在去年初影響全球的大流行病發生之前,許多產業已開始重新設計營運模式,以提升數位時代的效率與效益。由於企業需要更精簡、適應力更強且能快速變更與回應的數位企業,這些努力現在比以往任何時候都更為重要。我們看到,將某些功能轉移至具成本效益的共用服務中心,或透過管理服務或與第三方的外包關係,將其完全置於企業外部,是許多企業在後大流行時代所規劃行動的重點。.
許多組織(使用者實體)透過將任務或整個功能外包給另一個組織(服務組織),能夠更有效率、更有效地運作。服務組織的組織與營運方式,可讓使用者實體從其人員、專業知識、設備和技術的服務中獲益,以協助完成這些任務或功能。一些常見的外包服務包括客戶支援、企業 IT 外包服務和金融科技 (FinTech) 服務,如線上付款機制。其他企業(業務夥伴)與服務機構簽訂協議,使服務機構能夠使用或利用其服務或資產(IP),例如 IBM 向數據中心提供硬體和軟體。.
這些外包關係可能會增加收入、擴大市場機會,並降低使用者實體和商業夥伴的成本,但也會因與服務組織及其系統的互動而產生額外風險,例如與安全性、可用性、完整性、機密性和隱私相關的事項。使用者實體和商業夥伴都希望瞭解服務組織所實施的控制措施是否有效,以符合使用者實體的例外服務等級,並保護商業夥伴的智慧財產權。.
在支援其對服務組織的風險評估時,使用者實體和商業夥伴可能會要求服務組織提供控制檢查或審查的獨立報告。SOC 報告和 ISAE 3402 等服務組織控管報告的保證標準就是在這方面發展起來的。.
公證準則
SOC 報告其實並非新發展。在 1990 年代,根據審計準則聲明 (SAS) 70 執行的服務審計師檢查代表服務組織已通過對其控制目標和控制活動的深入檢查,其中通常包括對資訊技術和相關流程的控制。2011 年,隨著 SSAE 16 的推出,美國會計師公會 (AICPA) 以「服務組織控制」(SOC) 套裝報告取代 SAS 70 所規定的服務審計師檢查 (SAS 70) 報告。.
2016 年 4 月,美國會計師公會發佈了關於 會計實務準則》第 18 號;《會計實務準則》:澄清與重新編纂 以回應「對其標準的清晰度、長度和複雜性的關注」,大部分章節於 2017 年 5 月 1 日生效。SSAE 第 18 號取代並整合先前相關的 SSAE 版本,成為單一的闡明標準。AICPA 還將 SOC 縮寫重新定義為系統與組織控制 (SOC),以指審計師(會計師事務所)除服務組織外,還可為其他類型組織提供系統層級或實體層級控制的服務套件。.
SSAE 18 驗證標準提供三種類型的服務 - 審查、審閱 (有限保證) 和協定程序委聘。SSAE 18 重組了適用於特定委聘的 AT-C 章節的驗證標準,這取決於所提供服務的類型和委聘的主題。AC-T 第 105 節包含適用於任何驗證委聘的要求與指引。AT-C第205節包括審查業務的規定,AT-C第210節包括審閱業務的規定,AT-C第215節包括協定程序業務的規定。.
SOC 報告還規定了兩種類型的服務機構控制報告。第 1 類包括內部控制設計的評估,第 2 類則額外包括控制運作效能的評估。.
標準趨同
美國審計準則委員會(ASB)將其準則與國際審計與保證準則委員會(IAASB)的準則進行涵蓋的總體策略。AC-T 第 105、205 和 210 節的基礎是 ISAE 3000、, 除審計或審閱歷史財務資訊以外的其他鉴證委聘服務. .SSAE 18 中的許多段落已與 ISAE 3000 中的相關段落融合。.
ISAE 3402、, 服務機構控制的保證報告處理保證委聘事宜 由審計師負責提供報告,供用戶實體及其審計師在服務機構的控制中使用,因為這與財務報告有關。就 SOC 而言,ISAE 3402 屬於 SOC 1。.
SOC 報告類型
SOC 報告也有不同的類型(性質),分別是 SOC 1 (ICFR)、SOC 2、SOC 3 和網路安全 SOC。.
SOC 1 著重於與服務組織財務報告內部控制 (ICFR) 相關的控制,這些服務組織可能提供與其客戶 (使用者實體) 財務報告內部控制相關的服務,因此也與財務報表的審計相關。舉例來說,薪資處理公司為使用者組織處理薪資,並提供報告讓他們記錄相關的財務交易。其他例子包括醫療保健索賠處理公司,以及投資公司的保管人。.
就 SOC 2 而言,它著重於針對特定(知識豐富的)使用者,報告與 AICPA 的「信託服務準則」(Trust Services Criteria of Security, Availability, Processing Integrity, Confidentiality, and or Privacy)相關的服務機構控制措施。知識豐富的使用者瞭解服務組織的業務、內部控制及其限制。一些例子包括 IT 基礎結構管理和資料中心託管服務的客戶。以下是 5 項信賴服務準則的摘要:
- 安全性 - 資訊和系統受到保護,以防止未經授權的存取、未經授權的資訊洩漏,以及可能危害其他標準的系統損害。.
- 可用性 - 資訊和系統可供操作和使用,以達成實體的目標。.
- 處理完整性 - 系統處理是完整、有效、準確、及時和經授權的,以達到實體的目標。.
- 保密性 - 指定為機密的資訊會受到保護,以達到實體的目標。.
- 隱私權 - 個人資訊的收集、使用、保留、揭露和棄置都是為了達成實體的目標。.
在與信託服務準則相關的控制方面,SOC 3 與 SOC 2 相似。SOC 3 報告僅提供「一般使用」系統的敘述與設計的有限資訊,例如分發給潛在客戶及張貼在服務機構的網站上。 網路安全 SOC 著重於實體的網路安全風險管理計畫、其設計、實施及網路安全控制的運作。下表描述了 SOC 1、SOC 2 和 SOC 3 之間的差異:
SOC 2 報告的進一步討論
由於 SOC 2(第 2 類)報告檢查服務機構的控制措施,是不同類型的 SOC 報告中最常見的一種,因此本節將提供更多與 SOC 2 報告相關的詳細資訊。.
SOC 2 報告不一定要涵蓋所有五項信賴服務準則,它可以涵蓋與服務組織最相關的任何準則,通常以安全性為基準,並依據 SOC 2 報告使用者的產業規範、偏好和期望加入其他準則。對於第一年的稽核,通常建議僅包含安全標準,以便熟悉 SOC 2 報告,並在過渡期間包含其他相關標準。例如,可用性是資料中心運作的另一項重要標準。至於範圍內的系統,SOC 2 報告也提供了彈性,服務組織可以定義特定的資訊系統、應用程式或服務來進行報告。 它可以是整個公司、某個業務單位或組織內的某個功能。在界定範圍時,服務機構需要界定範圍內的系統,並提供涵蓋以下 5 個範疇的說明:
- 基礎建設 - 系統的實體和硬體元件(設施、設備和網路)。.
- 軟體 - 系統的程式和作業軟體 (系統、應用程式和公用程式)。.
- 專業團隊 - 參與系統操作和使用的人員(開發者、操作者、使用者)。.
- 程序 - 系統操作(自動和手動)所涉及的程式化和手動程序。.
- 資料 - 系統使用和支援的資訊(交易串流、檔案、資料庫)。.
SOC 2 審計流程
SOC 2 稽核程序通常包括三個步驟:第一個步驟是準備評估,以找出在符合相關「信託服務準則」要求方面的不足之處,讓服務機構了解問題所在,並在實際稽核前糾正不足之處。在糾正確定的差距後,服務機構便可準備好進行實際的 SOC 2 稽核。下圖說明流程:
SOC 2 報告的典型時間表
第一次 SOC 2(第 2 類)報告需時約 18 個月的情況並不罕見,尤其是當現有控制的設計和運作無法有效符合信託服務標準時。完成就緒評估和糾正已發現的問題可能需要長達 6 個月的時間。在第 2 類報告中,由於它包括對控制運作有效性的評估,其中涉及對某一時期(通常為 12 個月)的樣本資料進行測試。對於第 1 類報告,由於它只包括控制設計的評估,但不包括控制的運作效能,因此 SOC 2(第 1 類)報告可在準備評估階段之後進行。請參閱下圖說明 SOC 2 報告的典型時間表。.
SOC 2 報告的審計費用
提供 SOC 2 報告的費用因機構而異。影響費用的一些主要因素如下:
- 組織的規模和複雜性;;
- 員工人數;;
- 地點數量;;
- 已選擇的信託服務準則;;
- 選擇的報告類型 - 即第 1 類或第 2 類報告;;
- 報告涵蓋的期間(即 6 或 12 個月);以及
- 資訊系統的控制範圍和數量。.
由於 SOC 2 (第 2 類) 報告包含特定時期的控制運作效能,因此屬於年度經常性報告,第一年的稽核費用通常較高,這是由於初期需要了解、記錄及測試控制。在隨後的幾年中,如果報告範圍保持不變,服務機構可以預期審計費用會降低。.
亞太區的 SOC 報告
In Asia Pacific (APAC), you can see a proliferation of call centres, software development centre, business process outsourcing and data centres. According to GlobalData’s Market Opportunity Forecasts Model, APAC is set to emerge as the second largest BPO market globally, behind North America (US$152.5bn). The overall BPO market in the region is estimated to grow at a compound annual growth rate (CAGR) of 10% between 2018 and 2023 to reach US$120.4 billion. A 2019 Cushman & Wakefield’s report also indicated the total market size for Asia Pacific co-location data centres is forecast to be around US$28 billion by 2024, 20 per cent higher than the US$23.4 billion market size projected for North America. The need of SOC Reporting will grow exponentially in Asia Pacific in the post pandemic era.
