SOC Reporting

随着萨班斯-奥克斯利法案的出台, 对透明度的其他要求, 日益全球化和外包, SSAE 18的使用呈指数级增长. 提供关键的第三方外包服务的服务组织通常需要对他们所服务的客户负责. 这些组织包括索赔处理机构, 应用服务提供商, benefits administrators, payroll companies, data centers, and many others.

Furthermore, the creation of 系统和组织控制报告(SOC 1, SOC 2, SOC 3报告) 为服务组织开发三种新的报告工具,以响应统一报告和审查的需求——扩大服务组织报告财务控制的能力, non-financial controls and, with SOC 3, 成为认证的受信任系统服务组织.

CPAs perform SSAE 18 attestments 向服务组织的客户和他们的审核员提供保证, 适当和有效的控制.

  • Type I audits 考虑控件在特定时间点的设计有效性
  • Type II audits 在特定时期内检查控制的设计和操作有效性, typically six to 12 months.

SOC 1、SOC 2和SOC 3项目解决了当今的环境:

  • 需要更大的国际一致性
  • 处理更新的技术,如云计算、移动和虚拟化
  • 要求更广泛地承认和理解报告选项

LBMC信息安全的审计专业人员是LBMC, pc -美国50强会计师事务所的一部分. 我们为全国各地的客户提供SOC服务,并在我们提供认证工作的各州保持适当的许可证. As a result, 我们有深入的行业知识来帮助各种行业的服务提供商, 包括医疗保健和索赔处理, financial services, cloud service providers, 以及商业整理和托管提供商.

SOC 1

SOC 1要求管理层提供其系统的书面描述,并断言系统描述是公平呈现的, 合理设计并有效操作控制目标, 并确定他们用来做出这些断言的标准.

而SOC 1则检查服务组织与财务报告相关的控制, SOC 2和SOC 3审查安全性, availability, processing integrity, confidentiality, 以及与AICPA信托服务标准(TSC)一致的隐私报告控制.

SOC的关键区别2报告和SOC 3是SOC 2报告包含一个详细描述服务的审计测试控制和结果的测试以及服务审计意见的描述服务组织的系统.  SOC 3报告可以免费分发,而SOC 2则面向服务组织的客户.

SOC 2 Engagements

SOC 2业务使用TSC以及AT章节101中的要求和指导, attest engagements, of SSAEs (AICPA, professional standards, vol. 1). SOC 2报告类似于 SOC 1 report. 可以发布类型1或类型2报告,该报告提供了服务组织系统的描述. For a type 2 report, 它还包括服务审核员执行的测试的描述以及这些测试的结果.

View Service Flyer (PDF)

SOC 3 Engagements

SOC 3业务使用SOC 2业务中使用的信任服务标准中的预定义标准. SOC 3报告是一份通用报告,仅提供审计员关于系统是否达到信任服务标准的报告(没有对测试和结果的描述).  同时,还允许服务机构在网站上使用SOC 3印章. SOC 3报告可以根据一个或多个信任服务标准(安全性)发布, availability, processing integrity, confidentiality, and privacy).

SOC for Cybersecurity

SOC网络安全检查旨在为报告用户提供信息,帮助他们了解管理流程,以处理企业范围的网络风险. 它可以适用于任何类型的组织,无论规模或行业, 报告的使用者不一定是当前的客户或客户审计员.

网络安全SOC提供以下内容:

  • 报告实体网络安全风险管理计划(CRMP)的标准、一致的方式.
  • 向利益相关者传达网络安全控制有效性的有效途径, boards, committees, customers, 并通过全面的网络安全审计与合作伙伴合作.

与SOC 2报告不同,SOC for Cybersecurity报告解决了以下问题:

  • 实体在SOC中进行网络安全评估时所依据的基线是管理部门对实体网络安全风险管理程序的描述的描述标准.
  • 寻求网络安全SOC的组织可以利用信任服务标准, 但在设计或评估其控制需求时,也可能使用另一个普遍接受的安全框架.
  • 网络安全SOC报告是通用报告, 报告的目标通常是由公司管理层决定的. 这些报告面向比SOC 2报告更广泛的受众,并且可以与组织内部或外部的任何人共享.
  • 在网络安全SOC中,控制矩阵不会包含在报告中.

LBMC信息安全团队在与AICPA合作创建和发布此评估中发挥了重要作用,以帮助您实现遵从性,并提供做出更好的业务决策所需的见解.

View Service Flyer (PDF)

哪种类型的SOC报告最适合你?

SOC报告有助于您的企业留住和吸引新客户. 与服务提供商共享关键数据的每个企业都希望确保业务合作伙伴正在尽其所能保护其重要信息资产. How do you prove you are?

你们的客户及其审计人员是否会使用这份报告来计划和执行对客户财务报表的审计或综合审计?

如果你的回答是,你需要一个SOC 1.

您的客户是否会使用该报告作为他们遵守萨班斯-奥克斯利法案或类似法律/法规的一部分?

如果你的回答是,你需要一个SOC 1.

您的客户或涉众是否会使用该报告来获得对服务组织的IT系统的信心和信任?

如果你的回答是,你需要一个SOC 2或3.

您是否需要让非客户一般可以使用报告?

如果你的回答是,你需要一个SOC 3.

您的客户是否需要并有能力理解服务组织中处理和控制的细节, 服务审计人员执行的测试以及这些测试的结果?

如果你的回答是,你需要一个SOC 2. 然而,如果你的回答是NO,你需要一个SOC 3.

Executive Team

Link to Drew System & 服务组织的组织控制(SOC)

Drew Hendrickson

股东,信息安全

phone icon email icon Nashville
phone icon email icon Nashville
Link to Robyn System & 服务组织的组织控制(SOC)

Robyn Barton

信息安全高级经理

phone icon email icon Nashville
phone icon email icon Nashville
Link to Rob System & 服务组织的组织控制(SOC)

Rob Stouder

LBMC信息安全高级经理

phone icon email icon Nashville
phone icon email icon Nashville