高钙

了解SOC 1审计

系统和组织控制(SOC) 1考试或“SOC 1审计”与软件和服务公司相关,影响其客户的财务报表或财务报告的内部控制. 以下是对SOC 1审核过程的概述,以及对常见问题的回答. yibo亿博 了解更多信息或安排一个免费的30分钟yibo亿博体育App与我们经验丰富的IT安全 & 合规团队.

谁需要SOC 1审计?

虽然法律上并不要求进行SOC 1审计, 那些向正在接受财务审计的客户提供影响财务报告的软件或服务的公司通常会发现,SOC 1审计对于潜在客户来说是必要的. 来自声誉良好的公司的SOC 1报告建立了与客户的信任和信心, 为寻求吸引广泛的高价值客户的公司提供市场差异化服务.

FinTech公司, 影响财务报告的SaaS公司, 工资的处理器, 贷款服务机构, 声称处理器, 数据中心, 会计软件供应商是SOC 1审计的常见候选人. Other signs that your company should consider a SOC 1 audit include: frequent requests to complete vendor security questionnaires; customer agreements that reference SOC 1, SSAE 18, or SSAE 16; difficulty navigating customer vendor management requirements; or direct customer requests.

何谓SOC 1报告?

SOC 1报告, 亦称SSAE 18报告,前称SSAE 16和sas70报告, 是通过建立一份可以发布给最终用户的标准报告来减轻服务提供商的审计负担. SOC 1的审核过程是基于 美国注册会计师协会(AICPA) 并根据行业、公司规模和客户期望为您的公司量身定制.

SOC 1审计集中于IT、业务流程和财务控制和程序的组合. SOC 2审计, 相比之下, 更专注于IT控制地址系统安全, 完整性, 可用性, 并为获取敏感客户信息的软件供应商和公司设计. 许多发布SOC 1报告的软件公司也从SOC 2报告中受益.

SOC 1报告是专门为满足根据美国注册会计师协会(AICPA)的指导审计客户财务报表的公司的要求而设计的. SOC 1报告的控制目标是根据提供给终端客户的服务为每个公司定制的. 控制目标包括IT控制的组合, 比如逻辑访问, 变更管理, 以及备份和恢复, 以及相关的业务流程控制, 如对账, 报告, 和事务授权.

SOC 1审计流程

因为一个充满控制缺陷和失败的SOC 1报告弊大于利, SOC 1审计过程通常从SOC 1准备性评估开始,以评估您的公司对接受SOC 1审计的准备情况. SOC 1就绪评估提供了一种比较公司当前政策的方法, 程序, 并针对预期的SOC 1控制目标进行控制,并实施专门设计以满足SOC要求的内部控制,而不会过于繁重或耗时. 评估通常需要两周的时间,包括与相关团队成员的讨论, 内部业务审查, 观察系统构型.

在SOC 1审核过程中,ML的成员&R团队彻底分析了适用的IT和业务控制领域,以确定您的组织是否坚持已定义的控制目标. SOC 1的审核过程包括与各小组成员进行讨论, 观察相关的IT和业务流程和过程, 测试控制活动到位,以支持客户及其财务报表的完整性和准确性.

我们的团队成员精通于SOC 1需求,并创建了针对每个组织定制的精简审计方法. 证据收集和协作软件以及简化的报告流程减少了过程中浪费的时间——让我们和您的团队专注于真正重要的活动.

SOC 1 Type I和SOC 1 Type II报告的区别

类型1和类型2报告之间的区别通常归结于时间框架和测试范围.

第1类报告仅限于指定日期的设计测试(通常称为“一个测试”),通常作为第一个SOC报告执行. 首先发布类型1报告并不是必需的,但通常是可取的,因为它允许公司更快地向客户或潜在客户发布SOC报告,并在完成类型2审计之前作为一个有效的“试运行”. 该报告详细说明了您的组织的财务流程和某些IT控制的设计,并确认了适用的流程, 程序, 控制是在某一特定日期实施的. SOC 1型报告不包括操作有效性测试, 您的组织控件的设计.

SOC 1类型2报告评估在一段时间内的相关过程和控制, 一般是6或12个月, 而不是一个具体的日期. 这些报告包括对业务效力的测试, 包括在报告期间对相关控制进行抽样测试.  预计公司至少每年都会发布SOC 1 Type 2报告, 不管他们是否从SOC 1 Type 1报告开始. ML的大部分&R SOC客户端通过以下服务获得SOC合规:

  • SOC准备评估
  • 1型报告
  • 类型2 6或12个月后报告
  • 类型2其后每年报告一次

 它的安全 & 法规遵循团队可以帮助您导航成为SOC 1认证的时间和过程

多久进行一次SOC 1审核

一般, SOC 1 Type 1和SOC 1 Type 2审计报告有效期为12个月,自报告日期起计算. 至少每年应进行一次SOC 1审核. 有许多客户要求SOC 1报告,并且财务年度结束情况不同的公司可能会受益于每六个月发布一次SOC 1 Type 2. 在SOC 1 Type 1报告之后,公司也可以在更短的时间内发布SOC 1 Type 2报告, 比如6个月或9个月, 如果SOC 1 Type 2报告需要更快.

谁可以执行SOC 1审计

而SOC准备可以由一系列ITyibo亿博体育App公司执行, SOC审计只能由注册yibo亿博的持牌审计和IT专业人员执行, AICPA指定的认证.

SOC报告受到利益相关者的信任, 客户, 以及审计员,因为他们遵循美国注册会计师协会(AICPA)建立的高标准,并且只由持有执照的个人执行, 训练有素的, 和独立. 作为一个 提供全面服务的yibo亿博麦克斯韦洛克 & 里特能够执行准备评估和审计/考试服务.

接触麦克斯韦洛克 & 里特了解更多信息

在Maxwell Locke经验丰富的团队的帮助下,确保有效的SOC 1审核过程 & 里特. 今天yibo亿博 如欲了解更多信息,或与团队安排30分钟的免费yibo亿博体育App.

yibo亿博
  • 在这里删除文件或
    支持的文件类型:jpg、png、pdf、doc、docx、Max. 文件大小:50mb,最大. 文件:8.
    • 此字段用于验证目的,应该保持不变.