使用和支持的信息(事务流、文件、数据库)。.
SOC 2 审计流程
SOC 2 审计流程通常包括三个步骤:第一步是准备就绪评估,以确定在满足相关《信任服务标准》要求方面存在的差距,从而让服务机构了解问题所在,并在实际审计前纠正差距。在纠正发现的差距后,服务机构就可以准备好接受实际的 SOC 2 审核。下图说明了这一过程:
SOC 2 报告的典型时间表
第一次 SOC 2(第 2 类)报告需要 18 个月的时间,这并不罕见,尤其是当现有控制措施的设计和运行无法有效满足信托服务标准时。完成准备状态评估和纠正发现的问题可能需要长达 6 个月的时间。在第 2 类报告中,由于它包括对控制措施运行效果的评估,涉及对一段时期(通常为 12 个月)的抽样数据进行测试。对于第 1 类报告,由于只包括对控制设计的评估,而不包括对控制运行效果的评估,因此 SOC 2(第 1 类)报告可在准备评估阶段之后进行。请参见下图,了解 SOC 2 报告的典型时间表。.
SOC 2 报告审计费
提供 SOC 2 报告的费用因组织而异。影响费用的一些主要因素包括
- 组织的规模和复杂程度;;
- 员工人数;;
- 地点数量;;
- 选择的信托服务标准;;
- 所选报告类型--即第 1 类或第 2 类报告;;
- 报告所涉期间(即 6 个月或 12 个月);以及
- 信息系统控制的范围和数量。.
由于 SOC 2(第 2 类)报告包括特定时期控制措施的运行效果,因此是一份年度经常性报告,第一年的审计费用通常较高,因为最初需要了解、记录和测试控制措施。在随后的几年中,如果报告范围保持不变,服务机构可以预期审计费用会降低。.
亚太地区的 SOC 报告
In Asia Pacific (APAC), you can see a proliferation of call centres, software development centre, business process outsourcing and data centres. According to GlobalData’s Market Opportunity Forecasts Model, APAC is set to emerge as the second largest BPO market globally, behind North America (US$152.5bn). The overall BPO market in the region is estimated to grow at a compound annual growth rate (CAGR) of 10% between 2018 and 2023 to reach US$120.4 billion. A 2019 Cushman & Wakefield’s report also indicated the total market size for Asia Pacific co-location data centres is forecast to be around US$28 billion by 2024, 20 per cent higher than the US$23.4 billion market size projected for North America. The need of SOC Reporting will grow exponentially in Asia Pacific in the post pandemic era.
