Opis standardu
Mówiąc w skrócie SOC to grupa międzynarodowych standardów świadczenia usług przez dostawców zewnętrznych (np. IT, payroll, księgowość) . Dotyczą firm i organizacji, które przetwarzają jakiekolwiek newralgiczne dane swoich klientów. Zazwyczaj dotyczą one takich usług jak:
- Chmury obliczeniowe
- Zarządzanie bezpieczeństwem
- Usługi finansowo - księgowe
- Usługi kadrowe
- Centra obsługi klienta
- Automatyzacja sprzedaży
- Przetwarzanie roszczeń z zakresu świadczeń medycznych
Szczegółowy opis grupy standardów znajduje się tu: zobacz.
Funkcjonujące międzynarodowe standardy audytu są często mylone w Polsce, co zapewne wynika z ich wielu podobieństw. Różnice szczegółowo omawiamy w rozmowie z klientem przed przystąpieniem do audytu, doradzamy które standardy zastosować. Zasadniczo audyt może być przeprowadzony wg standardów:
- AICPA Audyt według standardu SSAE 18, oraz
- IFAC według standardu ISAE 3402 albo wg standardu ISAE 3000
SOC. Kategorie
SOC 1 - dotyczy mechanizmów kontrolnych dostawcy usługi, mających wpływ na sprawozdania finansowe odbiorcy usług. Zazwyczaj zatem skupia się na sprecyzowanych potrzebach odbiorców usług lub audytorów badających ich sprawozdania finansowe i to oni są podstawowymi użytkownikami raportów.
SOC 2 – najczęściej stosowany raport. Dotyczy niefinansowych procesów (nie koncentruje się na wpływie na sprawozdanie finansowe), które mają kluczowe znaczenie dla jakości dostarczanej usługi. Raport z audytu jest dostępny tylko dla obecnych klientów (klienta), zawiera bowiem szereg szczegółowych informacji. Publicznie udostępniona może być informacja o pomyślnej opinii z przebytego audytu, co daje gwarancje jakości usługi potencjalnym klientom. Definiuje kryteria zarządzania danymi w kontekście pięciu kluczowych obszarów (Trust Service Criteria):
- security – bezpieczeństwo fizyczne i logiczne,
- availability – dostępność,
- processing integrity – integralność przetwarzanych danych,
- confidentiality – poufność,
- privacy – prywatność informacji.
Zarówno audyt SOC 1 jak i audyt SOC 2 mogą być zrealizowane wg typu I lub typu II:
- Typ I odnosi się do adekwatności zaprojektowanych mechanizmów kontrolnych w tych obszarach
- Typ II odnosi się do adekwatności i skuteczność zaprojektowanych mechanizmów kontrolnych w tych obszarach
| |
SOC 1
SOC 2
|
|
Okres audytu |
|
Zakres audytu |
|
| |
Typ I |
|
Na konkretną datę zakończenia audytu
|
|
Adekwatność zaprojektowanych mechanizmów kontrolnych
- Opisuje system i ocenia jego adekwatność w kontekście punktów kontrolnych standardu
|
|
| |
Typ II |
|
Minimum 6 m-cy, zazwyczaj 1 rok przed zakończeniem audytu |
|
Adekwatności i skuteczność realizowanych mechanizmów kontrolnych
- Opisuje system i ocenia jego adekwatność w kontekście punktów kontrolnych standardu,
- Ocenia czy system faktycznie funkcjonuje poprzez testowanie w poświadczanym okresie
|
|
SOC 3 – dotyczy kluczowych obszarów (Trust Service Criteria) : security – bezpieczeństwo fizyczne i logiczne, availability – dostępność, processing integrity – integralność przetwarzanych danych, confidentiality – poufność, privacy – prywatność. Raport z audytu jest dostępny również dla potencjalnych klientów (może być dostępny publicznie) ponieważ zawiera ograniczony zakres danych wobec raportu wg SOC 2.
| |
Kategoria |
|
Co? |
|
Dla kogo? |
|
Dostęp |
|
Po co? |
|
| |
SOC 1 |
|
Mechanizmy kontrolne dot. sprawozdań finansowych |
|
Odbiorca usługi (służby księgowe) oraz audytor odbiorcy |
|
Konkretny odbiorca usługi |
|
Przygotowanie i badanie sprawozdania finansowego |
|
| |
SOC 2 |
|
Bezpieczeństwo fizyczne i logiczne, dostępność, integralność przetwarzanych danych, poufność, prywatność |
|
Zarząd i kierownictwo dostawcy usługi
Konkretni klienci – odbiorcy usługi
|
|
Konkretni klienci – odbiorcy usługi |
|
Poświadczenie w zakresie Governance, Kontroli i Ryzyka,
Zapewnienie dla odbiorcy usługi
|
|
| |
SOC 3 |
|
Ograniczony zakres danych, ale w zamian łatwy w odbiorze |
|
Każdy podmiot zainteresowany oceną systemu kontroli dostawcy usługi |
|
Swobodny dostęp – dla każdego |
|
Cele marketingowe |
|
Przed audytem
Celem naszej współpracy przed podpisaniem umowy jest określenie zakresu audytu oraz określnie typu raportu SOC.
1.Ustalenie zakresu audytu opiera się o wymianę informacji. Zasadniczo istotne dla nas jest uzyskanie odpowiedzi na poniższe pytania:.
a) Jakiej usługi ma dotyczyć SOC? – prosimy o zwięzły opis usługi
b) Jaki jest stopień opisania/uporządkowania przebiegu procesu ? – prosimy o informacje typu: czy określone są cele, ryzyka, mechanizmy kontrolne. Czy wdrożony jest jakiś system zarządzania (np. ISO), czy były jakieś audytu w obszarze, którego ma dotyczyć SOC?
c) Jakie systemy (IT i systemy zarządzania) są stosowane do świadczenia tej usługi?
d) Czy usługi są świadczone z jednej czy z wielu lokalizacji?
e) Dla ilu klientów realizowana jest usługa ? czy przebieg realizacji usługi jest taki sam dla różnych klientów?
2.Ustalenie typu raportu SOC. Zasadnicze pytanie brzmi: SOC typ I, czy SOC typ II ?. Aby podjąć racjonalną decyzję prosimy zapoznać się z informacji w zakładce "SOC. Kategorie"
Audyt SOC
Celem naszych klientów jest uzyskanie potwierdzenia spełniania wymogów SOC. Naszym obowiązkiem jest obiektywna i niezależna ocena stanu rzeczywistego.
Aby pomóc naszym klientom osiągnąć cel oraz przeprowadzić audyt zgodnie ze standardami opracowaliśmy autorskie podejście do audytu, które składa się z 3 kroków:
1. Identyfikacja luki. Audyt "0"
Większość naszych klientów nie posiada doświadczenia w spełnianiu wymogów standardu SOC. Dlatego przeprowadzanie audytu bez przygotowania obarczone jest wysokim ryzykiem wydania opinii negatywnej, czyli świadczącej o niespełnieniu wymogów. Jednocześnie jednak zdecydowana większość braków polega na braku sformalizowania/opisania zachodzących w rzeczywistości procesów.
Dlatego zazwyczaj rozpoczynamy naszą pracę od uświadomienia klientowi wymagań SOC oraz wskazania „luki SOC”, czyli wskazania czego naszym zdaniem brakuje, aby wymagania SOC spełnić. Luka SOC przedstawiana jest przez nas w raporcie z tego etapu pracy. Oczywiście w przypadku braku luki przechodzimy od razu do kroku 3.
Podstawowym wymogiem jest przygotowanie prze klienta „opisu systemu”, czyli określenia celów systemu kontroli, ryzyk i służących ich zarządzaniu mechanizmów kontrolnych. Ponadto konieczne jest opracowanie tabeli wskazujacej jakie mechnizmy kontrole zapewnieją spełnieniem poszczególnych wymogów SOC. Zdajemy sobie sprawę że „takie widzenie świata” nie musi być codziennością klienta. Dla nas jest – jesteśmy w stanie pomóc w opisie systemu. W trakcie tego etapu opracowywany jest opisu systemu wraz oraz deklaracja dot. jego prawidłowości - będą one poświadczane przez audytora.
2. Niwelowanie luki SOC
Aby móc uzyskać niezależne i obiektywne zapewnienie spełnienia wymogów konieczne jest wprowadzenie rozwiązań niwelujących lukę SOC. Podstawą są nasze rekomendacje z etapu poprzedniego. Termin na realizację jest ustalany indywidualnie.
3. Audyt spełniania wymogów SOC
Gdy uzyskamy od klienta informację, że w jego ocenie luka została zniwelowana i jest gotowy, aby przystąpić do audytu uzgadniamy odpowiedni termin audytu. Wcześniej, aby nie narażać klienta na koszty, upewniamy się, że podjęte przez klienta działania dają racjonalną pewność, że luka została zniwelowana. W zależności od dojrzałości przyjętych rozwiązań i pewności poprawnego działania systemy kontroli ustalamy z klientem przeprowadzanie audytu:
• SOC 2.Typ I. Jeśli nie ma pewności, że rzeczywiste działanie systemu kontroli spełni wymogi SOC przeprowadzamy najpierw audytu typu I. Pozwala to na wprowadzenie zmian w koncepcji systemu kontroli zanim przystąpimy do testowania rzeczywistego przebiegu kontroli – tym samym klient ponownie unika niepotrzebnych kosztów. Po realizacji audytu typu I oraz wdrożeniu zmian możliwe jest przeprowadzanie audytu typu II.
• SOC2.Typ II. Jeśli i klient i my jesteśmy przekonani, że rzeczywisty przebieg kontroli jest poprawny przeprowadzamy audytu typu II. Prowadzimy odpowiednie testy audytorskie, w oparciu o nasz profesjonalny osąd, czyli rozumienie celów systemu klienta, ryzyk związanych z tymi celami oraz podatności poszczególnych obszarów na ryzyko i efektywności poszczególnych kontroli.
Na koniec naszej pracy przedstawiamy opinię o stopniu zgodności ze standardem SOC oraz raport z przeprowadzonego audytu ze szczegółowym odniesieniem do poszczególnych wymogów standardu. Opinia stanowi niezależne i obiektywne poświadczenie spełnienia wymogów SOC.
Kompetencje
Audyty SOC realizowane są przez doświadczonych audytorów, posiadajacych odpowiędnią wiedzę i międzynarodowe certyfikaty. Audyt może być prowadzony w jezyku polskim lub języku angielskim.
Audyt jest realizowany zgodnie z zaleceniami AICPA. Proces audytu nadzorowany jest przez audytora z uprawnieniami CPA nadanym przez AICPA. Opinia i raport z audytu poświadczone są przez audytora CPA.
Kompetencje zespołu poświadczają międzynarodowe ceryfikaty: CPA, CISA, LA ISO 27001, CCSA, CIA, CRMA, COBIT2019F
