SOC Reporting

随着萨班斯-奥克斯利法案(SOX)的出台, 对透明度的其他要求, 日益全球化和外包, SSAE 18的使用呈指数增长. 提供关键第三方外包服务的服务组织通常需要对他们服务的客户负责. 这些组织包括索赔处理机构, 应用服务提供商, benefits administrators, payroll companies, data centers, and many others.

此外,创造 系统和组织控制报告(SOC 1, SOC 2, SOC 3报告) 提供三个为服务组织开发的新的报告工具,以响应对统一报告和审查的要求——扩大服务组织报告财务管制的能力, 非财务控制和, with SOC 3, 成为经过认证的可信系统服务组织.

CPAs perform SSAE 18 attestments 向服务组织的客户和他们的审核员提供保证,该组织具有一定的, 适当和有效的控制措施.

  • Type I audits 考虑控件在特定时间点上的设计有效性
  • Type II audits 检查控制的设计和运行的有效性在一个特定的时期, 通常是6到12个月.

SOC 1、SOC 2和SOC 3活动解决了今天的环境:

  • 需要更大的国际一致性
  • 解决较新的技术,如云计算、移动和虚拟化
  • 要求获得更广泛的认可和理解的报告选项

LBMC信息安全的审计专业人员作为LBMC的一部分,pc -美国top50注册会计师事务所. HB火博体育app官网为全国各地的客户提供SOC服务,并在HB火博体育app官网提供证明工作的各州保持适当的许可证. As a result, HB火博体育app官网拥有深入的行业知识,帮助各行各业的服务提供商, 包括医疗保健和索赔处理, financial services, cloud service providers, 以及商业整理和托管提供商.

SOC 1

SOC 1要求管理人员提供其系统的书面描述,并断言系统描述是公平呈现的, 合理设计控制目标并有效操作, 并确定他们用来做出这些断言的标准.

SOC 1检查服务组织与财务报告相关的控制, SOC 2和SOC 3审查安全性, availability, processing integrity, confidentiality, 与美国注册会计师协会信任服务标准(TSC)一致的隐私报告控制。.

SOC 2报告和SOC 3报告之间的关键区别在于,SOC 2报告包含服务审核员对控制测试和测试结果的详细描述,以及服务审核员对服务组织系统描述的意见.  SOC 3报告可以自由分发,而SOC 2是为服务组织的客户准备的.

SOC 2 Engagements

SOC 2交战使用TSC以及AT章节101中的要求和指导, attest engagements, of SSAEs (AICPA, professional standards, vol. 1). SOC 2报告类似于 SOC 1 report. 可以发布类型1或类型2的报告,该报告提供服务组织系统的描述. For a type 2 report, 它还包括服务审计员执行的测试的描述以及这些测试的结果.

View Service Flyer (PDF)

SOC 3 Engagements

SOC 3约定在信任服务中使用SOC 2约定中使用的预定义标准. SOC 3报告是一份通用报告,只提供核数师关于系统是否达到信任服务标准的报告(没有测试和结果的描述).  它还允许服务组织在其网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全性)发布, availability, processing integrity, confidentiality, and privacy).

SOC for Cybersecurity

网络安全检查SOC旨在为报告用户提供信息,帮助他们了解处理企业范围网络风险的管理流程. 它可以用于任何类型的组织,无论其规模或行业, 报告用户不一定是当前的客户或客户审计员.

网络安全SOC提供以下内容:

  • 对实体网络安全风险管理计划(CRMP)的标准、一致的报告方式.
  • 一种有效的方式来沟通网络安全控制的有效性,利益相关者, boards, committees, customers, 和合作伙伴通过全面的网络安全审计.

与SOC 2报告不同,用于网络安全的SOC报告涉及以下内容:

  • 在网络安全SOC中对实体进行评估的基准是用于管理部门描述实体网络安全风险管理计划的描述标准.
  • 寻求网络安全SOC的组织可以使用信任服务标准, 但在设计或评估其控制需求时,也可以使用另一种普遍接受的安全框架.
  • 网络安全报告的SOC是通用报告, 而报告的目标往往是由公司管理层决定的. 这些报告比SOC 2报告面向更广泛的受众,可以与组织内部或外部的任何人共享.
  • 在网络安全SOC中,控制矩阵将不包括在报告中.

LBMC信息安全团队在与AICPA合作创建和发布此评估时发挥了重要作用,以帮助您实现合规性,并为您提供做出更好的业务决策所需的见解.

View Service Flyer (PDF)

什么类型的SOC报告最适合你?

SOC报告帮助您的业务保留和吸引新客户. 与服务提供商共享关键数据的每个企业都希望确保业务合作伙伴尽其所能保护其关键信息资产. How do you prove you are?

您的客户及其审计师是否会使用该报告来计划和执行对客户财务报表的审计或综合审计?

如果你回答YES,你需要一个SOC 1.

您的客户会使用该报告作为他们遵守萨班斯-奥克斯利法案或类似法律/法规的一部分吗?

如果你回答YES,你需要一个SOC 1.

您的客户或利益相关者是否会使用该报告来获得对服务组织的IT系统的信心和信任?

如果你回答YES,你需要一个SOC 2或3.

您是否需要将报告提供给非客户?

如果你回答YES,你需要一个SOC 3.

您的客户是否有必要并且有能力了解服务组织的处理和控制的细节, 服务审计员进行的测试及其结果?

如果你回答是,你需要一个SOC 2. 然而,如果你回答NO,你需要一个SOC 3.

Executive Team

Link to Drew System & 服务组织的组织控制(SOC)

Drew Hendrickson

股东,信息安全

phone icon email icon Nashville
phone icon email icon Nashville
Link to Robyn System & 服务组织的组织控制(SOC)

Robyn Barton

股东,信息安全

phone icon email icon Nashville
phone icon email icon Nashville